Cookies

Derzeit wurde bei meinem Aufruf von der Homepage www.idodo.de kein Cookie-Banner angezeigt. Es war mir nur möglich die Recaptcha-Anwendung von Google, die nach dem Dafürhalten der meisten Datenschutzbehörden rechtlich zumindest nicht einhellig als konform mit der Datenschutzgrundverordnung angesehen wird, anzuklicken.

Wir empfehlen Euch aus diesem Grund einen Cookies-Consent-Manager zu nutzen, der die Nutzer/Besucher der Homepage aktiv und sichtbar auffordert ihre Einwilligung zu erteilen. Dies ist eine einfache Lösung, die von der Effizienz am kostengünstigsten ist. Am besten einen Cookies-Consent-Manager mit Sitz im europäischen Inland, damit die DSGVO mitberücksichtigt wird. Eine Auflistung der relevanten Cookies-Manager ist unter dem folgenden Link zu finden:

https://www.funnel.de/cookie-consent-tools

Anforderungen an die Einwilligung zum Einsatz von Cookies

Die Vorgaben an die Einwilligung in den Einsatz von Cookies werden derzeit umfassend diskutiert. Aus diesem Grund bestehen auch zwischen Datenschutzexperten verschiedene Ansichten im Hinblick auf Einzelthemen.

Der Entwurf unserer Datenschutzerklärung geht davon aus, dass die Website einen Cookies-Consent-Manager nutzt, mit dem die Nutzer die Einwilligungen verwalten können. Solche Tools sind inzwischen in großer Zahl und mit einem großen Leistungsspektrum vorhanden. Die Einstellungsmöglichkeiten können sich stark unterscheiden und viele Manager bedürfen einer individuellen Anpassung, da die Standardeinstellungen oft unzulänglich sind. Zugleich üben Politik und Wissenschaft Druck aus, die Anforderungen zu verschärfen bzw. besonders strenge Vorgaben umzusetzen, was insbesondere unter dem Begriff „Dark Patterns“ diskutiert wird (dazu zB Paal/Pauly/Martini DS-GVO Art. 13 Rn. 46 f.; Weinzierl NVwZ 2020, 1087; heise.de/-5026576; Beispiele bei LfDI Nds. Handreichung v. 11/2020 S. 5 ff.). Demnach soll es zB unzulässig sein, den Einwilligen-Button farblich hervorzuheben; das kann aber höchstens gelten, wenn nicht ein farbliches Konzept die verschiedenen Funktionen der Buttons verdeutlicht. Nachdem nun bereits erste Urteile wegen unerlaubter Cookie-Nutzung bzw. unzureichende Cookie-Einwilligungen ergangen sind (LG Rostock Urt. v. 15. 9. 2020 – 3 O 762/19, GRUR-RS 2020, 32027; LG Köln Beschl. v. 29. 10. 2020 – 31 O 194/20, GRUR-RS 2020, 37085), sind Website-Betreiber gezwungen, mit praktikabel einsetzbaren und dennoch rechtlich halbwegs abgesicherten Consent-Managern zu arbeiten, was angesichts der aktuellen Entwicklungen große Herausforderungen birgt. Nachfolgend werden die grundlegenden Kriterien an einen Consent-Manager dargestellt. Dabei wird grundlegenden von den hohen (und nicht immer zutreffenden) Anforderungen der DSK Orientierungshilfe für Anbieter von Telemedien v. März 2019 S. 9 ausgegangen und auf die Wertungen des EDSA verwiesen, um auch vor dem Hintergrund der Gefahren wettbewerbsrechtlicher Abmahnungen ein hohes Schutzniveau sicherstellen zu können. Grundlegende organisatorische Vorgaben sind:

Beim ersten Besuch auf der Website, auf der nicht für den Betrieb der Webseite notwendige Cookies genutzt werden sollen, muss ein Consent-Manager (also zB ein gut sichtbarer Kasten oder eine Toolbar) angezeigt werden. Faktisch wird das Tool auf jeder Unterseite bei dem (ersten) Besuch der Nutzer angezeigt werden müssen.
Es liegt keine freiwillige Einwilligung vor, wenn eine Website nur aufgerufen werden kann, wenn ein Nutzer zwingend in eine Verarbeitung einwilligen muss und die Website sonst nicht sehen kann (EDSA Leitlinien 05/2020 zur Einwilligung, V. 1.1 v. 4. 5. 2020 Rn. 40 f., unter Berufung auf das „Kopplungsverbot“ nach Art. 7 Abs. 4 DS-GVO; bestärkt durch EuGH Urt. v. 11. 11. 2020 – C-61/19, WM 2020, 2295 Rn. 41).
Der Consent-Manager sollte so platziert sein, dass die Nutzer tatsächlich eine Entscheidung treffen müssen, wie/ob sie Cookies akzeptieren möchten. Die bloße Weiternutzung der Website ist keine Einwilligung.
In dem vorstehend beschriebenen ersten Schritt dürfen keine Cookies gesetzt werden, die nicht für den Betrieb der Website selbst erforderlich sind. Erst nach der Entscheidung des Nutzers dürfen für den Betrieb der Website nicht erforderliche Cookies gesetzt werden (EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 90).
Der Verantwortliche ist zu benennen, dazu sollte ein Link auf Impressum und Datenschutzerklärung vorgesehen werden. Anzeige von Impressum und Datenschutzerklärung müssen ohne Nutzung von Trackern weiterhin abrufbar sein.

Hinsichtlich des Consent-Managers selbst:

Der Text der Einwilligungserklärung hinsichtlich der Verarbeitungszwecke und eingesetzten Techniken, der den Anforderungen nach Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DS-GVO genügen muss, ist deutlich lesbar darzustellen.
In dem Consent-Banner müssen Nutzern die eingesetzten Tracker bzw. Cookie-Funktionen einzeln dargestellt werden, zudem sollte ein Hinweis auf das Anlegen von Profilen erfolgen (EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 55 ff.), weiterhin ob Dritte Zugriffe auf die Informationen nehmen können (EuGH Urt. v. 1. 10. 2019 – C-673/17, NJW 2019, 3433 Rn. 112).
Es müssen dabei nicht die vollständigen Texte, die Zweck und Umfang der Verarbeitung beschreiben, auf der ersten Seite vollständig enthalten sein (EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 64 ff.). Vielmehr ist es ausreichend, wenn die Nutzer auf einen entsprechend bezeichneten Link klicken können und auf zweiter Stufe die Informationen erhalten. Anforderungen an die transparente Darstellung der Verarbeitung können auch mittelbar, zB in der Datenschutzerklärung bzw. Cookie‑Richtlinie, erfolgen (zumindest verweisen EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 66 und 69 darauf, dass die Wege durch den Verantwortlichen gewählt werden können und Abstufungen gestattet sind).
Wird im Falle internationaler Datentransfers eine Einwilligung nach Art. 49 DS-GVO eingeholt, muss der Umstand bereits im ersten Schritt des Consent-Managers genannt werden (LfDI Nds. Handreichung v. 11/2020 S. 2 f.). Bei Heranziehen anderer Absicherungen ist es ausreichend, dass die Information nach Art. 13 Abs. 1 lit. f DS-GVO in der Datenschutzerklärung erfolgt.
Für verschiedene Verarbeitungsvorgänge muss eine getrennte Einwilligung eingeholt werden („Granularität“; EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 44). Dennoch ist eine Clusterung möglich (zu Recht verweisen Böhm/Halim MMR 2020, 651 (655) auf die BGH-Rspr. zur Zusammenfassung mehrere Werbekanäle, BGH Urt. v. 1. 2. 2018 – III ZR 196/17, NJW-RR 2018, 486 Rn. 27). Wenn eine Aufteilung bspw. nach Notwendig/Präferenzen/Statistiken/Marketing erfolgt, muss die Darstellung transparent sein und sollte noch auf der ersten Seite einen Verweis auf die einzelnen Tracker enthalten und auf der Unterseite die Möglichkeit zur individuellen Abwahl einzelner Funktionen vorsehen.
Bei der Einzelanzeige muss jeder einzelne Tracker aufgeführt werden. Die Anbieter der Tracker müssen genannt und die konkreten Funktionen erläutert werden. Möglich dürfte ein Kurztext mit Verweis auf die Datenschutzerklärung sein. Zudem sollte spätestens hier die Funktionsdauer der Cookies genannt werden (nach EuGH Urt. v. 1. 10. 2019 – C-673/17, NJW 2019, 3433 Rn. 112).
Nach der Auffassung der Datenschutzbehörden muss es Nutzern möglich sein, selbst bei einer Clusterung jeden einzelnen Tracker gesondert zu aktivieren. Das ist abzulehnen; vielmehr sollte es möglich sein, die verschiedenen Gruppen gemeinsam zu aktivieren. Natürlich sollten einzelne Tools deaktiviert werden können.
Die einzelnen zu aktivierenden Tracker bzw. Cluster müssen mit nicht-voreingestellten Häkchen versehen oder – im Falle von „Schiebereglern“ – auf „inaktiv“/„deaktiviert“ gestellt sein (EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 166).
Zudem sollte ein Hinweis auf die Möglichkeit zum Widerruf der Einwilligung auf der ersten Seite enthalten sein (vgl. Jandt ZD 2020, 551 (555)).
Der Nutzer muss aktiv einwilligen, indem er auf einen Button im Banner klickt, der eindeutig bezeichnet wird (zB „Einwilligen“, was aber laut LfDI Nds. Handreichung v. 11/2020 S. 3 nicht nur mit vollständigem Informationstext ausreiche; daher könnte ein Text wie „Akzeptieren – ich willige in die vorstehende Auswahl der Datenverarbeitung ein“ gewählt werden, wenn besonders hohe Rechtssicherheit erreicht werden soll).
Nutzer sollten mindestens zwei Buttons zur Verfügung haben, nämlich „einwilligen/alles bestätigen“ und „Cookies ablehnen/Auswahl annehmen“.

Nach der Nutzerentscheidung bei Nutzung der Website:

Das Ergebnis der Nutzerentscheidung darf bzw. sollte durch einen Cookie gespeichert werden, sodass der Nutzer beim nächsten Besuch der Website nicht wieder die Details auswählen muss. Dies dient zugleich dazu, den Nachweis für die Einwilligung der Nutzer zu erbringen (EDSA Leitlinien 05/2020 zur Einwilligung V. 1.1 v. 4. 5. 2020 Rn. 104 ff.).
Es sollte stets ein Nachweis ermöglicht werden, dass auf der Website erst Cookies gesetzt werden, nachdem die Einwilligung der Nutzer erteilt wurde. So verlangte der EDSA, dass der Zeitpunkt der Datenverarbeitung effektiv erst nach der Einwilligung beginnen darf (EDSA Richtlinien 5/2020 Version 1.0 Rn. 90) und weiterhin kann so nachgewiesen werden, dass der Nutzer seine Einwilligung erklärt hatte (Rn. 104 ff.). Es ist also nicht ausreichend, dass Cookies gesetzt werden und im Falle der Nicht-Einwilligung wieder gelöscht werden, wie es derzeit vielfach der Fall ist. Zudem dürften ab Widerruf der Einwilligung keine Cookies mehr gesetzt werden.
Eine Möglichkeit zum Widerruf muss jederzeit vorhanden sein. Grundsätzlich muss der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung möglich sein. Dies könnte, wie bislang, in der Datenschutzerklärung vorgesehen werden, indem bei jeder einzelnen Beschreibung eines Trackers ein Opt-out-Link vorgesehen ist. Zudem ist ein Link auf das neue Öffnen des Consent-Managers sinnvoll, der über einen speziellen Link im Footer neben Impressum und Datenschutzerklärung aufgenommen werden könnte (LfDI Nds. Handreichung v. 11/2020 S. 8).
Zudem kann optional vorgesehen werden, dass eine Toolbar oder ein Link stets an der Website verbleibt und dem Nutzer Auswahlmöglichkeiten bzw. den Widerruf der Einwilligungen ermöglicht.