DATENSCHUTZRECHT
DSVGO-konforme Cookie-Banner: Checkliste
Welche Informationen über Cookies und Online-Tracking müssen an Website-Nutzer gegeben werden? Eine Checkliste des MANZ-Autors Hans-Jürgen Pollirer unterstützt Unternehmen dabei, die DSGVO-Konformität zu überprüfen und gegebenenfalls nachzubessern.
Die RL 2002/58/EG idF 2009/136/EG vom 25.11.2009 (sogenannte Cookie-Richtlinie) verlangt die Einwilligung des Website-Nutzers für das Setzen von Cookies durch den Website-Betreiber. Nach herrschender Meinung gilt dies auch für alle anderen Online-Tracking-Methoden (Web Storage, Flash Cookies, Browser Fingerprinting etc.).
In Österreich erfolgte die Umsetzung dieser Richtlinie in § 96 Abs 3 TKG 2003 (nunmehr unverändert in § 165 Abs 3 TKG 2021). Demnach sind Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft iSd § 3 Z 1 E-Commerce-Gesetz verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Darüber hinaus gelten für die Nutzung von Cookies natürlich auch die Bestimmungen der DSGVO.
„Die sogenannte Cookie-Richtlinie verlangt eine Einwilligung für das Setzen von Cookies.“
HANS-JÜRGEN POLLIRER, SECUR-DATA
Fragenkatalog gemäß Cookie-Rechtlinie
Die nachfolgende Checkliste soll Unternehmen dabei unterstützen, ihr Cookie-Banner auf DSGVO-Konformität zu überprüfen und gegebenenfalls anzupassen:
Frage 1: Haben Sie eine Bestandsaufnahme aller genutzten Cookies durchgeführt und eine Kategorisierung (unbedingt erforderliche Cookies, Funktions-Cookies, Webanalyse-/Webstatistik-Cookies, Marketing-Cookies) vorgenommen?
Frage 2: Verfügen Sie über eine geeignete Rechtsgrundlage für das Setzen von Cookies?
Anmerkung: Die gesetzlichen Bestimmungen sehen folgende Einsatzzwecke vor: Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz, Bereitstellung eines vom Benutzer ausdrücklich gewünschten Dienstes der Informationsgesellschaft, Einwilligung
Frage 3: Verfügen Sie über eine geeignete Rechtsgrundlage für die Verarbeitung der Daten, die über Cookies erfasst werden?
Anmerkung: Folgende Rechtsgrundlagen kommen in Frage: Einwilligung, Erfüllung eines Vertrages und vorvertragliche Maßnahmen, berechtigtes Interesse
Frage 4: Enthält die Datenschutzerklärung der Website alle erforderlichen Informationen zu den eingesetzten Cookies und Verarbeitungen und sind diese aktuell?
Frage 5: Enthält das Cookie-Banner alle notwendigen Informationen?
Anmerkung: Das Cookie-Banner sollte dem Website-Nutzer mindestens folgende Informationen bereitstellen: Kategorien eingesetzter Cookies und deren Einsatzzweck, Angaben zur Einwilligung und zum Widerruf derselben, Angaben zur Freiwilligkeit der Einwilligung. Angaben über die Identität des Verantwortlichen, Empfänger und Datenweitergabe an Dritte sowie Detailinformationen über eingesetzte Cookies und deren Speicherdauer können in einer verlinkten Datenschutzerklärung erfolgen.
Frage 6: Werden die Cookies erst nach aktiver Einwilligung des Benutzers gesetzt?
Frage 7: Ist der Widerruf der Einwilligung zu Cookies jederzeit und auf einfache Weise möglich?
Frage 8: Werden für die Buttons im Cookie-Banner unterschiedliche Farben verwendet?
Anmerkung: Es ist in jedem Fall ratsam, das „Farbenspiel“ nicht zu übertreiben, um den Eindruck zu vermeiden, den Benutzer in eine bestimmte Richtung zu „nötigen“.
Frage 9: Ist es für Benutzer ebenso einfach möglich, alle (einwilligungsbedürftigen) Cookies abzulehnen wie sie zu akzeptieren, und sind beide Möglichkeiten gleichermaßen verständlich?
Frage 10: Verwendet das Cookie-Banner vorangehakte Auswahlfelder, um die Einwilligung zu Cookies einzuholen?
Anmerkung: Nach den EDSA-Leitlinien ist es den Verantwortlichen nicht erlaubt, bereits angekreuzte Kästchen oder Opt-out-Konstruktionen zu verwenden, die ein Handeln der betroffenen Personen erfordern, um eine Einwilligung zu verhindern.
Frage 11: Basiert die Einwilligung zur Nutzung von Cookies auf einem sogenannten Soft-Opt-in?
Anmerkung: Laut EDSA-Leitlinien erfüllen das Scrollen, Wischen oder ähnliche Handlungen und Interaktionen eines Benutzers keinesfalls die Anforderungen einer eindeutigen, bestätigenden und freiwilligen Handlung nach Maßgabe des ErwGr 32 DSGVO.
Frage 12: Ist ein Zugriff auf die Website ohne Klicken auf den „Alle Cookies akzeptieren“-Button nicht möglich?
Gemäß EDSA-Leitlinien darf der Zugang zu Diensten und Funktionen der Website nicht von der Einwilligung des Benutzers zu Cookies abhängig gemacht werden.
Frage 13: Werden bei der Ausgestaltung des Cookie-Banners die unterschiedlichen Darstellungsmöglichkeiten der Endgeräte berücksichtigt?
Frage 14: Wurde die Speicherdauer der Einwilligung angemessen festgelegt?
Anmerkung: Endgültige Klarheit über dieses Thema wird hoffentlich die E-Privacy-VO bringen. Verschiedene deutsche Aufsichtsbehörden gehen derzeit von einer maximalen Speicherdauer der Einwilligung von sechs Monaten aus.
Frage 15: Wird eine Consent Management Platform eingesetzt?
Anmerkung: Dabei handelt es sich um ein System, das die datenschutzrechtlichen Einwilligungen über das Cookie-Banner speichert. Bei der Auswahl der Software ist auf DSGVO-Konformität zu achten, insbesondere stellen sich dabei Fragen zur Übermittlung in Drittländer (über eingesetzte Auftragsverarbeiter) und zur Rechtsgrundlage der weiteren Verarbeitung dieser Daten.
Stark gekürzter Auszug des Beitrags „Checkliste datenschutzgerechte Cookie-Banner“ aus der MANZ-Zeitschrift Dako. Weitere Details und Erläuterungen zu den einzelnen Fragen sowie zu den rechtlichen Voraussetzungen der Nutzung von Cookie-Bannern finden Sie in der Printausgabe Dako 2/2022.
Querverweise zur Norm in der RDB wurden automatisch mit dem MANZ Linkbutler erstellt.
