Letztes Update

Cookie-Banner und die DSGVO

Zusammenfassung:

Wer keine Cookies setzt, die ein Tracking ermöglichen, der braucht auch keinen Consent-Layer. Dennoch sollte man Cookies möglichst vermeiden, einfach um Diskussionen zu entgehen. Die meisten Webseiten kann man gänzlich ohne Cookies betreiben.
Ø Lesezeit: ca 3 min.
Inhaltsverzeichnis:
  • Auch weiterhin nervige Cookie-Hinweise?
  • Nach DSGVO stellt sich zunächst eine andere Frage
  • Wenn das Cookie nötig ist
  • Anders aber bei Google Adsense und DoubleKlick
  • Ebenfalls anders bei Tracking-Cookies
  • Zwei Nutzerkommentare
  • Bewertung für diese Seite

[Dieser Text richtet sich an Webdesigner und nicht an Laien.]

Bild: Thomas Meier-Bading
Bild: Thomas Meier-Bading

Wen nervt es nicht: dieses ewige „diese Webseite verwendet Cookies [bla] - klick - Ja, Mann!” Viele Webseitenbetreiber fragen mich: brauche ich diesen Hinweis nach der DSGVO noch immer? Die Anwort verblüfft Viele: Nein, und Sie haben ihn auch noch nie wirklich gebraucht.

Nach DSGVO stellt sich zunächst eine andere Frage

– nämlich: Darf ich überhaupt Cookies verwenden? Viele berufen sich in ihrer Datenschutzerklärung pauschal auf Art. 6 Abs. 1, lit f DSGVO und begründen dies mit einem überwiegenden Interesse. Aber: Das ist zu kurz gedacht. Nach Art. 6 Abs. 1, lit f DSGVO ist vor der Verhältnismäßigkeit (also dem Überwiegen) noch zu prüfen, ob die Verarbeitung der Daten zur Wahrung der berechtigten Interessen des Verantwortlichen überhaupt erforderlich ist.

Wenn ich mir so manche Webseite ansehe, sehe ich oftmals nur Session-Cookies, allerdings ohne weiteren Sinn. Diese Webseiten erfordern keine Nutzerinteraktion oder Dateneingabe, es gibt also technisch überhaupt keinen Anlass, eine Session zu verwenden (geradezu absurd ist es, wenn es nur ein einziges Cookie gibt, das nur das Cookie-Banner ausblendet und sonst gar nichts tut). Meist gibt es die Session nur deshalb, weil das Content Management System (CMS) sie als Vorgabe verwendet.

Da die meisten CMS auf PHP basieren, sollte man also zuerst einmal prüfen, ob eine Suche nach

session_start();

in den .php- und .inc-Dateien und ein beherztes Auskommentieren aller Ergebnisse mittels einer Raute davor nicht schon das Problem erledigt. Wenn die Seite trotzdem benutzbar bleibt und das Problem „Cookies” damit beseitigt ist, hat man eine wichtige Datenschutz-Baustelle weniger. Ist die Seite hingegen nicht mehr vollständig benutzbar, obwohl man alles auskommentiert hat, dann war das Cookie offenbar erforderlich.

Ist das jeweilige Cookie technisch nötig, dann kann man nach Art. 6 Abs. 1, lit f DSGVO abwägen, ob die Interessen des Verwenders überwiegen (meistens ja, wenn es sich nicht gerade um völlig nebensächliche Funktionen handelt, die das Cookie brauchen).
Dann muss man einen Cookie-Hinweis in die Datenschutzerklärung aufnehmen. Ein Consent-Layer (oder Banner-Hinweis oder „Cookie-Popup” oder wie auch immer man das nennt) ist hingegen nicht nötig. Es gibt keinerlei Vorschrift, wie genau der Nutzer datenschutzmäßig aufzuklären ist. Ein Hinweis in der Datenschutzerklärung ist hier m.E. völlig ausreichend.

Anders aber bei Google Adsense und DoubleKlick

Bei diesen beiden Diensten verlangt Google vertraglich die Einwilligung des Nutzers in das Setzen von Cookies. Aber auch das bedeutet: Ein einfacher Cookie-Hinweis genügt hier nicht, man braucht erst ein OK, und zwar bevor man das Cookie setzt und bevor die Seite weiter nutzbar ist. Ein bloßer Hinweis mit untergeschobener Einwilligung nach dem Motto: „durch Nutzung dieser Webseite stimmen Sie der Verwendung von Cookies zu” genügt hier keineswegs. Google hat ziemlich genaue Vorgaben, wie die Einwilligung auszusehen hat.

Ebenfalls anders bei Tracking-Cookies

Hier hat die Datenschutzkonferenz beschlossen, dass der User vor dem Setzen eines Tracking-Cookies gefragt werden muss. „gefragt” heißt: er kann „Ja” oder „Nein” wählen. Siehe dazu meinen Beitrag zu Tracking-Cookies.

Zwei Nutzerkommentare

#2Rechtsanwalt Meier-Bading16.06.2018 12:28+2Nein, irreführend ist es nicht. Aber datenschutzrechtlich rechtswidrig ist es, wenn man ein Cookie setzt, das nicht von einem legitimen Zweck gedeckt ist. Ein solcher Zweck liegt nicht vor, wenn das Cookie gar nicht notwending ist. #1debux14.06.2018 14:43+4Zitat aus obigen Text:\"...geradezu absurd ist es, wenn es nur ein einziges Cookie gibt, das nur das Cookie-Banner ausblendet und sonst gar nichts tut...\"Ist dies denn nur \"absurd\" oder auch rechtswidrig und kann geahndet werden. Ist es irreführend wenn eine Webseite keine Cookies verwendet, jedoch auf eine Verwendung mittels Banner hinweist?
Geben Sie hier Ihren Kommentar ab  (klicken)
Beteiligen Sie sich an der Diskussion und kommentieren Sie diese Webseite oder einen anderen Kommentar!
Hinweis: Das ist keine E-Mail an mich, sondern ein öffentlicher Kommentar. Ich kann Ihnen auch nicht antworten, weil Ihre E-Mail-Adresse nicht abgefragt wird.


ein Name
(keine echten Daten angeben):
Ihr Kommentar:
Achtung! Ihr Kommentar wird vor Veröffentlichung erst geprüft. Das geschieht zu den üblichen Arbeitszeiten und kann selbst dann einige Minuten dauern.
 

Bewertung für diese Seite

Bewertung für diese Seite:  ⭐⭐⭐⭐⭐  
Der Beitrag „Cookie-Banner und die DSGVO” hat durchschnittlich 5 von 5 basierend auf insgesamt 1 Bewertungen.

schwach perfekt 

Hinweis: Bewertungen werden nicht geprüft. Es handelt sich um Bewertungen für diesen Beitrag durch Leser dieses Beitrags und nicht um Bewertungen für RA Thomas Meier-Bading oder dessen Leistungen.

Verlinken Sie diese Seite von Ihrer Homepage HTML-Code (anklicken zum Kopieren):
<a href="https://www.meier-bading.de/datenschutzrecht/cookies-dgsvo/" title="Rechtsanwalt Thomas Meier-Bading"></a>
Lesen Sie auch folgende Seitenzu den Stichworten “Cookies”, “Webseiten” und “Internet”: