Datenschutz
30.10.2020
Tracking-Urteile

Cookies auf dem Prüfstand

Online-CookiesOnline-CookiesOnline-Cookies
Inspiring / shutterstock.com
Die Aufsichtsbehörden wollen künftig verstärkt auf DSGVO-Konformität bei der Verwendung von Tracking-Technologien (Cookies) achten. Im Fokus stehen dabei Medienunternehmen.
Jüngst haben verschiedene Datenschutzaufsichtsbehörden in Deutschland angekündigt, ab sofort verstärkt Webseiten auf die Einhaltung der Vorgaben der Datenschutz-Grundverordnung zum Einsatz von Cookies und ähn­lichen Tracking-Technologien zu überprüfen.
Hierbei werden in einem ersten Schritt insbesondere die Internetseiten von Medienunternehmen im Fokus stehen, da diese Tracking-Dienste in der Regel in einem besonders großen Umfang einsetzen.
Dem Vernehmen nach ist die Prüfung länderübergreifend vorbereitet worden und soll in enger Zusammenarbeit mit den Landesdatenschutzbehörden innerhalb ihres jeweiligen Zuständigkeitsbereichs durchgeführt werden.
Im Folgenden werden die wesentlichen Vorgaben für eine Verwendung von Cookies skizziert, die mit der Datenschutz-Grundverordnung konform ist.

Nur mit Einwilligung

Cookies und andere Tracking-Technologien sind kleine Textdateien, die auf ein Endgerät, zum Beispiel einen Computer oder ein Smartphone, heruntergeladen werden, wenn der Benutzer auf eine Webseite zugreift. Das ermöglicht der Web­site, das Gerät des Benutzers zu erkennen und einige Informationen über dessen Vorlieben oder frühere Aktionen zu speichern.
Für die Nutzung dieser Cookies muss nach einer Entscheidung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) in bestimmten Fällen eine Einwilligung im Opt-in-Verfahren erteilt werden.
Der Begriff der Einwilligung ist in Art. 4 Nr. 11 und Art. 7 der Datenschutz-Grundverordnung definiert. Hiernach muss eine Einwilligung eine eindeutig bestätigende Handlung sein, die freiwillig, bestimmt, informiert und unmissverständlich die Zustimmung der betroffenen Person zur Datenverarbeitung zum Ausdruck bringt. Das heißt, eine Einwilligung muss durch aktives Handeln erteilt werden. Ein Hinweis in der Datenschutzerklärung ist nicht ausreichend.
Zudem muss die Einwilligung vom Nutzer widerrufen sowie auf Anfrage nachgewiesen werden können.

Notwendig? Nicht notwendig?

Ob eine solche Einwilligung für die Nutzung von Cookies und anderen Tracking-Technologien einzuholen ist, richtet sich hauptsächlich danach, ob es sich um notwendige oder nicht notwendige Cookies handelt. Bei der Beurteilung der Notwendigkeit ist auf die Perspektive des Nutzers und nicht etwa auf die des Website-Betreibers oder eines Dritten abzustellen.
Zu den regelmäßig notwendigen Cookies zählen User-Input-Cookies, Authentifizierungs-Cookies, Session-Cookies für Multimedia-Player, Load-balancing Session-Cookies oder benutzerbezogene Sicherheits-Cookies. Zu den nicht unbedingt notwendigen Cookies werden in der Regel Social-Media-Plug-in-Tracking-Cookies, Werbe-Cookies von Drittanbietern oder Analytics-Cookies gerechnet. Eine per Cookie-Banner eingeholte Einwilligung ist stets dann erforderlich, wenn nicht notwendige Cookies eingesetzt werden sollen.
Daher gilt es nun in den Unternehmen, die von ihnen eingesetzten Tracking-Technologien zu prüfen und dabei he­rauszuarbeiten, ob Einwilligungen notwendig (etwa aufgrund der Weitergabe der Daten an Dritte) und ob Cookie-Banner gegebenenfalls anzupassen sind.
Besondere Brisanz erhält die Thematik durch das jüngst
ergangene Schrems-II-Urteil des Europäischen Gerichtshofs zum EU-US Privacy-Shield, wonach Datenübermittlungen in die USA nur noch in Ausnahmefällen ohne Weiteres zulässig sind.

mehr zum Thema