Immer mehr Cookie-Banner im Internet – Kugelmann: Großer Erfolg für den Datenschutz - Ein paar Klicks mehr, aber auch viel mehr Selbstbestimmung

Auf Webseiten von Unternehmen, Emaildiensten und Nachrichtenmedien erscheinen immer mehr Cookie-Banner; die Nutzerinnen und Nutzer können dort die Einwilligung zu Cookie-Einsätzen geben oder verweigern. Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz sind in den vergangenen Wochen verstärkt Nachfragen von Bürgerinnen und Bürgern eingegangen.

Der Landesdatenschutzbeauftragte Professor Dieter Kugelmann betont: „Der Bundesgerichtshof (BGH) hat jüngst in einem Urteil klargestellt, dass für Cookies, die nicht zur Bereitstellung der Webseite oder App erforderlich sind, in jedem Fall eine aktive Einwilligung der Webseitenbesucher erforderlich ist. Mittlerweile scheinen viele Betreiber dieses Urteil umgesetzt zu haben und Cookie-Banner zu schalten. Manche Benutzerinnen und Benutzer empfinden diese als lästig. Aus Datenschutz-Sicht sind die Cookie-Banner ein großer Erfolg: Jede Nutzerin und jede Nutzer kann nun erfahren, welche Informationen zur Nutzung erhoben werden sollen. Jede und jeder kann in diese Datensammlung einwilligen oder diese ablehnen. Damit können Internetnutzer selbst entscheiden, welche Daten über sie angehäuft werden. Als es die Banner noch nicht gab, hieß das keineswegs, dass keine Cookies auf den Rechner der Nutzer gespeichert wurden. Es hieß nur, dass man nicht um Erlaubnis gefragt wurde.“

Cookies sind kleine Textdateien, die beim Besuch von Webseiten und bei der Nutzung von Apps durch den Anbieter oder einen Dienst, mit dem dieser zusammen arbeitet, auf den Rechnern und Smartphones abgelegt werden und später wieder ausgelesen werden können. Cookies können verschiedenen Zwecken dienen: Manche Cookies sind notwendig, um Webseiten grafisch korrekt darzustellen, andere Cookies dienen dem Zweck, die Nutzer wiederzuerkennen und weitere Informationen über sie zu sammeln. Dies geschieht häufig über viele Webseiten hinweg, weil große Anbieter ihre Cookies auf vielen Webseiten einbinden lassen, um so umfassende Persönlichkeitsprofile der Internetnutzer aufzubauen. Diese Informationen können zum Beispiel verwendet werden, um Nutzern individuell passende Werbung anzuzeigen aber auch für andere Zwecke, wie etwa im Wahlkampf oder für Kredit-Scoring.

Kugelmann betont: „Die informationelle Selbstbestimmung ist ein wichtiges Recht: Jede und jeder soll selbst darüber entscheiden können, welche personenbezogenen Daten er von sich preisgeben möchte und wer sie verwenden darf. Das Nutzungsverhalten im Internet lässt tiefe Einblicke in persönliche Verhältnisse zu. Die Pflicht, die Einwilligung der Nutzer einzuholen, ist daher gut und richtig. Für die Nutzer bedeutet dies: Ein paar Klicks mehr, aber auch viel mehr Selbstbestimmung.“

Internetseitenbetreiber und Datenschützer beschäftigt schon länger die Frage, wann eine Einwilligung für die Verarbeitung von Daten der Internetnutzer durch Cookies notwendig und wann eine Datenerhebung ohne Einwilligung zulässig ist. Für technisch notwendige Cookies müssen die Nutzer nicht um ihre ausdrückliche Erlaubnis gefragt werden.  Solche können Cookies sein, die dafür sorgen, dass bei einem Online-Shop der Warenkorb dem Nutzer zugeordnet bleibt, während dieser weiter einkauft oder später den Einkauf fortsetzt. Andere Cookies dürfen nur eingesetzt werden, wenn eine sogenannte „informierte Einwilligung“ des Nutzers vorliegt. Ist dem nicht so und es erfolgt der Cookie-Einsatz ohne wirksame Einwilligung, ist die Datenverarbeitung rechtswidrig und kann von den Aufsichtsbehörden untersagt und mit Bußgeldern geahndet werden.

Der Europäische Gerichtshof hat 2019 entschieden, dass eine Einwilligung der Internetnutzer in die Verarbeitung ihrer Daten, etwa durch Cookies, nur dann wirksam ist, wenn der Nutzer aktiv die Einwilligung erteilt. Der BGH hat dies bestätigt. Eine wirksame Einwilligung liegt daher nicht vor, wenn die Felder der Einwilligungserklärung beispielsweise in einem Cookie-Banner schon vorab angekreuzt sind oder die Einwilligung einfach wegen „Weitersurfens“ unterstellt wird. Eine „Opt-out“-Lösung, bei der die Nutzer der Verarbeitung aktiv widersprechen müssen, erfüllt die Anforderungen ebenfalls nicht und führt zu rechtswidrigen Verarbeitungen.