Cookie Einwilligung: FAQ zu Datenverarbeitungen auf Webseiten

Die Erteilung der Einwilligung in die Datenverarbeitungen auf einer Webseite ist vielen Internetnutzern (verständlicherweise) ein Dorn im Auge. Statt direkt auf die Seite zu gelangen, die sie aufrufen wollen, müssen Webseitenbesucher je nach Vorliebe zuerst Ihre Einwilligungen pauschal erteilen, ablehnen oder individuelle Voreinstellungen dazu auswählen. Auch für die Betreiber von Webseiten ist die Umsetzung schwierig. Oft ist unklar, was genau eine Datenverarbeitung darstellt und nach welchen Kriterien die Nutzer eine Einwilligung erteilen müssen, damit die Verarbeitung rechtmäßig ist.

Mit unserer FAQ zu einwilligungspflichtigen Datenverarbeitungen auf Webseiten wollen wir Schritt für Schritt Klarheit in dieses komplexe Thema bringen.

Warum werden personenbezogene Daten verarbeitet, wenn ich nur eine Webseite aufrufe?

Der Aufruf einer Webseite besteht aus Sicht des Nutzers aus der Eingabe der gewünschten Internetadresse in die Adressleiste des Browsers. Dies startet den Prozess des Webseitenaufrufs. Was Sie dabei nicht sehen ist, dass Ihr Browser mit unterschiedlichen Webservern auf der ganzen Welt in Kontakt tritt, dort hinterlegte Datenpakete abfragt und aus diesen Paketen das zusammensetzt, was Sie im Anschluss auf Ihrem Bildschirm als aufgerufene Webseite sehen. In diesem Prozess wird zwingend Ihre eigene IP-Adresse an Webserver übermittelt. Da mit Hilfe der IP-Adresse ein Bezug zu Ihrer Person möglich ist, gehört die IP-Adresse zu den personenbezogenen Daten.

Mögliche weitere Daten, die dabei übertragen werden, sind Informationen, die als Cookies auf Ihrem Endgerät abgelegt oder aus sich bereits dort befindlichen Cookies ausgelesen werden. Darüber hinaus kann über eine Technologie namens Local Storage bzw. Session Storage ein Datenaustausch zwischen den Diensten und ihrem Rechner stattfinden, ähnlich wie bei der Verwendung von Cookies.

Warum ist notwendig, dass Daten von meinem Computer abgerufen werden, wenn ich eine Webseite besuche?

Wenn Sie einen Webshop besuchen, kann über Cookies z.B. gespeichert werden, was Sie bereits in den Warenkorb gelegt haben. Je nach Art und Komplexität der Webseite ist es auch notwendig zu wissen, welche Art von Gerät Sie benutzen und welche Dienste oder Schriftarten darauf installiert sind. Nur dann kann die Webseite auf Ihrem Bildschirm korrekt dargestellt werden.

Aber das sind doch oft nur technische Daten. Warum kann das problematisch sein?

Mit Hilfe dieser vorgenannten Daten findet bei vielen Webseitenaufrufen ein sogenanntes ‘Tracking’ statt. Das Tracking erfolgt meist über sogenannte Third Party Requests mit Hilfe des sogenannten Fingerprintings. Dabei werden verschiedene Informationen über die Konfiguration von Geräten und Browsern zusammengetragen. Verwendete Informationen sind hier z.B. das verwendete Betriebssystem, der genutzte Browser, die Bildschirmauflösung oder installierte Schriftarten. Diese Merkmale sagen für sich genommen erst einmal nicht viel aus. Kombiniert ergeben sie jedoch eine Art digitaler Fingerabdruck. Darüber können professionelle Datensammler einen Nutzer mit hoher Genauigkeit wiedererkennen, im Anschluss weitere Informationen mit höherer Aussagekraft zuordnen und damit ein Nutzerprofil anlegen. Dieses Nutzerprofil dient z.B. dazu, personalisierte Werbung auszuspielen, die Sie dazu verlocken kann, mehr Geld auszugeben als geplant.

Wenn die Daten, die für das Tracking verarbeitet werden letztlich dieselben sind, wie die Daten für die korrekte Darstellung der Webseite: Wie wird unterschieden, wann eine Cookie-Einwilligung notwendig ist und wann nicht?

Eine berechtigte Frage: die für die Funktionalität der Webseite ausgelesenen Datenarten sind oft exakt dieselben wie die, die fürs Tracking genutzt werden. Der Unterschied liegt im Zweck, für den die Daten verarbeitet werden.

Folgende häufig verwendete Einteilung von Nutzungszwecken der Daten kann helfen, um zu bewerten, ob eine Einwilligung für die Verarbeitung notwendig ist oder nicht:

Im Normalfall nicht einwilligungspflichtig:

  • Notwendige Cookies: Sie sind technisch erforderlich, damit eine Webseite überhaupt so funktioniert wie der Nutzer es vernünftigerweise erwartet.
  • Funktionale Cookies: Sie dienen zur Speicherung von Informationen, z.B. dazu, dass ein Webshop-System sich den Inhalt des Warenkorbs merkt oder Einstellungen von Consent Tools zur Cookie-Einwilligung auf Webseiten gespeichert bleiben.

Im Normalfall einwilligungspflichtig:

  • Statistik-Cookies: Darüber kann der Webseitenbetreiber das Nutzerverhalten auslesen. Er erfährt, welche Seiten oft aufgerufen werden, welche Suchbegriffe die Nutzer verwenden oder wie lange sie auf einer bestimmten Seite bleiben. Mit Hilfe dieser Informationen kann der Betreiber sein Angebot verbessern.
  • Marketing-Cookies: Sie dienen dazu, Ihnen Werbung anzuzeigen, die auf Ihr Nutzerinteresse abgestimmt ist.

Eine Einwilligung ist also nur bei Cookies notwendig?

Das ist so leider nicht korrekt. Dieses Missverständnis hat sich vermutlich verbreitet, weil die Barrieren auf Webseiten, die dazu dienen Ihre Einwilligung einzuholen, umgangssprachlich „Cookie Banner“ genannt werden.

Nicht nur für Cookies – auch für alle weiteren Datenverarbeitungen und Übermittlungen an andere Stellen auf Ihrer Webseite – müssen Sie überprüfen, welche Rechtsgrundlage Sie für die konkrete Verarbeitung heranziehen können. Liegt keine andere einschlägige Rechtsgrundlage für eine bestimmte Datenverarbeitung vor, müssen Sie eine Einwilligung des Nutzers dafür einholen.

Häufige weitere Daten, die beim Besuch von Webseiten anfallen sind z.B. die Nutzung von Local Storage bzw. Session Storage, die Eingabe von Daten in Kontaktformulare oder die Weiterübermittlung an andere Stellen über die Einbindung von Diensten wie z.B. dem Facebook Pixel oder dem Google Tag Manager.

Darf ich Daten von Besuchern meiner Webseite ohne Einwilligung an andere weitergeben?

Diese Frage lässt sich leider nicht pauschal beantworten. Wenn folgende Punkte alle in Summe zutreffen, benötigen Sie mit hoher Wahrscheinlichkeit keine Einwilligung dafür:

  • Sie haben grundsätzlich eine andere Rechtsgrundlage für die Verarbeitung der Daten.
  • Der Empfänger der Daten erhält diese im Rahmen einer Auftragsverarbeitung, für die alle Vorgaben aus Art. 28 DS-GVO eingehalten sind.
  • Sie sind sicher, dass der Empfänger diese Daten nicht für eigene Zwecke verarbeitet.
  • Eine eventuelle Drittlandübermittlung entspricht den Vorgaben von Kap. V DS-GVO.

Trifft mindestens einer der genannten Punkte nicht zu, müssen Sie wahrscheinlich eine Einwilligung für die Weitergabe einholen.

Woraus ergibt sich Einwilligungserfordernis auf Webseiten für manche Verarbeitungen?

  • Zunächst leitet sich die Einwilligungserfordernis aus Art. 6 DS-GVO ab. Sie benötigen für jede Art der Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Finden Sie in Art. 6 DS-GVO keine andere passende Rechtsgrundlage, müssen Sie auf die Einwilligung zurückgreifen.
  • Seit der TKG-Novelle ist in § 25 TTDSG direkt geklärt, dass der Zugriff auf Informationen in Endgeräten der Nutzer nur zulässig ist, wenn eine Einwilligung vorliegt, außer der Zugriff ist notwendig, um Telemedien- oder andere Dienste durchzuführen, die der Nutzer ausdrücklich in Anspruch nehmen möchte.

Wichtig ist, dass Sie beim Einholen einer Einwilligung die Anforderungen aus Art. 7 DS-GVO beachten:

  • Sie muss freiwillig sein.
  • Der Zweck der Einwilligung muss spezifisch formuliert sein und darf nicht zu allgemein gehalten sein. Sie müssen den Nutzer außerdem klar und ausreichend über den Zweck der Datenverarbeitung informieren. Er muss die Tragweite seiner Entscheidung nachvollziehen können.
  • Die Erteilung der Einwilligung muss aus einer eindeutigen bestätigenden Handlung des Nutzers bestehen.
  • Der Betreiber der Webseite muss nachweisen können, dass der Nutzer eingewilligt hat.
  • Der Widerruf der Einwilligung muss genauso einfach möglich sein wie die Einwilligung selbst.

Der Europäische Datenschutzausschuss (EDSA) hat in den Leitlinien 05/2020 zur Einwilligung klargestellt, wie die Bedingungen aus dem oben genannten Art. 7 DS-GVO insbesondere bei Angeboten im Internet konkret umgesetzt werden müssen.

Sind diese Bedingungen nicht erfüllt, haben Sie keine wirksame Einwilligung des Nutzers vorliegen und folglich keine einschlägige Rechtsgrundlage für die Datenverarbeitung. Damit würden Sie gegen die DS-GVO verstoßen.

Do’s & Don’ts

Empfehlenswerte Vorgehensweisen:

  • Prüfen Sie Ihre Webseite gründlich auf eingebundene datenverarbeitende Dienste und Übermittlungen – insbesondere solche, die Daten in Drittländer übermitteln oder übermitteln könnten.
  • Vermeiden Sie wo möglich die Einbindung von Diensten, die Daten in Drittländer übermitteln oder dokumentieren Sie, warum Sie auf diese Dienste nicht verzichten können.
  • Wenn Sie einwilligungspflichtige Datenverarbeitungen auf Ihrer Webseite identifizieren ist es wichtig, dass Sie diese nur dann durchführen, wenn Sie eine rechtmäßige Einwilligung des Nutzers dafür haben.
  • Informieren Sie die Nutzer transparent und ohne Barrieren darüber, wofür sie ihre Einwilligung erteilen.
  • Gestalten Sie die Webseite so, dass sie auch gut nutzbar ist, wenn der Nutzer keine Einwilligung erteilen möchte.

So bitte nicht:

  • Voreingestellte Einwilligungen: Die Einwilligung gilt nur dann als rechtmäßig erteilt, wenn der Nutzer eine eindeutige zustimmende Handlung durchführt. Dies gilt regelmäßig dann nicht, wenn Sie ein Häkchen oder Kreuz bereits im Voraus aktivieren.
  • Manipulative Abfragen: Manche Anfragen auf Einwilligung des Nutzers sind so gestaltet, dass der Nutzer sich zur Einwilligung gedrängt fühlt. Dann kann die erforderliche Freiwilligkeit der Einwilligung in Frage gestellt werden. Beispiele:
    • Die Auswahlmöglichkeit zum Ablehnen der Einwilligung ist nur sehr schwer zu finden oder auszuwählen.
    • Die Formulierung ist so gewählt, dass der Nutzer sich „unfreiwillig“ dafür entscheiden möchte, in die Datenverarbeitung einzuwilligen (z.B. „Ich möchte meine Daten nicht zur Verfügung stellen und verzichte damit ausdrücklich darauf, einen guten Zweck zu unterstützen.“).
  • Einsatz einer sogenannte Cookie-Wall: Von einer Cookie-Wall ist dann die Rede, wenn ein Nutzer die Webseite entweder gar nicht oder nur extrem eingeschränkt nutzen kann, wenn er seine Cookie-Einwilligung nicht erteilt. Die Rechtmäßigkeit dieser Praxis ist aktuell auf dem Prüfstand bei einigen Aufsichtsbehörden.
  • Voreiligkeit: Wenn Sie bereits einwilligungspflichtige Daten verarbeiten, obwohl noch keine Einwilligung vorliegt, ist das nicht rechtmäßig. Sie dürfen einwilligungspflichtige Daten der Nutzer erst dann verarbeiten, wenn die Einwilligung wirksam erteilt wurde.

Sie haben weitere Fragen zur Einwilligung in Datenverarbeitungen auf Ihren Webseiten? Wir freuen uns auf Ihre Nachricht, um gemeinsam mit Ihnen Datenschutz besser zu machen!

Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.

Hilfreicher Link:

Autor: Mareike Fischer, 28.01.2022

Bildquelle: Bild von quimono auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.