Was Webseitenbetreiber zum Thema Cookie-Hinweispflicht wissen müssen
Bei der Neugestaltung oder bei der Überarbeitung einer Website stellen sich zunächst Fragen zu Inhalten und Design. Gleichzeitig sind Websitebetreiber:innen mit dem häufig als lästig empfundenen Themen Datenschutzhinweise, Cookies, Drittenstaatentransfer und Consent- Banner konfrontiert. Unsere Erfahrungen aus der anwaltlichen Beratungstätigkeit zeigen, dass in diesem Bereich viel Unsicherheit herrscht. Seit dem 01.12.2021 gelten überdies neue Regelungen des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Dies ist Anlass genug, einen genaueren Blick auf die rechtlichen Rahmenbedingungen für die Datenverarbeitung auf Websites zu werfen.
Bei Betrieb einer Website werden eine Fülle von Daten der Websitebesucher:innen verarbeitet. Bereits beim bloßen Aufruf einer Website, übermittelt der Browser Daten – wie die IP-Adresse – an den Server. Füllt beispielsweise jemand ein Kontaktformular aus, werden überdies die eingegebenen Daten übermittelt.
Abhängig vom Funktionsumfang und eingesetzten Diensten werden zudem regelmäßig sogenannte Cookies verwendet. Cookies sind Textdateien oder Informationen in einer Datenbank, die auf der Festplatte der Websitebesucher:innen gespeichert und dem verwendeten Browser zugeordnet werden. Damit kann beispielsweise sichergestellt werden, dass der im Onlineshop gefüllte Warenkorb auch beim nächsten Besuch noch gefüllt ist oder das Verhalten von Besucher:innen analysiert werden.
Die Rechtmäßigkeit der Verarbeitung der Daten richtet sich primär nach den Vorschriften des TTDSG sowie der Datenschutz-Grundverordnung (DS-GVO).
Mit dem TTDSG hat der deutsche Gesetzgeber die europäischen Vorgaben der ePrivacy- Richtlinie umgesetzt. Das TTDSG regelt unter anderem den Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen, unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Für Websitebetreiber:innen ist hier § 25 TTDSG von besonderer Bedeutung.
Sofern Informationen in der Endeinrichtung von Websitebesucher:innen (z. B. PC oder Tablet) gespeichert werden, ist grundsätzlich eine Einwilligung der Betroffenen erforderlich. Dies ist insbesondere der Fall, wenn Cookies gesetzt werden. Ebenso ist eine Einwilligung erforderlich, sofern der Zugriff auf Informationen erfolgt, die bereits in der Endeinrichtung gespeichert sind (§ 25 Abs. 1 S. 1 TTDSG).
Vom Grundsatz der Einwilligungsbedürftigkeit sind in § 25 Abs. 2 TTDSG allerdings zwei Ausnahmen normiert, wobei für Websites die Nr. 2 relevant ist. Danach bedarf es keiner Einwilligung, wenn die Speicherung oder der Zugriff unbedingt erforderlich ist und Nutzer:innen den Telemediendienst (die Website) ausdrücklich nutzen wollen.
Als unbedingt erforderliche Cookies, die mithin keiner Einwilligung bedürfen, werden regelmäßig angesehen: „Warenkorb-Cookies“ sowie die Nutzung von Cookies oder vergleichbaren Technologien zur Authentifizierung oder Speicherung von Nutzer-Präferenzen. Nicht unbedingt erforderlich sind in der Regel Cookies und Technologien, die allein Marketing- und Werbezwecken von Onlineangeboten dienen.
Die DS-GVO dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Es gilt das in Art. 6 DS-GVO niedergelegte Verbot mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist danach grundsätzlich unzulässig, es sei denn, dass die Vorschriften DS-GVO oder andere Rechtsvorschriften dies erlauben oder anordnen oder der Betroffene in die Verarbeitung eingewilligt hat.
Die genaue Abgrenzung des Anwendungsbereiches des TTDSG und der DS-GVO ist auch unter Juristen nicht final geklärt und würde in diesem Artikel den Rahmen sprengen. Für die Praxis können Sie sich zwei Punkte merken. Erstens kann grundsätzlich mit der Einwilligung nach dem TTDSG gleichzeitig eine datenschutzrechtliche Einwilligung eingeholt werden. Zweitens wird in der Regel – im Bereich von Cookies und ähnlichen Technologien – nach der DS-GVO keine Einwilligung erforderlich sein, sofern eine solche nicht nach dem TTDSG erforderlich ist.
Wir berichteten erst kürzlich über den Einsatz von Google Fonts. Hier ist mit Verweis auf eine aktuelle Entscheidung des LG München höchste Vorsicht geboten.
Die Nutzung von Google Fonts kann nach Ansicht des LG München (Urteil vom 20.01.2022, Az: 3 O 17493/20) datenschutzrechtlich nicht auf ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden, sofern die IP-Adresse der Websitebesucher:innen an Google in die USA übermittelt wird.
Gegenstand der Entscheidung war der Einsatz von Google Fonts auf der Website des Beklagten. Google Fonts ist ein interaktives Verzeichnis mit über 1300 Schriftarten, welche die Google LLC zur freien Verwendung bereitstellt. Damit eine Schriftart (englisch: font) bei Aufruf einer Website korrekt dargestellt werden kann, muss diese Websitebesucher:innen zur Verfügung gestellt werden. Google Fonts bietet insoweit eine bequeme Lösung: Bei Aufruf der Website wird eine Verbindung zu den Servern von Google hergestellt und Schriftarten werden automatisch geladen.
Diesen Weg hatte auch die Beklagte gewählt. Das Problem bei dieser Ausgestaltung besteht darin, dass die IP-Adresse von Nutzer:innen an Google übermittelt wird – so auch die IP- Adresse des Klägers.
Das LG München stellte in seinem Urteil zunächst klar, dass es sich bei dynamischen IP- Adressen für Betreiber:innen einer Website um personenbezogene Daten handle. Weiter urteilte das LG München, die Übermittlung personenbezogener Daten könne nicht auf ein berechtigtes Interesse des Betreibers i.S.d. Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden. Ein solches läge gerade nicht vor, da Schriften auch lokal auf dem eigenen Server eingebunden werden könnten und eine Übermittlung der IP-Adressen an Google mithin nicht erforderlich sei. In diesem Zuge stellte das LG München ferner klar, dass Nutzer:innen keine Pflicht zur Verschleierung ihrer IP-Adresse treffe.
Das Gericht stellte schließlich fest, dass der Kläger in seinem Recht auf informationelle Selbstbestimmung verletzt sei und verurteilte die Beklagte zur Unterlassung der Offenlegung der IP-Adresse an Google. Zudem sprach es dem Kläger einen Schadenersatzanspruch in Höhe von 100,00 € zu.
Betreiber:innen einer Website, die Google Fonts nutzen, sollten unbedingt prüfen, ob bei Aufruf der Website eine Verbindung zu Servern von Google aufgebaut wird. Sofern dies der Fall ist, sollte diese Praxis eingestellt werden. Die gute Nachricht ist: Die Bereitstellung der Schriftarten lässt sich technisch auch ohne Datenübermittlung an Google sicherstellen. Es ist alternativ möglich, Schriften lokal auf dem eigenen Server einzubinden. Dafür müssen die verwendeten Google Fonts heruntergeladen und selbst gehostet werden. Eine Einwilligung ist in diesem Falle nicht erforderlich.
Sofern nach dem TTDSG oder der DS-GVO eine Einwilligung der Betroffenen erforderlich ist, ist im Regelfall die Implementierung eines Consent-Managements nebst Consent-Banner („Cookie-Banner“) erforderlich. Damit kann sichergestellt werden, dass Betroffene eine wirksame Einwilligung erteilen.
Gemäß Art. 4 Nr. 11 DS-GVO ist die „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
In der Praxis weisen „Cookie-Banner“ jedoch häufig zahlreiche Mängel auf. Bei Verwendung unzureichender Lösungen besteht die Gefahr, dass Einwilligungen unwirksam und die Datenverarbeitungen unzulässig sind.
Die in NRW zuständige Datenschutzbehörde – die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen – stellte bei einer Prüfung von Websites in 2021 fest, dass die meisten der geprüften Websites nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken entsprachen. So werden – auch nach unserer Erfahrung – Cookies häufig bereits gesetzt, bevor eine Einwilligung erteilt wurde. Nutzer:innen wird teilweise keine echte Wahlmöglichkeit gegeben oder das Ablehnen von Cookies ist erst über Umwege möglich. Zudem werden Nutzer:innen über die Gestaltung des Banners manipuliert und so unterschwellig zur Abgabe einer Einwilligung gedrängt (sog. Nudging).
Betreiber:innen von Websites haben Betroffene nach Art. 12 ff. DS-GVO über die Verarbeitung personenbezogener Daten zu informieren. Dafür sollten Datenschutzhinweise bereitgehalten werden, welche jeweils die auf der Website bestehenden Datenverarbeitungen umfassen. Sofern ein neuer Dienst aufgenommen wird, sollten dementsprechend auch die Datenschutzhinweise ergänzt / überarbeitet werden.
Websitebetreiber:innen sollten zur rechtskonformen Datenverarbeitung auf der eigenen Website Folgendes beachten:
1. Prüfen Sie, welche Daten im Rahmen des Betriebs Ihrer Website verarbeitet werden. Häufig können Funktionen und Dienste deaktiviert und die damit verbundene Datenverarbeitung beendet werden, da Funktionen und Dienste bei näherer Betrachtung nicht genutzt werden.
2. Prüfen Sie, ob für die danach bestehenden Verarbeitungen eine Einwilligung erforderlich ist. In diesem Falle sollte in der Regel eine Lösung zum Consent-Management nebst Banner implementiert werden.
3. Sofern Daten – beispielsweise beim Einsatz von US-Dienstleistern – in Drittstaaten außerhalb der EU/des EWR übermittelt werden, ist besondere Vorsicht geboten. Der Einsatz dieser Dienste sollte geprüft werden.
Diese Hinweise ersetzen selbstverständlich nicht die technische Unterstützung beim Aufbau der Website sowie die rechtliche Prüfung im Einzelfall.
Rechtsanwalt Tröber ist Fachanwalt für IT-Recht und seit etwa 25 Jahren in allen Bereichen des Rechts der Informationstechnologie tätig. Seine auf IT-Recht, Gewerblichen Rechtsschutz und Datenschutzrecht spezialisierte Kanzlei finden sie hier.
Gerne betreuen wir Ihre Website, beantworten im Zuge dessen Ihre Fragen zum Thema „Cookie-Hinweis" und führen die Anpassungen des Cookiebanners direkt & unkompliziert durch. Wir freuen uns auf Ihre Anfrage!