In der von der Datenschutzkonferenz veröffentlichen Orientierungshilfe für Anbieter von Telemedien (Vgl. https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) werden Tipps und Hinweise zum datenschutzkonformen Einsatz von Cookies und Analyse-Tools auf Webseiten gegeben. Anhand dieser Orientierungshilfe haben wir uns näher mit der Thematik „Einsatz von (Drittanbieter-)Cookies und Analyse Tools“ auseinandergesetzt und folgende Handlungsempfehlungen für den datenschutzkonformen Einsatz von Cookies erarbeitet.
Drittanbieter-Cookies (wie Google Analytics oder Facebook Plugins) sind nur mit ausdrücklicher Einwilligung einsetzbar. Um dies zu gewährleisten sind die folgenden Punkte zu erfüllen:
- Beim erstmaligen Besuch der Webseite ist ein Cookie-Banner einzusetzen.
- Der Cookie-Banner muss eine Übersicht über die einwilligungsbedürftigen Verarbeitungsvorgänge (Cookies) unter Nennung der beteiligten Akteure und deren Funktion enthalten.
- Der Cookie-Banner darf die Verlinkung zur Datenschutzerklärung und zum Impressum nicht verdecken.
- Die Einwilligung des Besuchers ist durch „Opt-in“ für jeden Drittanbieter-Cookie einzuholen (dabei darf „aktiviert“ nicht voreingestellt sein, d.h. es ist eine aktive Handlung des Besuchers nötig [z.B. Haken setzen oder Klick auf Schaltfläche, etc.]).
- Es muss eine Möglichkeit zum Widerruf / zur nachträglichen Deaktivierung gegeben werden.
- Bevor eine freiwillige Einwilligung abgegeben wurde müssen die Cookies gesperrt / blockiert sein. Erst mit der Einwilligung des Besuchers ist die Aktivierung der Cookies rechtskonform.
- Das Ergebnis der Auswahl / Einwilligung / Widerspruchs ist ohne Verwendung einer User-ID o.ä. vom Verantwortlichen auf dem Endgerät des Benutzers zu speichern.
- Die Webseite sollte ohne Einwilligung oder lediglich teilweise Einwilligung in Drittanbieter-Cookies vollumfänglich besuchbar / abrufbar sein.
- Zu beachten / prüfen ist die angegebene Rechtsgrundlage zur Verarbeitung in der Datenschutzerklärung. Die Rechtsgrundlage lautet in diesem Fall „Art. 6 Abs. 1 lit. a DSGVO“.
Lokal betriebene Cookies, die keine Daten an Dritte übermitteln, können weiterhin ohne Einwilligung eingesetzt werden. Diese können mit der Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO berechtigtes Interesse begründet werden. Dies gilt beispielsweise dann, wenn eine lokale Installation eines Webanalysedienstes verwendet wird (z.B. Matomo).
Ähnlich wie bei Drittanbieter-Cookies ist die Verwendung von Drittanbieter-Schriftarten (z.B. Google Fonts) durch Herunterladen vom Drittanbieter-Server datenschutzrechtlich fragwürdig. Hier empfehlen wir dringend, dass die Schriftarten lokal auf dem eigenen Server eingebunden werden sollten.
Bei diesen Punkten handelt es sich um Handlungsempfehlung auf Grundlage der aktuellen Bekanntmachungen und Gesetzesauslegungen. Mögliche Rechtsprechungen und klare Stellungnahmen der Aufsichtsbehörden zur Thematik werden von uns weiter verfolgt und bei Bedarf eine Anpassung solcher Handlungsempfehlungen vorgenommen.