Das 1×1 beim Cookie Banner – Checkliste zum Aufbau eines rechtskonformen Cookie Banners (Stand 03/2021)

 
Die Gesetzeslage | Unsere Checkliste | Auswirkungen auf das Marketing | Linkliste
 

DSGVO, Bundesdatenschutzgesetz, Privacy Shield: Ein Exkurs in die Gesetzeslage

Seit Mai 2018 gilt die EU Datenschutzgrundverordnung (EU-DSGVO) für alle EU-Mitgliedsstaaten. Zeitgleich trat das neu konzipierte Bundesdatenschutzgesetz in Kraft, das die DSGVO um die Bereiche ergänzt, in denen die Verordnung der Europäischen Union den Mitgliedstaaten Gestaltungsspielräume belassen hatte. Das BDSG und die DSGVO regeln den Umgang mit Daten und begegnen uns seitdem vielerorts mit dem Ziel, die Interessen von Unternehmen und Konsumenten zu bedienen und dabei den Schutz personenbezogener Daten sowie freien Datenverkehr innerhalb der Europäischen Union zu gewährleisten.

Im Internet begegnen uns überall Antworten auf die geltenden Gesetze in Form von Cookie Bannern. Wo früher oft eher spärliche Hinweise zu sehen waren, die sich manchmal eure Kenntnisnahme nicht erst durch ein klickbares Element haben bestätigen lassen, trifft man nun Banner, die den Inhalt der Seiten, ähnlich einer Paywall, zum Teil oder ganz verdecken. Erst nachdem ihr die Cookie-Einstellungen vorgenommen habt, könnt ihr die Seite störungsfrei betrachten. Der Europäische Datenschutzausschuss ist der Auffassung, dass mit Cookie-Walls keine wirksame Einwilligung eingeholt werden kann. Ausnahmen gibt es für den Einsatz im Zusammenhang mit bezahlten Diensten. Das kann den offiziellen Guidelines (englisch) entnommen werden.

Unternehmen versuchen der DSGVO und dem BDSG gerecht zu werden, um einerseits das Vertrauen der Konsumenten zu wahren und andererseits hohen Strafen durch den abschreckenden Bußgeldrahmen, der bei gravierenden Verstößen bis 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes reicht, zu entgehen.

Mit dem Urteil vom 28. Mai 2020 folgt die höchste rechtliche Instanz in Deutschland, der Bundesgerichtshof (BGH), der Einschätzung des EuGHs vom Vorjahr in Bezug auf den Fall “Planet49”. Demnach ist die aktive und freie Einwilligung des Nutzers unbedingt erforderlich, bevor nicht-notwendige Cookies auf einer Website platziert werden. Vorab angekreuzte Auswahlkästchen werden im BGH-Urteil ebenso als gesetzwidrig eingestuft.

Eine weitere Entscheidung kam am 16. Juli 2020 vom Europäischen Gerichtshof (EuGH), bei der das sogenannte Privacy Shield-Abkommen zwischen der EU und den USA für ungültig erklärt wurde. Dies soll einen ausreichenden Schutz bei der Übertragung von Daten europäischer Verbraucher in ein Drittland wahren. Davon könne jedoch auf Grundlage der US-Gesetzgebung nicht ausgegangen werden. Das bedeutet in der Theorie, dass keine Nutzerdaten aus der EU in die USA übertragen und dort verarbeitet werden dürfen. Für unzählige Tools und Dienste wäre dies das Ende. Da das Internet, wie wir es heute kennen und nutzen, damit weiter massiv eingeschränkt wird, wird aktuell noch über mögliche Lösungen diskutiert. Unternehmen sind dennoch dazu angehalten, zu prüfen, welche Dienste sie aus den USA nutzen und wie die Datenverarbeitung in Drittländer aktuell aussieht.

Des Weiteren kommt es zu Veränderungen im Datenverkehr mit United Kingdom. Da dieses durch den Brexit voraussichtlich ab Mitte 2021 als EU-Drittstaat gelten könnte, ist die DSGVO nicht mehr anwendbar. Dies betrifft alle Projekte, deren Unternehmen in UK sitzen, gezielt dort werben und/oder personenbezogene Daten erfassen. Die DSGVO wurde als UK GDPR in nationales Recht überführt, wodurch sich aktuell keine inhaltlichen Änderungen im Datenverkehr ergeben, sondern lediglich formulierungstechnische Anpassungen in Verträgen nötig sind. In Bezug auf eure Kundenprojekte erhaltet ihr weitere Informationen von eurem Datenschutzbeauftragten bzw. Rechtsbeistand.

Verstöße gegen die DSGVO-Richtlinien ziehen je nach Art und Umfang Bußgelder und Strafen nach sich. Folgende Konsequenzen drohen unter anderem nach aktuellem Stand:

• Untersagungsverfügungen der Behörden
• Umsatzabhängige Bußgelder (in Deutschland mindestens einen Tagesumsatz)
• Abmahnungen  und Schadensersatzforderungen der Nutzer (Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung)
• Abmahnungen durch klagebefugte Organisationen (z.B. Verbraucherzentrale, Wettbewerbszentrale etc).
• Abmahnungen durch von Mitbewerbern aktivierten Anwälten

Das Thema des datenschutzkonformen Trackings sowie der rechtskonforme Einsatz von Tools und Diensten wird für den Nutzer immer unübersichtlicher und sorgt für Verwirrung. Das schürt die Angst bei Unternehmen, geltende Gesetze nicht korrekt auf der eigenen Website umzusetzen und am Ende sowohl finanziellen Schaden zu nehmen als auch das Vertrauen der Anwender zu verlieren. Auch wir sind keine Rechtsberatung und können diese Aufgabe für euch nicht vollends übernehmen. 

Da uns bei vielen Websites jedoch immer wieder auffällt, dass die Cookie Banner nicht korrekt auf Basis der aktuellen Gesetzeslage umgesetzt sind, möchten wir mit unserer Checkliste eine Hilfestellung geben. Diese enthält die wichtigsten Anforderungen bzgl. des Aufbaus und der Inhalte an einen Cookie Banner. Beachtet bitte, dass ihr bei der Umsetzung die Texte von eurem Datenschutzbeauftragten oder Rechtsbeistand auf Vollständigkeit und Richtigkeit überprüfen lassen solltet. Wir sprechen an dieser Stelle nur von unseren Empfehlungen und Erfahrungen.

Checkliste: Das macht einen guten Cookie Banner aus

Informationen über Cookies

Euer Cookie Banner muss einen Einleitungstext enthalten. Dieser …