Datenschutzregeln für Cookies im Marketing
Betreiber von Websites sollten sich mit dem datenschutzgerechten Einsatz von Cookies beschäftigen. In den Cookie-Dateien werden Angaben für Werbezwecke in Profilen gespeichert. Das können Informationen zur verwendeten Hard- oder Software sein, die IP-Adresse, die Bewegungen des Nutzers im Netz, seine Vorlieben, Interessen und sogar die Schuhgröße. Wenn die Cookies Informationen beinhalten, die einen Website-Besucher als „unique user“ identifizieren, gilt für sie die DSGVO.
Wenn Daten zwar dazu dienen, jemanden als Ziel für Werbung zu bestimmen, dabei aber keine identifizierende Daten gespeichert werden, handelt es sich um eine Pseudonymisierung. Pseudonyme Daten sind zwar personenbezogen, aber die Pseudonymisierung ist ein starkes Argument dafür, dass eine Werbemaßnahme zulässig ist. Denn das pseudonyme Profil belastet die Privatsphäre des Nutzers weniger.
Worauf müssen Sie im Marketing bei der Verwendung von Cookies achten?
Betreiben Unternehmen eine Website uns verwenden auf dieser Cookies, müssen Sie auf die Verwendung nicht nur hinweisen sondern auch die Zustimmung für die Nutzung von Cookies einholen. Dazu gibt es zahlreiche Dienstleister die sogenannte “Consent-Manager” anbieten. Bei der Konfiguration eines Cookie oder Consent-Managers werden Cookies in verschiedene Kategorien eingeteilt. Nicht für jede Kategorie von Cookies muss zwangsläufig eine Zustimmung eingeholt werden. Technisch notwendige Cookies, die bspw. für den Betrieb einer Website maßgeblich notwendig sind können auch ohne Zustimmung verwendet werden. Wohingegen Cookies die zu Marketing- oder Statistikzwecken eingesetzt werden, eine Erlaubnis durch den Besucher voraussetzen.
Was muss bei der Verwendung von technisch notwendige Cookies beachtet werden?
Oft sind Cookies für grundsätzliche Funktionen der Website notwendig, um zum Beispiel die bevorzugte Sprache, Seiteneinstellungen und den Inhalt eines Warenkorbes in einem Online-Shop zu speichern. Solche technisch erforderlichen Cookies, die keine Wiedererkennung eines Website-Besuchers ermöglichen, sind für den Datenschutz nicht relevant. Sie bedürfen keiner informierten Einwilligung.
Für die Verwendung von Cookies, die den Nutzer identifizieren, muss der Betreiber der Website die Einwilligung der Site-Besucher einholen, sich auf die Erfüllung eines Vertrages berufen können oder einen Erlaubnistatbestand gemäß Artikel 6 DSGVO geltend machen. Viele Betreiber setzen große Cookie-Banner ein, die fast die gesamten Inhalte der Webseite verdecken und nur die Möglichkeit bieten, mit einem Ok-Button Cookies zu akzeptieren. Der Europäische Gerichtshof wird Banner in dieser Form wahrscheinlich für unzulässig erklären. Häufig liest man auch Sätze wie „Durch die Nutzung der Website erklären Sie sich mit der Verwendung von Cookies einverstanden“. Solche Formulierungen genügen den Anforderungen der Datenschutzbehörden nicht. Ein Link zur Datenschutzerklärung oder der Cookie-Policy, die alle Pflichtinformationen und Angaben zu den verwendeten Cookies enthält, ist Pflicht.
Was muss bei der Verwendung einwilligungsbedürftiger Cookies beachtet werden?
In einem Positionspapier schreibt die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK), dass eine Einwilligung zum Einsatz von Tracking-Mechanismen und zur Erstellung von Nutzerprofilen gegeben werden müsse. Dies wird durch das Urteil des EuGH vom Mai 2020 bestätigt. Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von sonstigen Trackern muss also eine informierte Einwilligung des Besuchers eingeholt werden. Zur sicheren Umsetzung holen Websitenverantwortliche diese Einwilligung über einen Einwilligungstext ein, der beim ersten Besuch der Website angezeigt wird. Der Text muss die erhobenen Daten und deren Verwendungszweck so gut wie möglich beschreiben. Der Nutzer muss den Text mit einer aktiven Handlung bestätigen und dadurch seine Einwilligung abgeben.
Welche Auswirkungen hat das EuGH-Urteil vom 28. Mai 2020 auf die Cookie-Nutzung ?
Der Umgang mit Cookies ist in der DSGVO nicht eindeutig geregelt und sorgte oft für Verwirrung, wenn es um die konkrete Umsetzung auf der Website ging. Ergänzend zur DSGVO ist die sogenannte „Cookie-Richtlinie“ der EU in Deutschland, über den § 15 Abs. 3 Telemediengesetz (TMG) geregelt. Die Cookie-Richtlinie schreibt eine Einwilligung vor, um Cookies verarbeiten zu dürfen. Mit dem Urteil des Bundesgerichtshof (BGH) können sich Website-Betreiber endlich an einer verbindlichen Aussage zum Einsatz von einwilligungsbedürftigen Cookies orientieren.
Die Einwilligung für die Speicherung von Cookies des Nutzers ist nur dann erfüllt, wenn keine vorangekreuzte Kästchen verwendet werden. Das bedeutet der Nutzer muss eine aktive Handlung vollziehen, aktiv auf einen Button wie bspw. “Alle Cookies akzeptieren” klicken oder die Kästchen aktiv einzeln anhaken, damit Cookies durch den Website-Betreiber verwendet werden dürfen.
Zudem muss der Seitenbetreiber den Besucher ausreichend informieren und auf das Widerspruchsrecht hinweisen. Kommen Cookies auf einer Webseite zum Einsatz, müssen Sie als Seitenbetreiber über diese in der Datenschutzerklärung informieren. Die Informationen müssen folgendes beinhalten:
- Die Rechtsgrundlagen für das Verwenden von Cookies
- Die Verarbeitungszwecke
- Die Aufbewahrungsdauer
- Die Möglichkeit zum Widerspruch
- Die Folgen eines Widerspruchs