Cookie-Management-Tools oder einfach Cookie Banner sind ein Thema für sich. Seit ihrer endgültigen verpflichtenden Einführung sind sie von vielen gehasst, aber leider nicht mehr wegzudenken.
Der Betreiber einer Webseite sieht sich mit der Einhaltung verschiedener Rechtsgebiete und ihrem Zusammenspiel konfrontiert:
- dem TTDSG als Anbieter von Telemedien
- dem Datenschutzrecht, d.h. der DS-GVO oder anderer für ihn geltender datenschutzrechtlicher Gesetze, als Verantwortlicher für die Verarbeitung personenbezogener Daten
- den aus beiden Gesetzen folgenden Anforderungen an die Einholung einer Einwilligung mit einem an Cookie-Management-Tool („Cookie-Banner“)
- nach der DSGVO mit dem Abschluss von Auftragsverarbeitungsverträgen oder als gemeinsam Verantwortlicher
- den Einträgen im VVT für die Webseite und die stattfindenden Verabeitungen
- dem UWG bei Newslettern.
Unabhängig davon sind auch noch wettbewerbsrechtliche Pflichten einzuhalten. Ist man mit der Prüfung von Webseiten beauftragt, dann fallen einige Punkte bei Cookie-Management-Tools („Cookie-Bannern“) auf, die bereits auf den ersten Blick nicht mit den gesetzlichen Anforderungen übereinstimmen. Für die Planung einer Webseite bietet es sich an, die nachfolgenden Punkte bereits frühzeitig zu berücksichtigen.
Verantwortung für Inhalt und Funktion des Banners
Es gibt diverse Anbieter auf dem Markt, die Cookie Management Tools mit Bannern anbieten.
Die Verantwortung für die Funktionsweise und die Texte eines Banner trägt zuerst immer der Betreiber der Webseite. Unmissverständlich hat bereits die Landesbeauftragte für den Datenschutz Niedersachsen in ihrer Handreichung mit Anforderungen für Consent Layer darauf hingewiesen, dass der Webseitenbetreiber durch die Konfiguration sicherstellen muss, dass eine rechtskonforme Einwilligung eingeholt wird. Ob etwaige Regeressansprüche gegen den Anbieter eines Consent-Tools bestehen, sei hier dahingestellt. Zuerst trifft es den Verwender des Banners, gegen den Ansprüche geltend gemacht werden oder der sich gegenüber einer Aufsichtsbehörde erklären muss.
Der Betreiber einer Webseite hat zwei Gesetze beim Einsatz eines Cookie-Banners zu beachten: das TTDSG und die DS-GVO. Beide Gesetze gelten nebeneinander. Ein Consent-Banner muss daher die Anforderungen beider Gesetze abbilden können. Der Betreiber der Webseite haftet einerseits nach dem TDDSG und andererseits nach der DS-GVO.
Nur weil die beauftragte Medienagentur einen Anbieter vorschlägt oder dieser Anbieter bereits mehrfach auf anderen Seiten benutzt wird, muss er für die eigene Webseite noch lange nicht passen oder rechtlich „richtig“ funktionieren. Die Rechtskonformität wird zwar von Anbietern von Consent-Tools beworben, der praktische Einsatz durch manche Verwender führt häufig aber zu dem Gegenteil. So werden vorhandene „Standardtexte“ übernommen, ohne zu prüfen, ob diese die Gegebenheiten der Webseite tatsächlich wiederspiegeln und somit die erforderlichen Einwilligung(en) den rechtlichen Anforderungen entspricht/entsprechen. Die bloße Existenz eines Consent-Banners führt nicht automatisch zur Rechtskonformität.
ÜBERALL COOKIE-BANNER
Cookie-Banner – es geht auch ohne!
Mit der Rechtsprechung des EUGH und des BGH zur Verwendung von Cookies entstand eine Flut von Cookie-Bannern, mit denen Nutzer um ihre Einwilligung gebeten werden. Durch das im Dezember 2021 in Kraft getretene TTDSG dürften diese in Zukunft noch komplexer werden, wenn nicht von der im TTDSG vorgesehenen Ausnahme zur Nutzung von Diensten zur Einwilligungsverwaltung Gebrauch gemacht wird.
Durch die Flut von Cookie Bannern scheint bei einigen Betreibern von Webseiten oder ihrer jeweiligen Medienagentur der Eindruck entstanden zu sein, das jede Webseite zwingend eine Cookie-Banner haben muss.
Nein, nicht jede Webseite braucht ein Banner!
Sinn eines Cookie-Banners ist die Einholung einer aktiven, ausdrücklichen, informierten und freiwilligen vorherigen Einwilligung und deren Dokumentation. Eine Einwilligung nach dem TTDSG ist grundsätzlich erforderlich für die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, wenn nicht der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder die Speicherung erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Für nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen der Informationen auf dem Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, kann wiederum eine Einwilligung nach der DS-GVO erforderlich sein. Dies betrifft z.B . Techniken wie Analysetools; ebenso bedarf die Übermittlung personenbezogener Daten in ein unsicheres Drittland wie z.B. die USA einer Einwilligung gem. Art. 49 Abs. 1 S. 1 lit. a DS-GVO.
Für das Cookie-Banner ist daher zu klären, welche Einwilligung vom Besucher der Webseite eingeholt werden soll. Entsprechend sind die Texte für die Einwilligungen – die „Information“ – zu formulieren. Für die Steuerung der Cookies des Cookie-Banners selbst, ohne weitere einwilligungsbedürftige Techniken/Cookies, ist die Verwendung eines Cookie-Banners nicht erforderlich.
Webseiten-Betreiber sollten sich frühzeitig bei ihrer Agentur informieren, welche Techniken verwendet werden, die einer Einwilligung bedürfen oder zu einer Übermittlung personenbezogene Daten in unsichere Drittländer führen. Noch besser ist es, wenn die Agentur kraft ihres überlegenen Wissens und ihrer Aufklärungspflicht von sich aus darauf hinweist. Immer noch trifft man den ein oder anderen Betreiber von Webseiten, der nicht weiß, welche datenschutzrechtlichen Themen auf seiner Webseite zu Problemen führen.
Die Kenntnis der verwendeten Techniken und ihrer Anbieter kann zudem die Frage der Auftragsverarbeitung oder gemeinsamen Verantwortung beantworten, um die erforderlichen Verträge/Vereinbarungen möglichst vor dem Start der Verarbeitung personenbezogener Daten abzuschließen. Es kann auch sein, dass die Prüfung dazu führt, auf den möglichen Anbieter zu verzichten.
Wird ein Cookie-Banner ohne das Erfordernis einer Einwilligung verwendet, so erfolgt dies ohne Rechtsgrundlage, so die Auffassung in den FAQ (S.9) „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“. Man kann auch argumentieren, dass hier eine Irreführung des Nutzers stattfindet, weil für ihn der Eindruck entsteht, er könne eine Einwilligung erklären. Dann läge ein Verstoß gegen das Transparenzgebot vor, weil die Pflichtinformationen nach Art. 13 DS-GVO inhaltlich falsch sind.
Letztlich sollte auch kein Cookie-Banner bzw. überhaupt keine Banner verwendet werden, wenn es den Besucher der Webseite nur darüber informiert, dass ausschließlich technisch-notwendige bzw. essenzielle Cookies verwendet werden. Diese Information ist bereits in der Datenschutzerklärung für die Webseite enthalten.
MUSTER SIND MUSTER
Texte mit unzutreffendem Inhalt
Verantwortlich für den richtigen rechtlichen Inhalt der Bannertexte ist der Webseitenbetreiber, nicht der Anbieter des Cookie-Banners. Der Webseitenbetreiber muss die rechtmäßige Einwilligung einholen und nachweisen. Fehlt diese, entfällt die Rechtmäßigkeit der eingesetzten Technik und somit der Verarbeitung personenbezogener Daten.
Natürlich mag man einwenden, der Betreiber könne immer noch versuchen Regressansprüche gegen den Anbieter durchzusetzen. Rechtlich und wirtschaftlich ist er aber bis zur Klärung seiner Ansprüchen gegen den Anbieter der erste Ansprechpartner.
Ein Cookie-Banner hat die Funktion, die erforderlichen Einwilligungen einzuholen und das Setzen der Cookies oder Dienste in Abhängigkeit von der Auswahl der Einwilligung des Nutzers zu steuern.
Mit dem Text im Banner solle eine informierte Einwilligung eingeholt werden. Die Anforderungen ergeben sich aus Artt. 4 Nr. 11, Art. 6 Abs. 1 S. 1 lit. a und Art. 7 DS-GVO zu erfüllen. Dies gilt für die Einwilligung nach dem TTDSG als auch der DS-GVO. Mustertexte zu übernehmen, reicht dafür nicht aus. Bei einigen Bannern fällt z. B. auf, dass die Texte kaum oder keinen Bezug zu den tatsächlich eingesetzten Techniken haben. Von daher muss ein Verantwortlicher wissen, welche Cookies/Techniken zum Einsatz kommen. Er muss er die Texte ggf. anpassen und die Angaben zu den Cookies kontrollieren. So sollten unter dem Begriff „Statistik“ z.B. keine Plugins wie Google Maps oder YouTube aufgelistet werden.
Hin und wieder stößt man auch auf Cookie-Banner, die zwar einen Text mit Hinweisen haben, aber keine Angaben zu Cookies. Sinn des Banners ist es aber gerade Angaben über einen Cookie (Name), seinen Verwender, seinen Zweck und seine Laufzeit/Funktionsdauer zu machen, damit der Nutzer eine informierte Einwilligung treffen kann.
Erwähnt sei an dieser Stelle noch die Einwilligung für einen Newsletter. Auch für diese ist eine informierte Einwilligung erforderlich. Von daher sollten Werbetreibende genau prüfen, ob die Textvorlage ausreicht, oder ggf. Änderungen erforderlich sind, weil die individuellen Gegebenheiten für den Newsletter vom Mustertext abweichen. Dies gilt insbesondere, wenn ein Newsletter-Tracking stattfindet.
ZUGANG ZU PFLICHTINFORMATIONEN
Impressum und Datenschutzerklärung müssen frei zugänglich sein
Cookie-Banner dürfen den Zugriff auf rechtliche Pflichtangaben wie das Impressum oder die Datenschutzerklärung nicht verhindern.
Das Impressum muss „unmittelbar erreichbar“ sein. Bei vielen Webseiten ist das Impressum daher von jeder Seite aus mit nur einem Klick über einen Link am unteren Seitenrand oder über das Menü erreichbar.
Informationen nach Art. 13 ff. DSGVO, zu denen die Datenschutzerklärung gehört, müssen dem Nutzer „in leicht zugänglicher Form“ zur Verfügung gestellt werden. Es besteht keine Pflicht, dass der Nutzer die Datenschutzerklärung akzeptiert oder zur Kenntnis nimmt. Von daher gelten für die Datenschutzerklärung die gleichen Anforderungen wie für das Impressum.
Die Aufsichtsbehörden vertreten die Auffassung, dass das Impressum und die Datenschutzinformationen/Datenschutzerklärung unbeschränkt erreichbar sein müssen, d.h. ohne Behinderung durch ein Cookie-Banner, vgl. FAQ (S.18) „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“. Von daher sollten die rechtlichen Pflichtangaben nicht erst einen Klick auf Einsteillungen des Cookie-Banners erfordern. Ebenso sollten in dem Bannertext vorhandene Links auf das Impressum oder die Datenschutzerklärung funktionieren, ohne zuvor im Banner Einstellungen akzeptieren oder ablehnen zu müssen.
ICH HABE DOCH EINEN WEBDESIGNER
Der Webdesigner schuldet nicht alles
Seine Aufgaben werden im „Auftrag“ festgelegt. Rechtlich handelt es sich hauptsächlich um einen Werk- oder Werklieferungsvertrag, je nach Inhalt.
Auf jeden Fall gehört zu seinen Aufgaben nicht die Sicherstellung der Einhaltung der gesetzlichen Anforderungen an Einwilligungen nach dem TTDSG oder DS-GVO.
Nach der Rechtsprechung des BGH zur Haftung von Werbeagenturen, die die Werbeberatung und -durchführung für die Erzeugnisse eines gewerblichen Unternehmens übernommen hat, besteht die Pflicht der Agentur, auf die wettbewerbsrechtliche Unzulässigkeit einer Werbemaßnahme hinzuweisen. Entsprechend kann man dies übertragen: Es besteht die Pflicht, auf die datenschutzrechtliche Unzulässigkeit verwendeter Techniken oder Tools hinzuweisen. Dies sollte dokumentiert werden, damit Diskussionen über die Einhaltung der Aufklärungspflicht vermieden werden. Falsch verstandene Kundenfreundlichkeit sollte nicht zu einer datenschutzrechtlichen Beurteilung auf Nachfrage oder aus eigener Initiative führen. Auch wenn profundes Wissen vorhandenen ist, so sind der Grad zur unerlaubten Rechtsberatung und zur Haftung schmal.
Für die Betreiber von Webseiten ist schon viel gewonnen, wenn ihnen die Webagentur bei der Beschaffung von Informationen und Auskünften zu Cookies oder anderen Techniken erschöpfende Antworten liefern kann, um die möglichen rechtlichen Probleme hinreichend klären zu können. Ebenso sollten Webdesigner keine Entscheidungen zu datenschutzrechtlich relevanten Techniken eigenmächtig treffen, sondern dies vom Auftraggeber entscheiden lassen. Genaues Fragen und dokumentieren kann später unnötige Schuldzuweisungen vermeiden.
Fragen?
Consent Banner – unabhängig von Sinn oder Unsinn – müssen bestimmte rechtliche Anforderungen erfüllen.
Lassen Sie in einem Projektplan für die Webseite daher Platz für rechtliche Themen wie ein Cookie-Banner, damit Ihre Seite nicht live geht, obwohl noch Probleme vorhanden sind, die das Risiko für Schadensersatzklagen, Abmahnungen oder Anfragen der Aufsichtsbehörden unnötig erhöhen.
Für alle Fragen zu den angesprochenen Themen oder datenschutzkonformen Webseiten berate ich Sie gern außergerichtlich. Eine Erstberatung erfolgt kostenlos.
