Datenschutz: Manche Cookies kosten

In der Welt des Datenschutzes fällt mitunter der Satz „Wir reden hier von Cookies, aber leider nicht von denen, die man essen kann“ oder so ähnlich. Dabei reden wir heutzutage meist von den Cookies, die Webseiten-Betreiber auf ihrer Webseite einsetzen, um verschiedene Parameter messen und Funktionen bieten zu können. Doch was bedeutet der Ausspruch „Datenschutz: Manche Cookies kosten“?

Beispiele für Bußgelder

Und so lesen wir immer häufiger, dass Bußgelder im Zusammenhang mit dem Einsatz von Cookies verhängt worden sind:

1)     EUR 16.000 für den Einsatz nicht notwendiger Cookies bei Seitenaufruf und fehlender Information dazu (Link).

2)    EUR 50.000 für den Einsatz von Cookies ohne Einwilligung (Link).

3)    EUR 4.000 für den Einsatz nicht erforderlicher Cookies ohne Einwilligung (Link).

4)    EUR 60.000.000 wegen fehlender Möglichkeit, Cookies leicht abzulehnen (Link.

5)    EUR 90.000.000 wegen fehlender Möglichkeit, Cookies genauso leicht ablehnen wie annehmen zu können (Link).

Die Liste ist weitaus länger. Hinzukommt, dass wir sicherlich auch nicht von allen verhängten Bußgeldern im Zusammenhang mit einem nicht DSGVO-konformen Einsatz von Cookies erfahren.

Jedoch: Bislang ist noch kein Bußgeld gegen Cookies in Deutschland bekannt geworden. Nachdem die Datenschutzkonferenz der deutschen Aufsichtsbehörden am 20.12.2021 eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht haben, rechnen wir jedoch auch hierzulande mit einem verstärkten Vorgehen gegen Webseiten-Betreiber, die sich nach der Auffassung der Aufsichtsbehörden nicht datenschutzkonform beim Einsatz von Cookies verhalten. Aktuell laufen beispielsweise Prüfungen von Aufsichtsbehörden zum Thema Tracking – den Fragebogen zu dieser Prüfung finden Interessierte hier – und bezüglich Webhoster – Link zum Fragebogen hier.

Fehler beim Cookie-Einsatz

Es gibt mehrere Rechtsverstöße, die ein Webseiten-Betreiber beim Einsatz von Cookies begehen könnte. – Genaueres können Sie übrigens gern in unserem Beitrag „Cookies – Bußgelder beim Einsatz vermeiden“ nachlesen. – Der nach unserer Erfahrung häufigste Rechtsverstoß ist das Fehlen einer (rechtswirksamen) Einwilligung für den Einsatz von technisch nicht notwendigen Cookies.

Personenbezogene Daten

Eventuell hilft es Webseiten-Betreibern auch, zuallererst zu wissen, welche personenbezogene Daten bei Besuch einer Webseite verarbeitet werden (könnten). Aufgrund technisch notwendiger Cookies – also solche, die benötigt werden, um eine Webseite überhaupt betreiben zu können – verarbeitet der Webseiten-Betreiber folgende Daten:

1)     die IP-Adresse des aufrufenden Rechners,

2)    das Betriebssystem des aufrufenden Rechners,

3)    die Browser-Version des aufrufenden Rechners,

4)    den Namen der abgerufenen Datei,

5)    das Datum und die Uhrzeit des Abrufes,

6)    die übertragene Datenmenge sowie

7)    die verweisende URL.

Darüber hinaus gibt es je nach Art des Cookies zusätzliche verarbeitete Daten, die als personenbezogen gelten können. Beispiele dafür sind:

1)     Waren, die sich im Online-Shop-Einkaufswagen befinden,

2)    Standort des Gerätes, mit dem eine Person die Webseite aufruft,

3)    jegliche Eingaben in Schriftfeldern,

4)    bevorzugte Produkte,

5)    Interessen,

6)    Alter der Person,

7)    Passwörter,

8)    gesundheitliche Angaben,

9)    eindeutige Nutzeridentifikationsnummer.

Natürlich beziehen sich diese Angaben immer auf die Person, die mit einem bestimmten Gerät im Internet oder über eine App aktiv ist. Selbst wenn es sich hierbei um mehrere Personen handeln kann, besteht dennoch die Möglichkeit, auch dies zu identifizieren.

Zu beachten

Ein Webseiten-Betreiber muss Besucher darüber informieren, welche Cookies er setzen möchte. Dies ist u. a. Inhalt der Datenschutzerklärung (Datenschutzhinweis), auf die im Cookie-Banner verwiesen wird. Setzt er Cookies, die über die technisch tatsächlich notwendigen hinausgehen, muss er bei Aufruf der Webseite bzw. vor dem Setzen der Cookies zwingend eine Einwilligung nach § 25 TTDSG in das Setzen und Auslesen des Cookies sowie nach Artt. 6 Abs. 1 lit. a)  und 7 DSGVO für die anschließende Verarbeitung personenbezogener Daten sowie gegebenenfalls für die Übermittlung der Daten in Drittländer nach Art. 49 DSGVO einholen. Dies erfolgt meist über einen Cookie-Banner.

Des Weiteren ist es notwendig, dem Webseiten-Besucher zu ermöglichen, den Einsatz technisch nicht notwendiger Cookies genauso einfach abzulehnen wie zuzustimmen. Das TTDSG weist in § 25 speziell darauf hin: Die durch die Rechtsprechung gefestigten Anforderungen an die Einwilligung in das Setzen von Cookies durch diese gesetzliche Neuregelung zwingt zur Überprüfung der bisherigen Praxis und Anpassung der Einwilligungstexte und Prozesse. – Mehr zum Thema Cookies, was ein Verantwortlicher vermeiden sollte und was zu beachten ist, liefern folgende unsere Beiträge „Cookies – Bußgelder beim Einsatz vermeiden„, „Cookies – Einwilligung oder berechtigtes Interesse“ und „BGH: Cookie-Einwilligung von Webseiten„. –

Fazit

Als Webseiten-Betreiber und damit i. S. d. DSGVO Verantwortlicher sowie als Telemedienanbieter ist es unabdingbar, seinen Pflichten nachzukommen. Cookies dürfen eingesetzt werden, wenn diese technisch notwendig sind oder der Betroffene wirksam eingewilligt hat. Die wirksame Einwilligung hängt von der transparenten Information sowie der Freiwilligkeit der Einwilligung ab. Wenn Sie also als Verantwortlicher und Telemedienanbieter (= Webseiten-Betreiber) Beratung beim datenschutzkonformen Einsatz von Cookies wünschen, helfen wir Ihnen gern weiter. Zögern Sie nicht, uns zu kontaktieren.

Mehr zum datenschutzkonformen Einsatz von Cookies erfahren Sie im Video unter folgendem Link: