Tools, die gemeinhin als "Cookie Banner" bezeichnet werden, sind, wenn sie den gesetzlichen Anforderungen der EU entsprechen, eigentlich Consent Management Plattformen (CMPs). Praktisch gesehen verwalten sie nicht nur die Einwilligungen für Cookies, sondern auch Einwilligungen für zusätzliche Datenverarbeitungen und deren Zwecke. Cookies und diese zusätzlichen Möglichkeiten der Datenverarbeitung sind meist so eng miteinander verbunden, dass das eine ohne das andere nicht existieren kann. In diesem Artikel erläutern wir den rechtlichen Hintergrund in vereinfachter Form.
Welche Rechte gelten?
Real Cookie Banner bietet dir eine Lösung zur Einhaltung der folgenden wichtigen Rechtsvorschriften in der EU. Unsere Lösung ist rechtlich für die EU und deren Länder ausgelegt. Andere Regelungen wie die CCPA sind jedoch oft weniger streng beim Thema Cookies, sodass Real Cookie Banner auch hier eine passende Lösung sein kann.
- ePrivacy Richtlinie: Gemäß der ePrivacy-Richtlinie brauchst du die Zustimmung deiner Besucher, um nicht-essenzielle Cookies zu setzen. Vereinfacht ausgedrückt sind nicht-essenzielle Cookies alle Cookies, ohne die deine Website noch in irgendeiner Form funktionieren würde. Das muss nicht schön oder komfortabel sein (z.B. könntest du Kontaktformulare mit Cookies vermeiden und stattdessen deine E-Mail-Adresse als Text ausschreiben). Du musst auf essenzielle Cookies hinweisen (z.B. in der Datenschutzerklärung), aber du brauchst dafür keine Einwilligung. (siehe auch in Richtlinie 2009/136/EC Erwägungsgrund 66 und in § 25 TDDDG (früher TTDSG))
- Art. 6 DSGVO: Um personenbezogene Daten zu verarbeiten (z.B. in deinem WordPress oder indem du sie mit YouTube über ein eingebettetes Video teilst), brauchst du eine rechtliche Rechtfertigung. In vielen Fällen kommt nur eine Einwilligung in Frage. In der Europäischen Union gilt die IP-Adresse, die zum Laden von Inhalten im Internet immer übertragen werden muss, als personenbezogenes Datum (siehe EuGH Entscheidung vom 19. Oktober 2016, Case C‑582/14). In der Praxis bedeutet das, dass du die informierte Einwilligung deiner Besucher benötigst, bevor du z.B. ein YouTube-Video auf deiner Website lädst und damit Daten deiner Besucher weitergibst.
- Art. 49 (1) lit. a DSGVO: Zum Schutz von Personen, die unter die DSGVO fallen, dürfen ihre personenbezogenen Daten generell nicht in unsicheren Drittländer übermittelt oder dort verarbeitet werden. Unter bestimmten Umständen kann jedoch die Einwilligung für eine Ausnahme eingeholt werden. Durch den neuen Angemessenheitsbeschluss der EU ist die Datenübermittlung in die USA mittlerweile deutlich vereinfacht. Das bedeutet, dass die USA wieder als ein Drittland mit einem sicheren und vertrauenswürdigen Datenverkehr gilt und demnach keine Einwilligung gem. Art. 49 Abs. 1 lit. a DSGVO mehr benötigt wird.
Was bedeutet diese Vorschrift in der Praxis?
In der Praxis angewandt, hat zum Beispiel das Einbetten eines YouTube-Videos folgende rechtliche Konsequenzen:
- Setzen und Auslesen von Cookies: Beim und nach dem Laden des YouTube-Videos (genauer gesagt, des Iframe, in dem sich das YouTube-Video befindet) können die Skripte von YouTube und Google eigene Cookies setzen. Sie können auch Cookies auslesen, die z.B. gesetzt wurden, als der Nutzer zuvor auf youtube.com eingeloggt war. Dies ist insbesondere dann im Interesse solcher Plattformen, wenn der Nutzer in seinem Account eingeloggt ist, denn so kann das Video z.B. der Historie der vom Nutzer angesehenen Videos hinzugefügt werden und letztlich diese Information für kommerzielle Zwecke genutzt werden. Merke: Für das Setzen oder Auslesen von nicht-essentiellen Cookies musst du als Webseitenbetreiber eine Einwilligung einholen, wenn du dafür verantwortlich bist, dass das Video überhaupt geladen wird (ohne das vorherige Wissen deines Besuchers).
- Verarbeitung personenbezogener Daten: Beim Laden des YouTube-Videos muss zwangsläufig die IP-Adresse des Besuchers an YouTube bzw. Google übermittelt werden, damit der Videoplayer und später ggf. das Video geladen werden kann. Auch wenn Google angibt, dass die IP-Adresse nicht gespeichert und zu Marketingzwecken auswertet wird, muss die IP-Adresse in der Regel im Webserver, den Logs, usw. auf Google-Servern verarbeitet werden. Ob für die Verarbeitung dieser personenbezogenen Daten ein anderer Rechtfertigungsgrund als eine Einwilligung vorliegt, hängt vom Einzelfall ab. Nach unserer Rechtsauffassung ist jedoch in den allermeisten Fällen eine Einwilligung die einzig mögliche rechtliche Grundlage.
- Datenverarbeitung in unsicheren Drittländern: Das Verbot, personenbezogene Daten in unsicheren Drittländern zu verarbeiten, ist sehr unpraktisch, da viele Services im Internet aus solchen Ländern kommen oder ihre Server dort stehen. Allerdings kann nach Art. 49 Abs. 1 lit. a DSGVO von Website-Besuchern die Einwilligung zur einmaligen und mehrfachen Verarbeitung von Daten in unsicheren Drittländern eingeholt werden. Die Einwilligung zur regelmäßigen Verarbeitung von Daten in unsicheren Drittländern kann auf diese Weise nicht eingeholt werden. Somit können aber zumindest einige der praktischen Services aus unsicheren Drittländern weiterhin genutzt werden, wenn der Website-Besucher dem zustimmt.
Wir hoffen, dass diese (kurze) Erklärung der wichtigsten Grundlagen gezeigt hat, dass hinter einem Cookie Banner mehr steckt, als nur technische Cookies zu finden. Um datenschutzkonform zu sein, müssen über Cookies hinaus weitere Einwilligungen eingeholt werden. Überdies müssen rechtliche Abwägungen vorgenommen werden, die oft nur von einem Menschen getroffen werden können.
Wie finde ich alles auf meiner Website, für das ich eine Einwilligung brauche?
Du weißt jetzt, in der Theorie, wofür du Einwilligungen einholen solltest. Wir haben auch erklärt, wie diese Rechte in der Praxis aussehen können. Für deine Website solltest du nun aber in der Lage sein, die Rechtsvorschriften anzuwenden.
Wir haben im separaten Artikel Wie finde ich alle Services (Cookies) auf meiner Website? erklärt, wie genau du vorgehen kannst. Wir erklären dir im Detail, wie du alle Services auf deiner Webseite findest und wie du sie zu Real Cookie Banner hinzufügst.