DSGVO-konforme „Cookiebanner“

DSGVO-konforme "Cookiebanner"
Foto: Datenschutz-Stockfoto/Shutterstock

Im Zusammenhang mit Online-Diensten wird oftmals der Begriff Tracking verwendet. Dieser ist allerdings im Datenschutzrecht nicht definiert. Im Wesentlichen wird darunter vereinfacht die Nachverfolgung des Nutzers verstanden. Ob dabei das Tracking einer Einwilligung erfordert oder ob das Tracking datenschutzkonform ist kann daher pauschal nicht beantwortet werden. Die Rechtmäßigkeit richtet sich vielmehr nach dem Zweck der Verarbeitung.

Die wichtigste Rolle spielt dabei das Tracking von Onlinewerbung. Generell kann man durchaus ein berechtigtes Interesse unterstellen, wenn ein Unternehmen erfahren möchte, welche Marketing-Kampagnen wie genau funktionieren, und wo das Marketing-Budget am besten aufgehoben ist. Durch die verschärfenden Maßnahmen der DSGVO ist die allerdings nicht mehr so einfach, denn beim Tracking zu Werbezwecken wird der Nutzer anhand von i.d.R. mehreren Identifikationsmechanismen wie z.B. MAC/IP-Adresse, User-/Kampagnen oder Werbe-IDs eindeutig gekennzeichnet. Dabei bedienen sich die Technologien wie z.B. AdServer-, Analytics- und programmatische Software mehrstufigen clientseitigen Speichermechanismen wie z.B. Cookies, dem Browser-Cache, Etags, Local Storages etc.. Anschließend wird zum genannten Nutzer eine „behavioral map“ erstellt, welche neben dem Clickstream eine Vielzahl an Zusatzinformationen wie z.B. aufgerufene Webseiten, Referer,  Devices, Standort, Zeitpunkt und Verweildauern speichert. 

Einige dieser Dienstleister nutzen diese Informationen um Ihre eigenen Produkte zu verbessern und/oder Nutzerdaten zu sammeln. Dabei werden website- und geräteübergreifende Informationen und Nutzungsdaten gesammelt. Siehe hierzu auch: Privacy Shield. Diese Nutzungsdaten können miteinander verknüpft werden, sodass ein umfangreiches Nutzerprofil erstellt werden kann.

Bei der Nutzung des Internets fallen eine Vielzahl von personenbezogenen Daten an. Dazu gehören nicht nur Informationen zum Nutzer, anhand derer dieser direkt bestimmt werden kann (Nutzerkennung, Passwörter, Profildaten, Email-Adresse). Der Kunden kann auch, wie oben beschrieben, über das Tracking eindeutig identifiziert werden. Dadurch lassen sich eine Vielzahl an Daten kombinieren und ein Zugriff auf tiefergreifender Nutzerinformationen herstellen. 
Es besteht das Risiko hoch sensible Informationen zu erzeugen, welche Drittanbietern zur Verfügung gestellt werden:

– Gesundheitsdaten
– Politische Meinung
– Biometrische Daten
– Gewerkschaftszugehörigkeiten
– Genetische Daten
– Sexuelle Orientierung
– Rassische/ ethnische Herkunft

In vielen Fällen wird dies nicht durch eine direkte Angabe dieser Information erhoben, sondern durch die Kombination des Nutzungsverhaltens mit bereits existierenden Kundeninformation. 

Auf Grund dieser Problematiken hat sich in den letzten Jahren eine massive Verschärfung der datenschutzregularien eingestellt. Beginnend mit der Einführung der neuen Datenschutzgrundverordnung (DSGVO) auf europäischer Ebene, wurden bis heute wirksamere Maßnahmen geschaffen, um die Webseitennutzer zu stärker zu schützen und die Webseitenbetreiber zu mehr Achtsamkeit zu verpflichten. Ein Beispiel hierfür ist die Einführung der multifunktionalen „Consent-Banner“.  Damit gemeint ist die aktive Einwilligung des Nutzers zur Verwendung von Cookies oder vergleichbaren Skripten und dem Auslesen entsprechender Informationen aus dem Endgeräten sowie die darauf aufbauende, nachgelagerte Datenverarbeitung.

Demnach muss bevor etwaige Skripte auf der Webseite des Betreibers geladen werden, eine Abfrage erfolgen ( „Consent-Banner“ ), welcher Cookies vom Kunden zugelassen wird. Je nachdem was der Kunde bestätigt werden die hinterlegten Skripte ausgeführt oder nicht ausgeführt. Dabei gilt es folgende Informationen zu beachten:

1.) Cookie-Einwilligung-Pflicht für Marketingzwecke (BGH, 28.05.2020 – I ZR 7/16)
2.) Cookies die anderen zu werblichen Zwecke dienen (Art. 5 Abs. 3 ePrivacy-Richtlien, Cookie-Richtlinie 2009/136/EG)
3.) Eine Ausnahme gilt für technisch erforderliche Cookies, die nach den Richlinienvorgaben auch einwilligungsfrei möglich sein sollen (z.B. Session-, Warenkorbcookies o.Ä. Auch gegen technisch erforderliche Cookies besteht allerdings ein Widerspruchsrecht nach Art.21 Abs. 1 DSGVO, auf das entsprechend Art. 21 Abs. 4 DSGVO hinzuweisen ist.
4.) Sofern der Einsatz von Cookies im konkreten Fall eine Einwilligungserfordernis auslöst, ist es regelmäßig sinnvoll, die Einwilligung auch auf die nachgelagerte Datenverarbeitung zu erstrecken.

Checkliste

Auf Grund der Problematik wie nun ein Cookie-Banner verwendet werden kann und welche Inhalte angezeigt werden müssen, haben wir für Sie ein Beispiel erstellt, welches nach aktuellem Stand alle notwendigen Informationen beinhaltet sollte.

Wir verwenden Dienste von Drittanbietern, die uns helfen, unsere Webseite zu optimieren (Analytics) und personalisierte Werbung auszuspielen (Werbung). Um diese Dienste verwenden zu dürfen benötigen wir Ihre Einwilligung. Ihre Einwilligung können Sie jederzeit widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung

Durch einen Link im Einwilligungstext öffnet sich Layer in welchem die aktuelle Datenschutzerklärung eingeblendet wird.

Der Nutzer wird auf die Verarbeitungszwecke und sein Widerrufsrecht hingewiesen. Idealerweise wird innerhalb der Webseite ermöglicht jederzeit den Widerruf durchzuführen. 

Die Beschreibung enthält keine Hinweise auf Cookies, sondern bezeichnet die konkreten Verarbeitungstätigkeiten:

Beispiel Analytics:
Wir verwenden Tools von Drittanbietern zur statistischen Analyse unserer Webseite. Hierdurch erfahren wir, wie der Nutzer die Webseite verwendet und ob es Probleme bei der Webseite gibt. Dies ermöglicht es uns, die Webseite stetig zu verbessern und die Benutzerfreundlichkeit zu erhöhen. Die Nutzungsdaten werden hierzu vom Dienstleister aggregiert und als Statistik dargestellt, sodass wir nicht auf einen Nutzer schließen können.

Beispiel Werbung:
Wir verwenden Tools von Drittanbietern, um zielgruppenorientierte Werbung auszuspielen. Hierzu verarbeiteten die Drittanbieter Nutzungsdaten, aus denen anschließend Nutzungsprofile erstellt werden. Dabei werden einem Nutzer Merkmale und Interessen zugeordnet, um zielgruppenorientierte Werbung anzuzeigen. Wir erfahren nicht, welche Merkmale und Interessen einem Nutzer zugeordnet werden. Außerdem handelt es sich nur um pseudonyme Nutzungsprofile.

Es müssen alle Anbieter aufgelistet sein. Sollte einer der Anbieter von den Verarbeitungstätigkeiten abweichen, sind diese separiert aufzulisten.

Unschädlich ist, dass der Nutzer durch farbliche Akzente „verleitet“ wird. Solange er eine echte Wahl hat und seine Einwilligung auch verweigern kann, sind Gestaltungen, die den Nutzer in eine vom Betreiber gewünschte Aktion lenken, zulässig.

Anstatt einem Ablehnen-Button kann auch auf einen Kaufbutton angezeigt werden, welcher auf die Pay-Wall verweist. 
Wählt der Nutzer weder die „Einwilligung“ noch die die „Paywall-Option“, darf er zulässigerweise von der weiteren Nutzung der Website ausgeschlossen werden. Es gibt keinen allgemeinen Anspruch auf kostenfreien Zugang zu Websites (Ausnahme öffentliche Stellen). Folglich besteht auch kein Verstoß gegen das Kopplungsverbot gem. Art. 7 Abs. 4 DSGVO.

Ein mögliches Beispiel für einen Standard-Cookiebanner

Wir verwenden Dienste von Drittanbietern, die uns helfen, unsere Webseite zu optimieren (Analytics) und personalisierte Werbung auszuspielen (Werbung). Um diese Dienste verwenden zu dürfen benötigen wir Ihre Einwilligung. Ihre Einwilligung können Sie jederzeit widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung

Wir verwenden Tools von Drittanbietern zur statistischen Analyse unserer Webseite. Hierdurch erfahren wir, wie der Nutzer die Webseite verwendet und ob es Probleme bei der Webseite gibt. Dies ermöglicht es uns, die Webseite stetig zu verbessern und die Benutzerfreundlichkeit zu erhöhen. Die Nutzungsdaten werden hierzu vom Dienstleister aggregiert und als Statistik dargestellt, sodass wir nicht auf einen Nutzer schließen können. 

   Google Analytics (…)
   Matomo (…)

Wir verwenden Tools von Drittanbietern, um zielgruppenorientierte Werbung auszuspielen. Hierzu verarbeiteten die Drittanbieter Nutzungsdaten, aus denen anschließend Nutzungsprofile erstellt werden. Dabei werden einem Nutzer Merkmale und Interessen zugeordnet, um zielgruppenorientierte Werbung anzuzeigen. Wir erfahren nicht, welche Merkmale und Interessen einem Nutzer zugeordnet werden. Außerdem handelt es sich nur um pseudonyme Nutzungsprofile.

   Facebook (…)
   Awin (…)
   Criteo (…)
   Google Adwords (…)

DSGVO-konformes Webtracking

Finden Sie den passenden Partner für Ihr Webtracking!

Was ist ein Data Warehouse?

Foto: globalperson/Shutterstock DWH – Single Source of Truth Das Data Warehouse ist das zentrale System, welches zu Analysezwecken im Unternehmen eingesetzt wird. Dessen Prozesse extrahieren,

Weiterlesen »
Subscription Management mit PYM

„Make or Buy“ Subscription Management

Foto: PopTika/Shutterstock Was ist „Subscription Management“? Abo-Modelle sind eine beliebte Methode für Unternehmen eine langfristige Kundenbindung zu gewährleisten. Dabei werden heutzutage eine Vielzahl von Angeboten

Weiterlesen »

Privacy Shield weg – Was jetzt?

Foto: jijomathaidesigners/Shutterstock Was ist das Privacy Shield? Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) eine Grundsatzentscheidung getroffen. Dabei wurde das Privacy Shield für

Weiterlesen »