Placebo-Cookies „schmecken“ nicht! Was Sie über datenschutzkonforme Cookie Banner wissen sollten.

von Mag. jur. Robert Reitmann

Die meisten der derzeit genutzten Cookie Banner sind nicht rechtskonform, da sie entweder nur ein Placebo sind, keine ausdrückliche Einwilligung des Webseitenbesuchers zur Cookienutzung vorsehen oder auch keine Möglichkeit zur Ablehnung von Cookies durch den Webseitenbesucher zulassen.

Der Webseitenbesucher wird regelrecht ausgeschlossen vom Informationsgehalt, falls er nicht die Zustimmung erteilt. Diese Vorgehensweise ist im Hinblick auf das Kopplungsverbot von Erklärungen in der DSGVO als durchaus kritisch einzustufen.

browser

Browsereinstellungen für die Ablehnung von Cookies

Es wird von den meisten Webseitenbetreibern auf die Browsereinstellungen für die Ablehnung von Cookies verwiesen oder opt-out Möglichkeiten versteckt in den Details der Datenschutzerklärung angeboten, wobei bereits von Besuch der Webseite an munter Cookies eingesetzt werden. Dh. es werden Hinweise oder Zustimmungen für Cookienutzungen angezeigt, obwohl bereits Cookies geschrieben werden. Diese Vorgehensweise ist unzulässig und genau dies hat die österreichische Datenschutzbehörde auch im derstandard.at Fall ausdrücklich festgestellt.(1)

schild (3)

Das Zusammenspiel von Cookie Banner und Datenschutzerklärung

Weiters scheitern viele Cookie Banner an der detaillierten Darstellung der notwendigen Details zum Einsatz von Cookies, indem nur sehr generell der Einsatz von Tools und Plug-Ins in der Datenschutzerklärung beschrieben werden, jedoch keine Details zu den eingesetzten Cookies angezeigt werden. Tools die Details zu den Cookies anzeigen harmonieren dann jedoch wiederum nicht mit der Datenschutzerklärung und den beschriebenen Tools und Plug-Ins da z.B. über den Cookie Banner eine Einwilligung eingeholt wird (jedoch zumeist leider nur als Placebo Einwilligung, da parallel die Cookies ohnedies bereits gesetzt werden) und in der Datenschutzerklärung z.B. die Rechtsgrundlage des berechtigten Interesses angegeben wird. Dh. auch das Zusammenspiel Cookie Banner und Datenschutzerklärung ist wichtig. Falls Cookie Banner und Datenschutzerklärung daher aus verschiedenen Händen kommen, birgt das immer wieder eine Gefahr. Die Rechtslage zum Einsatz von Cookies ist derzeit durchaus unübersichtlich.

ui

Klassifizierung von Cookies

Wichtig ist eine Klassifizierung der Cookies vorzunehmen, da sich hier die Rechtsgrundlage für die Verarbeitung maßgeblich unterscheidet. Cookies die dafür notwendig sind um den Betrieb und die Funktion der Webseite zu gewährleisten wie z.B. Seiten- und Spracheinstellungen oder Inhalte eines Warenkorbes können nicht einer Einwilligung des Nutzers bedürfen damit diese eingesetzt werden.

datenanalyse

Einsatz von Cookies für Analyse-Gründen

Anders sieht es bei Cookies die aus Analyse-Gründen für Marketing- oder Statistik-Zwecke eingesetzt werden. Hier ist es notwendig gezielter auf die datenschutzrechtlichen Vorschriften zu blicken. Für die Analyse ist es nämlich notwendig ein bestimmtes Verhalten auf der Webseite einem konkreten Nutzer zuordnen zu können. Dafür müssen Besucher der Webseite über die IP-Adresse, E-Mail Adresse, über einen Namen oder einfach eine eindeutige Kennnummer identifizierbar gemacht werden.

gdpr (1)

Rechtsgrundlage für die Nutzung von Cookies

Als Rechtsgrundlage für die Nutzung von Cookies kommt Art 6 Abs. 1 DSGVO (2) in Betracht. Es sind hier insbesondere die Buchstaben a und f dieser Bestimmung die ins Auge zu fassen. Die Rechtsgrundlage kann daher entweder die Einwilligung eines Besuchers oder das berechtigte Interesse des Webseitenbetreibers sein. Im Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland (kurz DSK) sowie in einer ergänzenden Orientierungshilfe vom April 2019 wurde festgehalten, dass es einer vorherigen Einwilligung beim Einsatz von Tracking-Maßnahmen bedarf. Vor dem Einsatz von Analysewerkzeugen wie z.B. Google Analytics muss daher vorab eine informierte und aktive Einwilligung eingeholt werden. Nur wenn der Einsatz von Cookies unbedingt erforderlich ist, kann man sich auf z.B. das berechtigte Interesse berufen. Bei Verstößen dagegen drohen Geldbußen. 

chrom

Google Richtlinie für die Nutzung seiner Tools

Auch Google hat in einer Richtlinie über die Nutzung seiner Tools festgehalten, dass einer Einwilligung bedarf. Dies empfiehlt übrigens auch Facebook für den Einsatz von Facebook Pixels. Es braucht hierfür unbedingt eine Opt-In Lösung. Ein reiner Verweis, dass mit der Nutzung der Webseite eine Einwilligung abgegeben wird reicht hierfür definitiv nicht aus.
Eine Einwilligung setzt auch zwingend voraus, dass der Besucher auch die Möglichkeit haben muss, nicht zwingend erforderliche Cookies auch ablehnen zu können. Sollte eine Möglichkeit fehlen ist an der notwendigen Freiwilligkeit der Einwilligung zu zweifeln. Damit die Einwilligung informiert ist, braucht es einen Verweis im Cookie Banner auf die Datenschutzerklärung oder Cookie Policy. Wie oben erwähnt ist es natürlich dann fatal, wenn parallel zur Info bereits alle Cookies gesetzt werden.

schild (4)

e-Privacy Verordnung

Die geplante e-Privacy Verordnung sieht (derzeitiger Status quo) eine Verschärfung oder Konkretisierung der datenschutzrechtlichen Vorgaben für Webseiten vor. Die geplante Verordnung sollte 2020 in Kraft treten wurde jedoch bis auf Weiteres verschoben. Spätestens dann sind die oben angeführten Voraussetzungen von jedem Webseitenbetreiber der Cookies nutzt umzusetzen ansonsten erhebliche Strafen drohen.

Robot

Die Cookie Banner Lösung von DataReporter – WebCare

Automatisierte Erkennung von Tools und Plug-Ins auf der Webseite

Mit dem Produkt WebCare geht DataReporter bereits einen Schritt voraus. WebCare erkennt automatisiert und tagesaktuell welche Tools und Plug-Ins auf einer Webseite eingesetzt werden. Darauf basierend werden die Details zu den einzelnen Cookies klassifiziert und im eigenen Cookie Banner selbst dargestellt. Der Cookie Banner kann dabei auf das jeweilige Design der Webseite ausgerichtet werden.

Abstimmung mit der Datenschutzerklärung

Auf Basis der eingesetzten Tools und Plug-Ins wird dann eine exakt auf die Webseite abgestimmte Datenschutzerklärung erzeugt und diese an Ihre Webseite im jeweiligen Corporate Design ausgeliefert. Der Cookie Banner kümmert sich bereits darum, dass Cookies bis zur Einwilligung blockiert werden (Active Cookie Banning). Über die Einstellungen kann im Cookie Banner eine Einwilligung auch jederzeit widerrufen werden.

Swarm Crawling als neue Technologie – Aktualisierungen wie von Geisterhand

Die neuartige Technologie des Swarm Crawlings ermöglicht es die Suchergebnisse über die Webseite bis in jede Unterseite zu verfeinern. Wie von Geisterhand enthält die Datenschutzerklärung und der Cookie Banner den Hinweis und die Einwilligung für Facebook Pixel, sobald ihre Marketing Abteilung gemeinsam mit der Webagentur entschieden hat dieses Tool auf der Seite einzusetzen. Nicht nur bei neuen Tools ist die Automatisierung goldwert sondern auch bei Änderungen.

fragezeichen

Wie aktuell ist Ihre Datenschutzerklärung?

Als Beispiel ist zu nennen, dass Google mit seinen Diensten für die EU Ende Jänner 2019 nach Irland umgezogen ist. Die Datenschutzerklärungen unserer Kunden berücksichtigen diesen Umstand bereits. Werfen Sie doch mal Interesse halber einen Blick auf Datenschutzerklärungen die nicht durch WebCare gewartet werden. Übrigens ist auch die österreichische Datenschutzbehörde umgezogen. In den Datenschutzerklärungen unserer Kunden ist dies ebenfalls bereits berücksichtigt. Wie sieht’s bei Ihnen aus?

Einbindung von WebCare in gängige CMS Systeme

Für die Einbindung von WebCare stehen zahlreiche Plug-Ins für gängige CMS Systeme bereits zur Verfügung. Ansonsten funktioniert der Einbau per Anleitung auch per einfachem Einbindung von HTML Code.

Das Webinar zum Thema

Sie möchten mehr zu diesem Thema erfahren? Dann melden Sie sich zum kostenlosen Webinar an!
„Placebo Cookies „schmecken“ nicht!
Was Sie über datenschutzkonforme Cookie Banner wissen sollten.“
am 21. April 2020 von 09:30 bis 10:00

Veranstalter: DataReporter GmbH (www.datareporter.eu)
Autor & Moderator: Mag. jur. Robert Reitmann
(Chief Legal Officer (CLO) & Co-Founder, DataReporter GmbH)

(1) Quelle: https://www.derstandard.at/story/2000093057312/datenschutzbehoerde-standard-angebot-entspricht-dsgvo

(2) Art 6 Abs. 1/Rechtmäßigkeit der Verarbeitung: (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. (Quelle: Jusline https://www.jusline.at/gesetz/dsgvo/paragraf/6)