Schritt für Schritt zum Consent-Glück: So geht’s!

FELD M berät zahlreiche Unternehmen bei der Erarbeitung und Umsetzung ihrer Cookie-Strategie im Web-Tracking. Was uns auffällt: Die meisten Unternehmen haben dieselben Schwierigkeiten und Herausforderungen. Häufig haben die Rechtsabteilungen sehr gute Kenntnis davon, was erlaubt ist und was nicht, aber der Prozess zur datenschutzkonformen Einbindung der Lösungen auf die Unternehmenswebsites erscheint riesig und oft wissen die Unternehmen nicht, wo sie anfangen sollen und wie ein idealtypische Vorgehen aussieht. Daher haben wir uns entschieden, Ihnen in der folgenden Schritt-für-Schritt-Anleitung zu skizzieren, wie Sie sich stückweise zur Compliance vorarbeiten können. Unterstützt hat uns dabei unser Fachanwalt für IT-Recht Dr. Thomas Helbing (www.thomashelbing.com).

 

Die 4 Schritte zum datenschutzkonformen Cookie-Consent

1) Erfassung aller Cookies

Zunächst müssen Sie wissen, welche Cookies Sie auf Ihrer Website setzen. Dafür gibt es einerseits kostenlose „Cookie-Crawler“, die Ihnen eine Liste der von Ihrer Website gesetzten Cookies generieren. Haben Sie bereits ein Consent-Management-System im Einsatz? Diese bieten häufig ebenfalls eine Cookie-Crawling-Funktion.
Wenn Sie nun eine fertige Liste Ihrer Cookies haben, sollten Sie die folgenden Angaben erfassen oder ergänzen – auch dabei können wir Ihnen helfen.

• Technische Kennung des Cookies (z.B. „session_id“)
• Erläuterung des Nutzungszwecks (z.B. „Sessionverwaltung“, „Login/Authentifizierung im Kundenmenü“, „Datensicherheit“, „Load Balancing“, „Speicherung der gewünschten Schriftgröße“)
• Beschreibung des Inhalts, der im Cookie gespeichert wird (z.B. „gewählte Sprache“, „Session-ID“, „Name, E-Mail und Anschrift des Nutzers“)
• Lebensdauer des Cookies, z.B. „bis Schließen des Browser-Fensters“, „90 Tage“, „unendlich“
• Angabe, ob der Cookie von der Domain gesetzt wird, die in der URL-Zeile des Browser angezeigt wird (First Party Cookie) oder von einer anderen Domain (Third Party Cookie). Bei Third Party Cookie, Angabe der Domain, die den Cookie setzt, d.h. wer ist für das Third Party Cookie verantwortlich?
• Erläuterungen und Besonderheiten, z.B. „kein klassischer Cookie, sondern Speicherung im HTML5 Local Storage“.

2) Clustering und Bewertung des Cookies: Ist der Cookie „unbedingt erforderlich“, um den vom Nutzer ausdrücklich gewünschten Dienst zu erbringen?

Wenn Sie alle Informationen zu den von Ihnen gesetzten Cookies haben, sollten Sie die Cookies gruppieren.

Dabei gibt es viele Möglichkeiten und die für Sie perfekte hängt von verschiedenen Faktoren ab:
– Gesamtmenge der zu clusternden Cookies
– Art der zu clusternden Cookies
– Vorgaben seitens des Consent Management Systems
– Vorgaben Ihrer Rechtsabteilung

Aus rechtlicher Sicht bietet ich eine Gruppierung nach einem ähnlichen Nutzungszweck an, denn Einwilligungen sollen später ggf. nur für Datenverarbeitung je Cookie-Cluster möglich sein, und die DSGVO verbietet es Einwilligungen zu koppeln, die unterschiedlichen Verarbeitungszwecken dienen.
Aus unserer Sicht hat sich die folgende Gruppierung bewährt, die sich auf die meisten individuellen Anforderungen anwenden lässt:

1. Essentielle/Notwendige Cookies (ohne diese Cookies lässt sich die Website nicht korrekt darstellen oder nutzen, z.B. Videoplayer, Warenkorbcookie bei eCommerce-Websites)
2. Funktionale Cookies (ohne diese Cookies sind wesentliche Inhalte der Website nicht korrekt darstellbar, z.B. Chatfunktion, Spracheinstellung, die Website lässt sich aber sonst problemlos aufrufen und bedienen)
3. Analytics (diese Cookies dienen dem Web- oder App-Tracking, von der Reichweitenmessung bis hin zur Analyse der Customer Journey)
4. Marketing (alle Cookies, die für Marketing- und Remarketingmaßnahmen verwendet werden, insbesondere von reinen Marketing-Tools wie Doubleclick, Target, Facebook,…)

Für welche Cookies braucht man nun eine Einwilligung?

Grobe Daumenregel: Funktioniert die Website bei ehrlicher Betrachtung eigentlich auch ohne den Cookie, dann ist er nicht erforderlich und bedarf einer Einwilligung.
Diese Cookies bedürfen keiner Einwilligung (essentiell/notwendig):

• Cookies, um Nutzer-Login zu ermöglichen
• Cookies, um den Warenkorb zu verwalten
• “Eingeloggt bleiben“, oder “An mich Erinnern” Cookies, wenn der Nutzer diese Funktionalität explizit möchte und angefordert hat.

Diese Cookies bedürfen wohl keiner Einwilligung (aber unsicher) (funktional/bestimmte Analytics):

• Analyse der Webseitenbesucher durch den Anbieter selbst oder einen Auftragsverarbeiter, der die Daten nicht für eigene Zwecke nutzt, (das haben die Datenschutzbehörden in verschiedenen Pressemitteilungen im November 2019 betont), sofern keine geräteübergreifende oder Webseitenübergreifende Auswertung des Surfverhaltens erfolgt

Diese Cookies benötigen wohl eine Einwilligung (bestimmte Analytics/Marketing):

• Cookies zur geräteübergreifenden oder webseitenübergreifenden Nutzerverfolgung
• Cookies für Zwecke der gezielten interessensbezogenen Werbung/Remarketing
• Third-Party Cookies, bei denen der Drittanbieter Daten sammelt, die er auch für eigene Zwecke nutzt (z.B. „Produktverbesserung“)

Wenn die Lebensdauer des Cookies die Dauer der Browsersitzung bzw. einige wenige Stunden übersteigt (persistente Cookies) ist das auch ein Indiz, dass das Cookie nicht unbedingt erforderlich ist. Gleiches gilt bei Third Party Cookies.

Wenn sensible Daten im Spiel sind (z.B. Gesundheitsdaten), der Nutzer auf den Besuch der Webseite angewiesen ist (z.B. Stadtverwaltung, öffentlicher Versorger, Monopolist) oder Kinder typischerweise das Angebot nutzen, sind besonders strenge Maßstäbe anzulegen – im Zweifel sind dann Cookies nur mit Einwilligung zu setzen.

3) Für einwilligungspflichtige Cookies eine Einwilligung geben lassen

Wenn Sie nun wissen, wie Sie Ihre Cookies gruppieren und – damit zusammenhängend – wissen, für welche Cookies Sie die Einwilligung Ihrer Nutzer brauchen, können Sie Ihr Cookie-Konzept technisch umsetzen. Dazu verwenden Sie im Idealfall eine fertige Consent Management Lösung eines etablierten Anbieters oder Sie setzen ein individuelle In-House-Lösung um.

Aber wie holt man sich die Einwilligung für Cookies ein?

Beim erstmaligen Seitenaufruf sollte eine Box/ein Pop-Up-Fenster erscheinen, das sogenannte „Cookie Banner“. Darin wird erläutert, welche einwilligungspflichtigen Cookies gesetzt werden sollen. Hierbei kann man eine verkürzte Beschreibung vornehmen und für Details auf eine “Cookie-Policy” verlinken. In der Cookie Policy sind dann alle oben genannten Angaben zu den Cookies aufzunehmen und zu erläutern, welche Cookies nur mit Einwilligung gesetzt werden und welche „erforderlich“ sind.
Cookies werden nur gesetzt, wenn der Nutzer aktiv eine bestätigende Handlung vorgenommen hat (z.B. setzen eines Häkchens, Klicken eines Buttons).

Für verschiedene Cookies sind gesonderte Erklärungen (Häkchen) nötig. Unseres Erachtens nach kann man aber Einwilligungen für mehrere Cookies zusammenfassen, wenn der Nutzungszweck der Cookies ähnlich ist, z.B. Statistik-Cookies, Einstellungscookies, Marketing-Werbe-Cookies oder Cookies, die zu einem speziellen Tool gehören, z.B. mehrere Facebook-Cookies.

In folgenden Fällen dürfen keine einwilligungspflichtigen Cookies gesetzt werden:

• Der Nutzer ignoriert das Banner, surft einfach weiter ohne damit zu interagieren.
• Der Nutzer schließt das Banner (“X” oder “Schließen” Button)
• Der Nutzer lehnt die Einwilligung ab.

Das Banner sollte nicht so platziert sein, dass es den Seiteninhalt vollständig verdeckt oder den Nutzer zu einer Entscheidung zwingt, d.h. der Nutzer sollte das Banner ignorieren können. Hintergrund ist, dass die Datenschutzgrundverordnung keine “Unterbrechung” des Dienstes durch die Einwilligung erlaubt (vgl. Erwägungsgrund 32 Satz 6 DSGVO). Bei Cookie-Einwilligungen sind nämlich auch die Anforderungen der DSGVO an Einwilligungen zu beachten.
Eine Verweigerung der Cookie Einwilligung darf nicht dazu führen, dass das Informationsangebot der Webseite nicht mehr abrufbar ist, da sonst ggf. die Einwilligung als unfreiwillig anzusehen ist und unwirksam ist.

Ob der Nutzer eingewilligt hat oder nicht, darf und sollte in einem Consent-Cookie gespeichert werden (ohne ID).

Bei erteilter Einwilligung: Die Einwilligung sollte nach 6-12 Monaten verfallen und der Nutzer sollte dann erneut um Einwilligung gefragt werden (Empfehlung).
Hat der Nutzer keine Einwilligung erteilt, kann er nach 6-12 Monaten nochmal gefragt werden, ob er die Einwilligung erteilen will.

Wenn der Nutzer Einwilligungen erteilt hat, muss er in der Lage sein, diese jederzeit zu widerrufen – und zwar genauso leicht wie er die Einwilligung erteilt hat. Über die „Cookie-Policy“ muss der Nutzer seine bisher erteilen Einwilligungen einsehen und diese widerrufen können.

4) Alle Cookies in einer Cookie-Policy erläutern

In der Cookie Policy informieren Sie Ihre Websitenutzer über die von Ihnen gesetzten Cookies. Dabei sollten Sie die Cookies ebenfalls gruppieren und obige Informationen zu Speicherungsdauer, Verwendungszweck etc. ausführlich darstellen. Wenn Sie ein Consent Management System nutzen, erleichtert es die Darstellung, da die Tools grundlegende Cookie-Informationen bereitstellen und zentral verwalten, sodass Ihre Cookie-Policy immer aktuell ist – nur die von Ihnen festgelegten Parameter wie individuelle Speicherdauer etc. müssten Sie dann bereitstellen.

 

Und der Datenschutz? – Cookie Consent und Datenschutz-Einwilligung

Soweit anhand Cookies personenbezogene Daten verarbeitet werden, muss parallel geprüft werden, ob für die Datenverarbeitung eine Einwilligung benötigt wird oder die Verarbeitung auf eine Interessenabwägung gestützt wird.

Die Datenverarbeitung ist in “Datenschutzhinweisen” zu erläutern, wobei alle nach Art. 13, 14 DSGVO erforderlichen Informationen zu geben sind. Zu informieren ist mithin über:
– Verarbeiteten Daten
– Zwecke der Verarbeitung
– Speicherdauer
– Datenempfänger
– Datenübermittlungen in nicht-EU Länder
– Rechtsgrundlage (Einwilligung oder Interessenabwägung)
– Verantwortliches Unternehmen (ist im Werbeumfeld nicht immer leicht, denn hier ist ggf. der Werbenetzbetreiber Verantwortlicher oder Mitverantwortlicher)

Holt man eine Cookie-Einwilligung ein, kann man damit die Datenschutz-Einwilligung verbinden. Es gelten dann die gleichen Grundsätze wie beim Cookie Banner. Die Datenschutzhinweise und die “Cookie-Policy” kann man auch in einem Dokument verbinden, das jedoch in der Benennung klar beide Funktionen aufführen muss.