Schon wieder ist November! Und schon wieder sind wir alle im Lockdown... oder Lockdown light... Egal! Es ist November und es wird langsam Zeit die Weihnachtskekse zu backen. Passend zu diesem Thema wollen wir hier das Thema Cookies und Cookie-Banner behandeln.

Unser Dank Gilt dem Guru

Ganz herzlich bedanken wollen wir uns bei einer unserer Inspirationsquellen dem ehrenwerten Herrn Rechtsanwalt Stephen Hansen-Oest aka "Der Datenschutzguru" dessen Blog und Newsletter hier allerwärmstens weiterempfehlen können.

Wer mag Cookies?

Wer kennt (und hasst!!!!) sie nicht? Cookie-Banner die bei jedem Besuch aufploppen und einen nach seiner Zustimmung / Einwilligung fragen. Zumeist mit der Option, "Alles akzeptieren" oder nur ausgewählte Cookies.
Regelmäßig sind diese dann so gestaltet, dass man aber aufgrund des Designs ohnehin wieder "Alles akzeptieren" auswählt.

Warum zum Teufel diese Banner?

Da würden die meisten jetzt mal instinktiv "DSGVO" rufen und hätten recht... teilweise zumindest, denn Datenschutz (also der Schutz personenbezogener Daten!) ist nur die halbe Miete: Mit von der Partie spielt nämlich auch die e-privacy-Richtlinie, welche das Setzen von Cookies überhaupt (also auch von technisch notwendigen Cookies wo vielleicht gar keine personenbezogene Daten verarbeitet werden) regelt.

Und diese e-privacy-Richtlinie schreibt eben vor (guuuut: streng genommen sind es dann die nationalen Umsetzungsgesetze wie das TKG! ...ja ja... Rechtsdogmatik usw... ), dass man schon für das Setzen von Cookies grundsätzlich eine Einwilligung benötigt.

Ausnahmen

Ausnahmsweise braucht man keine Einwilligung, wenn diese Cookies technisch notwendig sind, damit die Webseite überhaupt funktioniert. Alle anderen Cookies (zum Beispiel das Laden von Schriftarten von einem externen Webserver... sofern man das überhaupt noch macht ==> haaaallloooo 90er Jahre) bedürfen zu ihrer Setzung schon einer Einwilligung.

Was hat das jetzt mit DSGVO zu tun?

Sehr oft verarbeitet man mit Cookies auch personenbezogene Daten (zB IP-Adressen) und gleicht diese dann mit anderen Daten ab und macht jede Menge geile Marketing-Black-Magic. Für solche Verarbeitungen nach der DSGVO braucht es dann natürlich auch eine Rechtsgrundlage, welche - weil so wollen das die Aufsichtsbehörden aktuell - regelmäßig "nur" die Einwilligung sein kann.

Fazit:
Und worauf wollen wir nun hinaus? Ganz einfach: Cookie Banner müssen regelmäßig "zwei" Einwilligungen einholen! Einmal für das Setzen des Cookie an sich und einmal noch für die anschließende Verarbeitung der darin involvierten personenbezogenen Daten. Die bloße Formulierung "Einwilligung nach DSGVO" die in gefühlt 99% der Cookie-Banner verwendet wird ist schlicht weg falsch!

Weitere Links

Blog - datenschutz-guru.de
Bild von Pezibear auf Pixabay


Tags