Immer noch rollt die Abmahnwelle wegen der Verwendung von Google fonts durch Deutschland. Diese hat nicht wenige Website-Betreiber veranlasst, einen Blick auf die eigene Website zu werfen. Falls auch Sie das getan haben, haben Sie hoffentlich nicht nur nach Google fonts geschaut, sondern sich Ihre Website insgesamt angesehen. Insbesondere sollten Sie geprüft haben, ob dort Cookies eingesetzt werden und, falls ja, welche. In diesem Beitrag geben wir Praxishinweise, worauf dabei zu achten ist.
Was sind die rechtlichen Grundlagen?
Das Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) regelt, ob und wie Informationen auf Endgeräten gespeichert oder aus diesen ausgelesen werden dürfen. Es schützt also Endgeräte vor Fremdzugriff, ist gleichsam die Haustür des Endgeräts. Unerheblich ist dabei, ob es sich bei den betroffenen Informationen um personenbezogene Daten handelt oder nicht.
Eine Speicherung von Informationen im Endgerät oder der Zugriff auf dort vorhandene Informationen ist gem. § 25 TTDSG grundsätzlich nur zulässig, wenn der Nutzer dazu vorher seine Einwilligung erteilt hat. Diese ist nur dann entbehrlich, wenn die Speicherung von Informationen im Endgerät oder der Zugriff auf bereits im Endgerät gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Bezogen auf Websites bedeutet dies, dass Cookies nur dann eingesetzt werden dürfen, wenn diese entweder für die Bereitstellung der Website unbedingt erforderlich sind oder der Besucher der Website vorher seine ausdrückliche Einwilligung erteilt hat.
Die Datenschutz-Grundverordnung (DSGVO) regelt die sich an den Zugriff anschließende Verarbeitung von personenbezogenen Daten. Für diese ist eine Rechtsgrundlage gemäß DSGVO erforderlich. Beim Besuch einer Website kommen dabei regelmäßig Art. 6 Abs. 1 lit. f) DSGVO (überwiegendes berechtigtes Interesse des Websiteanbieters) oder eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO in Betracht.
Worauf ist zu achten?
Setzt die Website Cookies ein?
Nein: keine Einwilligung nach TTDSG oder DSGVO nötig. Kein Eintrag in der Datenschutzerklärung nötig. Kein Cookie-Banner nötig.
Ja, nur erforderliche Cookies: keine Einwilligung nach TTDSG und DSGVO nötig. Hinweis auf die Cookies in der Datenschutzerklärung unter Nennung der Rechtsgrundlage Art. 6 Abs.1 lit. f) DSGVO (berechtigtes Interesse an der Abrufbarkeit und korrekten Darstellung der Website). Bitte keinen Cookie-Banner einsetzen. Dieser könnte den Eindruck erwecken, die Einwilligung in die Verarbeitung sei freiwillig und könne vom Nutzer jederzeit mit Wirkung für die Zukunft widerrufen werden, obwohl das rechtlich nicht möglich ist.
Ja, (auch) nicht erforderliche Cookies: eine Einwilligung nach TTDSG ist für die nicht erforderlichen Cookies nötig und bei Verarbeitung von personenbezogenen Daten auch gemäß DSGVO. Ein Cookie-Banner ist also nötig. Bei dessen Gestaltung ist darauf zu achten, dass eine Ablehnung genauso einfach erklärt werden kann, wie die Einwilligung (siehe dazu Blogbeitrag meines Kollegen Steffen Ruh). Außerdem müssen folgende Fragen klar beantwortet werden: Um welche Cookies handelt es sich? Welche (personenbezogenen) Daten sind betroffen? Was passiert mit diesen? Wer erhält Zugriff auf die Daten? Welchen Zwecken dient die Verarbeitung? Was ist die Rechtsgrundlage der Verarbeitung?
Zusätzlich zum Cookie-Banner sind die entsprechenden Angaben in der Datenschutzerklärung zu machen.
Unbedingt sollten Sie darauf achten, dass die Website technisch so aufgestellt ist, dass einwilligungsbedürftige Cookies tatsächlich erst nach einer erfolgten Einwilligung zum Einsatz kommen.
Die Datenschutzerklärung und das Impressum müssen immer erreichbar sein, auch vor Einwilligung und während der Cookie-Banner angezeigt wird.
Kann ich mich auf angebotene Cookie-Banner verlassen?
Nein. Sie sind als Website-Betreiber auch für Prozesse verantwortlich, die durch die technische Gestaltung der Website verursacht werden. Viele angebotene Cookie-Banner erfüllen nicht alle Anforderungen des TTDSG und der DSGVO. Überzeugen Sie sich daher selbst, ob das von Ihnen gewählte Tool rechtskonform ist, beziehungsweise lassen Sie sich entsprechend beraten.
Reicht eine einmalige Prüfung der Website?
Auf keinen Fall! Auch wenn eine Website bei der Erstellung TTDSG- und DSGVO-konform ausgestaltet ist, kann sich dies ändern. Der Einbau zusätzlicher Funktionalitäten oder Updates der Website-Software oder einzelner Bestandteile davon können zum Beispiel dazu führen, dass plötzlich ein Cookie gesetzt wird, das vorher nicht eingesetzt wurde. Sie können nicht davon ausgehen, dass Sie als Website-Betreiber über solche Veränderungen informiert werden.
Die Google fonts Abmahnwelle hat gezeigt, dass immer das Risiko besteht, dass nach Datenschutzverstößen auf Websites gesucht wird – nicht nur durch die Aufsichtsbehörden. Es ist daher sehr zu empfehlen, in regelmäßigen Abständen einen Blick auf die eigene Website zu werfen und diese dabei auch durch einen Cookie-Scanner laufen zu lassen. Einen ersten Hinweis kann in vielen Fällen die Nutzung der „F12“ Taste beim Besuch der Website geben. (Reiter: Webspeicher, Menüpunkt: Cookies).
Gerne unterstützt Sie unser Datenschutzteam dabei, die Vorgaben des TTDSG und der DSGVO auf Ihrer Website einzuhalten –nicht nur hinsichtlich der Verwendung von Cookies.