Neue Erkennt­nisse nach ersten Prü­fungen durch Aufsichtsbehörden 

Einsatz von Cookies und Tracking-Tools auf Webseiten

Wer kennt sie nicht: Cookie-Banner, die sich inzwi­schen beim Besuch einer jeden Web­seite öffnen. Die aller­meisten können jedoch zu Abmah­nungen führen.

Die baye­rische Daten­schutz­auf­sichts­be­hörde hat am Safer Internet Day, dem 05.02.2019, Web­seiten hin­sichtlich ihrer Daten­schutz­kon­for­mität geprüft. Dabei wurden 20 Web­seiten bezüglich der Umsetzung von „Cyber­si­cherheit” und 40 Web­seiten bezüglich der Umsetzung des „Trackings” der Web­sei­ten­be­sucher durch Cookies und soge­nannte „Tracking Tools” (z. B. Google Ana­lytics) geprüft und bewertet.

Die Ergeb­nisse sind ver­öf­fentlicht und ernüch­ternd: auf keiner der geprüften Web­seiten ist – nach Meinung der baye­ri­schen Daten­schutz­auf­sichts­be­hörde – die Ein­holung der daten­schutz­rechtlich not­wen­digen Ein­wil­ligung mit den „Cookie-Bannern” rechts­konform umge­setzt (siehe Seite 24 und 25 im oben ver­linkten PDF-Dokument)!

Auf­sichts­recht­liche Kon­se­quenzen werden folgen. Das können Anwei­sungen sein, die Ein­holung von Ein­wil­li­gungen rechts­konform zu gestalten, das kann aber auch bereits die Ver­hängung einer Geldbuße sein.

Abmah­nungen drohen!

Ein wei­teres Risiko ist für Web­sei­ten­be­treiber jedoch viel wahr­schein­licher: diverse Gerichts­ur­teile, z. B. durch das OLG Hamburg Ende 2018  haben Ver­stöße gegen Daten­schutz­recht auf Web­seiten als abmahn­fähig eingestuft.

Zwar ist die bereits im letzten Jahr befürchtete Abmahn­welle aus­ge­blieben, es ist jedoch zu ver­muten, dass findige Abmahner sich bald auf unzu­rei­chende Cookie-Banner kon­zen­trieren und Web­sei­ten­be­treiber kos­ten­pflichtig abmahnen.

Meinung festigt sich auf EU-Ebene

In Juris­ten­kreisen wurde und wird die auch von der baye­ri­schen Daten­schutz­auf­sicht ver­tretene Meinung, das Setzen von Cookies (zumindest solchen, die nicht aus tech­ni­schen Gründen not­wendig sind) und die Ver­wendung von Tracking Tools auf Web­seiten erfordere zwangs­weise eine Ein­wil­ligung des Web­sei­ten­be­su­chers kon­trovers dis­ku­tiert. Inzwi­schen liegt aber ein ganz aktu­elles Rechts­gut­achten des Gene­ral­an­walts am EuGH vor, welches die Meinung auf EU-Ebene bestätigt. Auch wenn noch kein EuGH-Urteil ergangen ist, ist der EuGH in der Ver­gan­genheit häufig der Meinung des Gene­ral­an­walts gefolgt.

Wie sieht eine rechts­kon­forme Lösung aus?

Wenn vor­ein­ge­stellte Ein­wil­li­gungs­er­klä­rungen ohne Alter­na­tiven (die derzeit üblichen Cookie-Banner mit nur einem „OK”-Button) nicht rechts­konform sind, dann müssen Cookie-Banner offen­sichtlich min­destens um einen „Ablehnen” oder „Reject”-Button erweitert werden. Natürlich dürfen keine Cookies gesetzt oder Tracking Tools gestartet werden, wenn der Besucher diese Alter­native auswählt.

Ein gutes Bei­spiel ist ein dif­fe­ren­zierter Cookie-Banner, wie er z. B. hier zu finden ist.

Benö­tigen Sie Cookies oder Tracking-Tools überhaupt?

Bevor Sie nun Ihren Web­sei­ten­dienst­leister zur Umsetzung eines daten­schutz­rechts­kon­formen Cookie-Banners beauf­tragen: Fragen Sie sich, ob Sie Cookies und/oder Tracking Tools über­haupt benö­tigen. In vielen Gesprächen mit meinen Kunden habe ich her­aus­ge­funden, dass Cookies und Tracking Tools in den üblichen Ange­boten zur Erstellung und Wartung von Web­seiten ent­halten sind, die damit erzielten Ergeb­nisse oft aber über­haupt nicht genutzt werden.

In diesen Fällen haben sich viele meiner Kunden ent­schieden, dem Risiko zu ent­gehen, indem keine Cookies und Tracking Tools mehr auf der Web­seite ein­ge­setzt werden.

Fazit:

Warum ein Risiko ein­gehen, wenn Sie davon noch nicht einmal einen Vorteil haben?