Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Aktuell erreichen uns viele Anfragen, die sich immer wieder um dieselbe Frage drehen: Brauche ich ein Cookie-Banner? Wenn ja, wie soll ich das ausgestalten? Tatsächlich sind solche Banner in immer mehr Online-Shops zu sehen - doch sind sie auch erforderlich? Und was sind eigentlich Consent Manager? In diesem Beitrag zeigen wir Ihnen den aktuellen Stand zu dieser Frage auf.
Was sind Cookies noch einmal genau?
Cookies sind kleine Textdateien, die auf dem Gerät eines Webseitenbesuchers zeitweise gespeichert werden und dem Webseitenbetreiber bestimmte Informationen bieten bzw. den Besucher für diesen wiedererkennbar machen (für den Fall z.B., dass er die Seite erstmal verlässt und später wieder abruft). Sie werden u.a. eingesetzt, um die Besucheranzahl zu ermitteln, die Seitennutzung zu analysieren, den Inhalt des Warenkorbs zu speichern usw. Um bestimmte Werte zu messen oder den Nutzer wiederzuerkennen, werden die vorgehaltenen Informationen im Falle eines erneuten Webseitenbesuchs oder eines Besuchs einer bestimmten anderen Webseite ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP-Adresse des Nutzers, beinhalten.
Sind Cookies nur mit zuvor eingeholter Einwilligung zulässig?
Gleich vorab, diese Frage kann nicht mit einem eindeutigen Ja oder Nein beantwortet werden. Es kommt zunächst einmal darauf an, zu welchen Zwecken die Cookies eingesetzt werden. Ist ein Cookie etwa für den technischen Betrieb eine Webseite erforderlich (z.B. damit ein Produkt in den Warenkorb gelegt werden kann) oder werden lediglich anonyme Daten erhoben (z.B. ein Zählpixel, welches nur die Menge an Webseitenbesuchen zählt), so bedarf es auch keiner Einwilligung.
Werden aber vor allem Third-Party-Cookies genutzt, um das individuelle Nutzerverhalten nachzuverfolgen, also personenbezogene Daten erhoben, darf dies nicht ohne Erlaubnisgrundlage geschehen. Dies betrifft auch gängige Webtracking-Tools wie z.B. Google Analytics. Als Rechtsgrundlage kommt hier entweder das berechtigte Interesse oder eine Einwilligung in Betracht.
Besteht ein überwiegendes berechtigtes Interesse?
Eine mögliche Erlaubnisgrundlage ist das berechtigte Interesse am Direktmarketing gem. Art. 6 Abs. 1 lit. f DSGVO. Zur Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO kann man sich an drei Schritten orientieren:
- Besteht ein berechtigtes Interesses des Verantwortlichen, also von Ihnen? (z.B. Reichweitenmessung und statistische Analysen)
→ Auf der ersten Stufe ist meist problemlos gegeben, dass ein berechtigtes Interesse besteht, sofern Sie keine gesetzeswidrigen Interessen verfolgen. - Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich? (das heißt, die Verarbeitung ist geeignet, um das Interesse des Verantwortlichen zu erreichen und es steht kein milderes, gleich effektives Mittel zur Verfügung)
→ Hier wird es meist schon schwieriger - insbesondere, wenn Tools eingesetzt werden, die mehr Daten erheben, als Sie für den Zweck eigentlich brauchen. So ist eine Profilbildung für die bloß statistische Reichweitenmessung beispielsweise nicht nötig. - Überwiegen die Interessen der Betroffenen am Schutz ihrer Daten dem Interesse des Online-Händlers? (Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person)
→ Dies ist der Kern der Interessenabwägung. Auch wenn die ersten beiden Stufen noch positiv ausgefallen sind, kann es durchaus überwiegende Interessen des Betroffenen geben, die zu einem negativen Ergebnis für Sie führen, insbesondere bei umfangreichen Trackingmaßnahmen.
Der Betroffene ist zudem über die verfolgten berechtigten Interessen zu informieren.
Tipp: Für maßgeschneiderte Informationen in Ihrer Datenschutzerklärung nutzen Sie unseren kostenlosen Rechtstexter.
Datenschützer fordern Einwilligung
Die Datenschutzkonferenz (DSK), ein Gremium der deutschen Datenschutzbehörden, ist der Ansicht, dass es beim Einsatz von Tracking-Mechanismen von Drittanbietern der Einwilligung des Betroffenen bedarf. Folgt man dieser Auffassung, bedeutet das, dass zunächst die Zustimmung des Seitenbesuchers eingeholt werden muss und erst danach Cookies zu Tracking-Maßnahmen gesetzt werden dürfen.
So hat das Bayerische LDA vor kurzem FAQ veröffentlicht, welche zu Google Analytics u.a. folgende Aussage enthalten:
Frage: Darf Google Analytics ohne Einwilligung des Nutzers auf der Website eingesetzt werden?
Antwort: Nein. Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss eine Einwilligung eingeholt werden.
Eine solche Einwilligung setzt im Wesentlichen vier Dinge voraus:
- Eindeutige bestätigende Handlung: Der Nutzer muss aktiv einwilligen.
- Informiertheit: Der Nutzer muss wissen, worin er einwilligt.
- Freiwilligkeit: Der Nutzer muss freiwillig einwilligen und hier muss genau geschaut werden, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
- Widerruflichkeit: Die Einwilligung muss jederzeit widerrufen werden können und der Nutzer muss vor Abgabe der Einwilligung darauf hingewiesen werden.
Ist ein Cookie-Banner die Lösung?
Möchte man also den sicheren Weg beschreiten, scheint das Cookie-Banner die Lösung zu sein, um sich eine wirksame Einwilligung des Webseitenbesuchers einzuholen, bevor die Tracking-Cookies gesetzt werden. In der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien finden sich diverse Anforderungen an die Ausgestaltung:
- Das Banner muss eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge enthalten sowie eine Möglichkeit, diese zu aktivieren (= nicht vorangekreuzte Checkbox).
- Der Zugriff auf Impressum und Datenschutzerklärung darf durch Cookie-Banner nicht verhindert werden.
- Erst wenn der Nutzer informiert und freiwillig in die Datenverarbeitung eingewilligt hat, dürfen die Tracking-Maßnahmen ausgeführt werden.
Allerdings werden viele Cookie-Banner, denen man im Netz begegnet, diesen Anforderungen nicht gerecht, da Cookies gesetzt werden, sobald die Seite betreten wird und eine Ablehnung einzelner Tracking-Maßnahmen häufig nicht möglich ist.
Hinweis: Auch Formulierungen wie „Durch weitersurfen stimmen Sie zu, dass…“ stellen keine Einwilligung dar.
Das Cookie-Banner muss nicht zwingend ein Banner am unteren Ende der Webseite positioniert sein. In der Praxis haben sich hier auch Overlay-Varianten etabliert, welche die Seite überlagern und eine weitere Nutzung erst nach Einwilligung / Ablehnung ermöglichen.
Um dem Webseitenbesucher eine Möglichkeit zu bieten, einzelnen Cookies zuzustimmen und andere abzulehnen, bieten sich Consent Manager ein. Im Gegensatz zu einfachen Cookie-Bannern ermöglichen Consent Manager zudem, dass der Verantwortliche seiner Rechenschaftspflicht nachkommt, weil jede abgegebene Einwilligung dokumentiert wird.
Muss ich auf die DSK hören?
Die Ansicht der Datenschutzbehörden stellt eine Orientierungshilfe dar und ist nicht als geltendes Recht aufzufassen. Es gibt auch Argumente, die dafür sprechen, Tracking-Maßnahmen auf ein berechtigtes Interesse zu stützen. Denn die Direktwerbung kann nach Erwägungsgrund 47 der DSGVO als eine dem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Allerdings ist davon auszugehen, dass die Behörden ihre Auffassung auch in Bußgeldverfahren vertreten werden. Wer daher auf Nummer sicher gehen will, sollte eine Cookie-Einwilligung einholen.
Wie geht’s weiter?
Der EuGH beschäftigt sich zur Zeit mit der Frage, ob für das Setzen eines Cookies eine ausdrückliche Einwilligung erforderlich ist. Der Generalanwalt hat in seinen Schlussanträgen nun eine Einschätzung dazu abgegeben. Zusammenfassend lässt sich daraus folgendes ableiten:
- Der Einsatz von Cookies wäre nur noch nach ausdrücklicher Zustimmung der Nutzer erlaubt und
- Wenn ein bereits automatisch gesetztes Häkchen entfernt werden muss, stellt dies keine aktive Einwilligung dar (der Nutzer muss also die Möglichkeit haben ein leeres Feld selbst anzukreuzen)
- Jede Website müsste dementsprechend eine solche Einwilligung einholen, bevor ein Cookie gesetzt wird
Dieser Beitrag beschäftigt sich ausführlich mit den vorliegenden Schlussanträgen. Abzuwarten bleibt, ob der EuGH den Auffassungen des Generalanwalts folgt. Das Urteil wird für Anfang Oktober erwartet.
Das Wirtschaftsministerium soll entsprechende Gesetzesänderungen planen und diese je nach Ausgang des Verfahrens noch im Herbst vorlegen.
Unser Tipp
Solange nicht abschließend geklärt ist, ob und in welchem Umfang der Einsatz von Cookies einwilligungsbedürftig ist, sollten Sie aus wirtschaftlicher Sicht eine Risikoabwägung durchführen und danach entscheiden. Hält man sich an die Meinung der Datenschutzbehörden und nutzt ein entsprechendes Cookie-Banner bzw. einen Consent Manager, minimieren Sie das Risiko einer Inanspruchnahme.
Update: EuGH-Urteil ist da!
Am 1.10.2019 hat der EuGH entscheiden, dass für das Setzen von Cookies eine aktive Einwilligung des Nutzers erforderlich ist. Alle Einzelheiten des Urteils und was es für Sie bedeutet, hat mein Kollege Konstantin Schröter für Sie aufbereitet:
EuGH: Opt-in-Pflicht für Cookies – Was Online-Händler jetzt wissen müssen
Über die Autorin
Madeleine Winter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten v.a. zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.
