DSGVO und Cookies – was ist erlaubt?

Mal ehrlich: Wen nervt es nicht, das ständige Wegklicken der Cookie-Banner. Meist klicken wir auf „alle akzeptieren“, nur um schnell weiterlesen zu können. Eingeführt wurden die kleinen Banner mit der Datenschutzgrundverordnung. Doch was damals keiner wusste: DSGVO und Cookies, hierzu gibt es nicht zwingend eine Pflicht. Doch was ist erlaubt?

DSGVO und Cookies: Das steht im Gesetz

Laut Artikel 6, Abs. 1, der Datenschutzgrundverordnung dürfen Daten immer dann verarbeitet werden, wenn eine dieser Bedingungen erfüllt ist:

1. Der Nutzer hat der Datenverarbeitung aktiv zugestimmt.
2. Die Datenerhebung für die Tätigkeit, Auftragsabwicklung erforderlich ist.
3. Wenn der Verantwortliche die Daten benötigt, um rechtlichen Pflichten nachkommen zu können.
4. Um mit den Daten lebenswichtige Interessen zu schützen.
5. Zur Aufgabenerfüllung in einer Behörde.
6. Wenn die Verantwortlichen ein berechtigtes Interesse verfolgt, etwa die Optimierung der Sicherheit einer Website.

Welcher dieser Punkte ist nun zum Betreiben einer Webseite relevant?

Ohne Onlineshopanbindung bleiben hier lediglich die Punkte a und f übrig. Demnach sind Cookies, laut DSGVO nicht zwingend erforderlich.

Der Grund: das „Cookie-Urteil“

Der Grund für die eben getroffene Aussage liegt im sogenannte „Cookie-Urteil“ aus dem Oktober 2019 des Europäischen Gerichtshofs (EuGH) verborgen. Hier hat der EuGH entschieden, dass der Verwendung der Cookies zugestimmt werden muss, wenn hierfür eine Einwilligung vorgeschrieben ist. Bitte was?

Richtig: Das Urteil bezieht sich auf alle Cookies, die eine Einwilligung gemäß Punkt a) verlangen. Alle anderen Dienste fallen raus. Das sind:

• Technisch zwingend notwendige Cookies (beispielsweise Warenkorb-Cookies in Online-Shops, ohne die die Website nicht richtig funktioniert).
• Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Das TTDSG grenzt die Notwendigkeit der Cookies ebenfalls ein

In die gleiche Kerbe haut das Telekommunikations-Telemedien-Datenschutzgesetzt (TTDSG) aus dem Dezember 2021. Hierbei handelt es sich um eine Erweiterung der DSGVO. Laut § 25, Abs. 1 ist:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

Übersetzt heißt das: Banner mit dem Hinweis „Mit der weiteren Nutzung stimmen Sie der Nutzung von Cookies zu“ dürfen nicht mehr verwendet werden. Cookies dürfen demnach auf einer Website erst dann aktiviert werden, wenn hierzu eine aktive Bestätigung vorliegt, die nach einer Information erfolgte. So muss der Besuch Ihrer Website auch dann möglich sein, wenn die Verwendung der Cookies abgelehnt wurde. Ausgenommen davon sind technisch erforderliche Cookies.

Cookies und DSGVO: Pflicht oder Kür?

Das TTDSG sagt, dass es für alle Cookies eine Einwilligung bedarf. Ausgenommen davon sind notwendige Cookies – auch dann, wenn keinerlei personenbezogene Daten verarbeitet werden. Für die eigene Website heißt das dann: Cookie-Banner oder Consent-Manager sind nur dann nicht verpflichtend, wenn:

• Diese nicht tracken.
• Keine Cookies gesetzt werden.
• Keine Drittanbieter genutzt werden.

Zudem dürfen alle einwilligungspflichtigen Dienste laut DSGVO nicht vorab aktiviert sein. Dies muss der User selbst vornehmen. Wenn Sie das beachten, sollten Sie in Sachen Cookies kein Problem haben. Wichtig: Da sich beim Thema Datenschutz gerne schnell Neuerungen und Änderungen auftun, besteht keine Vollständigkeit bezüglich des Inhalts.