Tools, die gemeinhin als "Cookie Banner" bezeichnet werden, sind, wenn sie den gesetzlichen Anforderungen der EU entsprechen, eigentlich Consent Management Plattformen (CMPs). Praktisch gesehen verwalten sie nicht nur die Einwilligung für Cookies, sondern auch Einwilligungen für zusätzliche Zwecke. Cookies und diese zusätzlichen Zwecke sind meist so eng miteinander verbunden, dass das eine ohne das andere nicht existieren kann. In diesem Artikel erläutern wir den rechtlichen Hintergrund in vereinfachter Form.
Welche Rechte gelten?
Real Cookie Banner bietet dir eine Lösung zur Einhaltung der folgenden wichtigen Rechtsvorschriften in der EU. Unsere Lösung ist rechtlich vollkommen für die EU und deren Länder ausgelegt. Andere Regelungen wie die CCPA sind jedoch oft weniger streng beim Thema Cookies, so dass Real Cookie Banner auch hier eine passende Lösung sein kann.
- ePrivacy Richtlinie (Richtlinie 2009/136/EG) Art. 66: Gemäß der ePrivacy-Richtlinie brauchst du die Zustimmung deiner Besucher, um nicht-essenzielle Cookies zu setzen. Vereinfacht ausgedrückt sind nicht-essenzielle Cookies alle Cookies, ohne die deine Website auch noch in irgendeiner Form funktionieren würde. Diese Form muss nicht unbedingt schön oder komfortabel sein (z.B. könntest du Kontaktformulare mit Cookies vermeiden und stattdessen deine E-Mail-Adresse als Text ausschreiben). Du musst zwar auf essenzielle Cookies hinweisen (z.B. in der Datenschutzerklärung), aber du brauchst dafür keine Einwilligung.
- DSGVO Art. 6: Um personenbezogene Daten zu verarbeiten (z.B. in deinem WordPress oder indem du sie mit YouTube über ein eingebettetes Video teilst), brauchst du eine rechtliche Rechtfertigung. In vielen Fällen kommt nur eine Einwilligung in Frage. In Deutschland ist z.B. auch die IP-Adresse, die zum Laden von Inhalten im Internet immer übertragen werden muss, ein personenbezogenes Datum (siehe BGH-Urteil vom 16.05.2017, Az. VI ZR 135/13). In der Praxis bedeutet das, dass du die informierte Einwilligung deiner Besucher benötigst, noch bevor du z.B. ein YouTube-Video auf deiner Webseite lädst und damit Daten deiner Besucher weitergibst.
- Art. 49 (1) lit. a DSGVO: Mit dem Urteil "Schrems II" vom 16. Juli 2020 (Az.: C-311/18) hat der EuGH den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des EU-US-Datenschutzschilds (Privacy Shield) für ungültig erklärt. Das bedeutet, dass die USA nach dem Datenschutzrecht als unsicheres Drittland gelten. Zum Schutz von Personen, die unter die DSGVO fallen, dürfen ihre personenbezogenen Daten daher generell nicht in die USA übermittelt oder dort verarbeitet werden. Unter bestimmten Umständen kann jedoch die Einwilligung für eine Ausnahme eingeholt werden.
Was bedeutet diese Vorschrift in der Praxis?
In der Praxis angewandt, hat zum Beispiel das Einbetten eines YouTube-Videos folgende rechtliche Konsequenzen:
- Setzen und Auslesen von Cookies: Beim und nach dem Laden des YouTube-Videos (genauer gesagt, des Iframe, in dem sich das YouTube-Video befindet) können die Skripte von YouTube und Google eigene Cookies setzen. Sie können auch Cookies auslesen, die z.B. gesetzt wurden, als der Nutzer zuvor auf youtube.com eingeloggt war. Dies ist insbesondere dann im Interesse solcher Plattformen, wenn der Nutzer in seinem Account eingeloggt ist, denn so kann das Video z.B. der Historie der vom Nutzer angesehenen Videos hinzugefügt werden und letztlich diese Information für kommerzielle Zwecke genutzt werden. Merke: Für das Setzen oder Auslesen von nicht-essentiellen Cookies musst du als Webseitenbetreiber eine Einwilligung einholen, wenn du dafür verantwortlich bist, dass das Video überhaupt geladen wird (ohne das vorherige Wissen deines Besuchers).
- Verarbeitung personenbezogener Daten: Beim Laden des YouTube-Videos muss zwangsläufig die IP-Adresse deines Besuchers an YouTube bzw. Google übermittelt werden, damit der Videoplayer und später ggf. das Video geladen werden kann. Auch wenn Google die IP-Adresse nicht speichert und zu Marketingzwecken auswertet, wird die IP-Adresse in der Regel im Webserver, den Logs, usw. auf Google-Servern verarbeitet. Ob für die Verarbeitung dieser personenbezogenen Daten ein anderer Rechtfertigungsgrund als eine Einwilligung vorliegt, hängt vom Einzelfall ab. Nach unserer Rechtsauffassung ist jedoch in den allermeisten Fällen eine Einwilligung die einzig mögliche Rechtfertigung.
- US-Datenverarbeitung: Das Verbot, Daten in den USA zu verarbeiten, ist sehr unpraktisch, da viele Dienste im Internet aus den USA kommen oder ihre Server dort stehen haben. Allerdings kann nach Art. 49 (1) lit. a DSGVO von Website-Besuchern die Einwilligung zur einmaligen und mehrfachen Verarbeitung von Daten in den USA eingeholt werden. Die Einwilligung zur regelmäßigen Verarbeitung von Daten in den USA kann auf diese Weise nicht eingeholt werden. Somit können zumindest einige der praktischen Dienste aus den USA weiterhin genutzt werden, wenn der Website-Besucher dem zustimmt.
Wir hoffen, dass diese (kurze) Erklärung der wichtigsten Grundlagen gezeigt hat, dass hinter einem Cookie Banner mehr steckt, als nur technische Cookies zu finden. Um datenschutzkonform zu sein, müssen über Cookies hinaus weitere Einwilligungen eingeholt werden. Überdies müssen rechtliche Abwägungen vorgenommen werden, die oft nur von einem Menschen getroffen werden können.
Wie finde ich alles auf meiner Website, für das ich eine Einwilligung brauche?
Du weißt jetzt, in der Theorie, wofür du Einwilligungen einholen solltest. Wir haben auch erklärt, wie diese Rechte in der Praxis aussehen können. Für deine Website solltest du nun aber in der Lage sein, die Rechtsvorschriften anzuwenden.
Wir haben im separaten Artikel Wie finde ich alle Services (Cookies) auf meiner Website? erklärt, wie genau du vorgehen kannst. Wir erklären dir im Detail, wie du alle Services auf deiner Webseite findest und wie du sie zu Real Cookie Banner hinzufügst.