Cookies rechtssicher einsetzen
Cookies sind kleine Textdateien, die beim Besuch einer Website Informationen über Nutzungseinstellungen und -verlauf auf dem Endgerät des Nutzers speichern. So kann die Nutzung einer Webseite komfortabler gemacht, personalisierte Werbung angezeigt und Statistiken erhoben werden.
Für das Setzen technisch notwendiger Cookies ist eine Einwilligung der Nutzer nicht notwendig: Die bloße Erwähnung in der Datenschutzerklärung und im Cookie-Banner genügt. Technisch notwendige Cookies sind aber nur solche, die für den Betrieb einer Webseite und deren Funktionen notwendig sind, wie z.B. Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten) oder Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können.
Dagegen ist jeder Einsatz von nicht technisch notwendigen Cookies nur mit Einwilligung des Nutzers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO erlaubt. Dies trifft insbesondere für Cookies zu, die zu Werbezwecken, für das Tracking von Nutzern oder für Komfort- oder Personalisierungsfunktionen eingesetzt werden.
Um die gesetzlichen Vorgaben zu erfüllen ist ein Cookie-Hinweis auf der Website erforderlich (sog. Cookie Banner), der beim erstmaligen Aufruf einer Website angezeigt wird. Mit diesem Hinweis wird der Nutzer über die verwendeten Cookies und deren Reichweite informiert und die Einwilligung des Nutzers eingeholt.
Bei vielen Webseiten lautet dieser Hinweis sinngemäß so: „Wir nutzen Cookies – durch die Weiternutzung unserer Webseite erklären Sie sich mit der Cookie-Nutzung einverstanden“. Andere Webseiten nutzen einen Cookie-Hinweis mit vorangekreuzter Auswahl zur Erteilung der Einwilligung.
Mit Urteil vom 01.10.2019 hat der EuGH jedoch klargestellt, dass solche Cookie-Hinweise unzulässig sind. Vielmehr muss die Einwilligung des Nutzers klar, für den konkreten Fall und ohne jeden Zweifel aktiv erteilt werden (vgl. Art. 4 Nr. 11 DSGVO). Die bloß passive Duldung der Vorauswahl eines Kontrollkästchens oder die faktische Weiternutzung einer Webseite stellen keine ausreichende Einwilligung des Nutzers dar.
Am 14.01.2020 hat die französische Datenschutzbehörde CNIL den Entwurf eines Leitfadens zur Nutzung nicht technisch notwendiger Cookies veröffentlicht. Darin gibt sie praktische Tipps zur rechtssicheren Einholung der Einwilligung, insbesondere:
- Im Cookie-Banner muss der Zweck der Cookies genannt und kurz beschrieben werden.
- Vom Cookie-Banner aus sollte der Nutzer leicht auf weitere, detailliertere Informationen zu den Cookies (u.a. Angabe der Verantwortlichen und Datenschutzrichtlinien) zugreifen können.
- Die Nutzer müssen die Möglichkeit haben, ihre Einwilligung auf bestimme Kategorien von Cookies zu beschränken. Falls ihnen die Möglichkeit eingeräumt wird, alle Kategorien mit einem Klick anzunehmen, müssen sie die Möglichkeit haben, alle Kategorien von nicht notwendigen Cookies pauschal abzulehnen.
- Die Ablehnung des Nutzers muss in gleicher Weise wie die Einwilligung protokolliert werden. Der Nutzer darf nach Erklärung der Ablehnung für einen bestimmten Zeitraum nicht erneut nach seiner Zustimmung gefragt werden.
- Die CNIL empfiehlt außerdem, die Einwilligung in angemessenen Abständen (ca. alle 6 Monate) erneut einzuholen.
Praxisstipps:
- Prüfen Sie, ob auf Ihrer Webseite Cookies eingesetzt werden und ob hierfür eine Einwilligung der Nutzer erforderlich ist.
- Falls die Einwilligung der Nutzer erforderlich ist, prüfen Sie, ob das Cookie-Banner die oben beschriebenen Anforderungen der DSGVO erfüllt.
- Denken Sie daran, Ihre Datenschutzerklärung und/oder Cookie-Richtlinie entsprechend anzupassen.
- Passen Sie auf Ihrer französischen Webseite den Cookie-Hinweis an die Anforderungen der CNIL an.
08.06.2020