Neueste Beiträge
Archive
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014

Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden Württemberg hat auf seiner Seite nun Fragen und Antworten zum Thema Cookies veröffentlicht.
DARF ICH WERKZEUGE ZUR REICHWEITENANALYSE OHNE EINWILLIGUNG DER NUTZER VERWENDEN?
Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge[1] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden (siehe Kasten auf Seite 13 der Orientierungshilfe). Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer (siehe Frage 5 dieser FAQ sowie Seite 8 ff der Orientierungshilfe).
Bei der Einbindung von Elementen Dritter, z.B. Reichweiteanalyse-Tools oder Social-Media-Plugins, ist regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich (vgl. Anhang I der Orientierungshilfe). Eine ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer ist insbesondere erforderlich, wenn Dritten die Möglichkeit gegeben wird, Nutzungsverhalten zu analysieren oder wenn personenbezogene Daten an Dritte weitergegeben werden. Letzteres findet üblicherweise bei der Einbindung externer Elemente wie Social-Media-Plugins oder externer Reichweitenanalyse-Tools statt. Es ist auch wichtig zu prüfen, ob ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortung notwendig ist und ob eine Datenübertragung in Länder außerhalb der europäischen Union erfolgt und rechtmäßig ist.
[1] Ein Beispiel für ein entsprechendes Analyse-Tool ist die kostenlose Open-Source-Software Matomo, siehe https://matomo.org/ – aber auch hier sind datenschutzfreundliche Voreinstellungen zu wählen.
WELCHE COOKIES DARF ICH OHNE EINWILLIGUNG NUTZEN?
Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Verantwortliche häufig auf (vor-)vertragliche Maßnahmen Artikel 6 Absatz 1 lit. b DSGVO stützen. Dies ist z.B. bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet.
In anderen Fällen können sich Verantwortliche auf ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen. Wenn die entgegenstehenden Belange der Nutzer in diesen Fällen nicht überwiegen, ist die Nutzung von Cookies nicht einwilligungsbedürftig.
Weitere Informationen zu der durchzuführenden Interessenabwägung finden sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.
[1] Zum Widerspruchsrecht nach Artikel 21 DSGVO und entsprechende Voreinstellungen des Nutzers wie beispielsweise eine „Do Not Track“ Einstellung siehe Seite 17 f der Orientierungshilfe.
[1] Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.
FÜR WELCHE COOKIES UND TRACKING-MECHANISMEN BRAUCHE ICH DIE EINWILLIGUNG DER NUTZER?
Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) der Nutzer (vgl. Seite 8 ff der Orientierungshilfe und Frage 5 dieser FAQ). Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, großen Online-Plattform-Betreibern und Werbenetzwerken.
Aber auch der Betreiber selbst darf nicht beliebig personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.
DARF ICH ELEMENTE DRITTER WIE LIKE UND SHARE BUTTONS IN MEINE WEBSITE EINBINDEN?
Bei der Nutzung von Diensten Dritter (z. B. Analysetools oder Social Plugins) kommt es häufig zu Datenübermittlungen an Dritte. Eine solche Einbindung bedarf einer Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO. Mit wenig Aufwand nutzbar sind datenschutzfreundliche Implementierungen von Like- und Share-Buttons[1], wenn sichergestellt ist, dass Informationen über das Nutzerverhalten ohne Einwilligung des Nutzers nicht an Dritte weitergegeben und nicht websiteübergreifend zusammengeführt werden. Social-Media-Elemente sollten über eine Zwei-Klick-Lösung oder mit Hilfe datenschutzfreundlicher Einbett-Hilfen[2] eingebunden werden. Bei einem Tracking über Website- oder Geräte-Grenzen hinweg ist die Einwilligung der Nutzer immer erforderlich (siehe Frage 3).
Hinweis: Die vorgelagerte Frage der Zulässigkeit des Betriebs von Social-Media-Accounts muss für jeden Dienst im Einzelfall separat geprüft werden.[3]
[1] Wie z.B. mit Hilfe des c’t-Projekts Shariff, siehe https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html , kostenlos als Open-Source-Software erhältlich unter https://github.com/heiseonline/shariff.
[2] Siehe z.B. das c’t-Projekt Embetty, https://www.heise.de/newsticker/meldung/Embetty-Social-Media-Inhalte-datenschutzgerecht-einbinden-4060362.html , kostenlos erhältlich als Open-Source-Software unter https://github.com/heiseonline/embetty.
[3] Zum Betrieb von Facebook Fanpages siehe https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf.
WAS SIND DIE ANFORDERUNGEN AN DIE INFORMIERTE, FREIWILLIGE, AKTIVE UND VORHERIGE EINWILLIGUNG?
In der Einwilligung (vgl. Seite 8 ff der Orientierungshilfe) muss der Verarbeitungsvorgang klar und deutlich beschrieben werden. Nutzer müssen ohne weiteres verstehen können, in was sie einwilligen. Ein bloßer Hinweis „diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern“ oder „für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die Einwilligung muss nicht für die Verwendung von Cookies an sich, sondern für die Erhebung und Weitergabe personenbezogener Daten eingeholt werden. Insbesondere muss genau und verständlich aufgelistet werden, an welche namentlich zu benennenden Dritten welche Daten weitergegeben werden, bzw. welche Dritten Daten erheben oder empfangen (Empfänger) und zu welchem genauen Zweck dies geschieht. Verfolgen Dritte eigene Zwecke, müssen auch diese beschrieben werden. Diese Informationen müssen klar und deutlich dargestellt werden und dürfen nicht verschleiert werden, auch nicht durch die Wahl der Überschrift. Nutzer müssen aktiv und freiwillig einwilligen (Opt-In, siehe Kasten auf Seite 5 der Orientierungshilfe), die Zustimmung darf nicht vorausgewählt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte Kästchen reichen nicht aus („privacy by design“ und „privacy by default“). Die einzelnen Empfänger sollten einzeln, bzw. nach Kategorien auswählbar sein. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben bzw. entsprechende Elemente nachgeladen werden. Auch das bloße Nutzen einer Website oder einer App stellt keine rechtmäßige Einwilligung dar.
Freiwillig ist die Einwilligung nur, wenn die betroffene Person eine echte oder freie Wahl (vergleiche Seite 10 der Orientierungshilfe) hat und eine Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden. Eine Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung führt regelmäßig dazu, dass die Einwilligung nicht freiwillig und damit unwirksam ist.
WIE GESTALTE ICH EINWILLIGUNGS-BANNER?
Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies), für die keine Einwilligung erforderlich ist, müssen nur in der Datenschutzerklärung dargestellt werden. „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. In einem solchen Fall ist ein Hinweis auf Cookies in der Datenschutzerklärung nicht ausreichend, sondern es müssen die oben genannten Anforderungen (siehe Frage 5) und die folgenden Vorgaben für die Einwilligung beachtet werden (vergleiche Seite 8 ff der Orientierungshilfe):
Notwendige Elemente:
Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“. Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig (vgl. Seite 5 der Orientierungshilfe).
Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz