Wir haben bereits in der Vergangenheit über die Themen Einwilligung sowie Cookie-Banner berichtet. Lange hat es gedauert, bis letztlich durch den Europäischen Gerichtshof (EuGH) entschieden wurde, dass Webseitenbetreiber immer eine aktive Einwilligung der Besucher benötigen, wenn Sie Tracking und Werbe-Cookies auf Ihrer Seite verwenden möchten. Hierbei handelt es sich vor allem um Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann zum Teil mit anderen Daten und Diensten verknüpfen oder teilen.

Voraussetzung für eine wirksame Einwilligung

„Bist du einverstanden, dass…?“, „Ja, bin ich“- grundsätzlich kann damit eine Zustimmung signalisiert werden, jedoch sind hier kaum die Voraussetzung aus Datenschutzsicht erfüllt, dass eine Einwilligung auch wirksam ist. Um eine wirksame Einwilligung zu erzielen, muss angemessen informiert werden, unmissverständlich deutlich gemacht werden, dass es sich um eine Einwilligung handelt und vor allem muss die Einwilligung freiwillig erfolgen. So leicht wie das Erteilen einer Einwilligung ist, muss es auch möglich sein – in der Regel auf dem gleichen einfachen Weg – diese jederzeit zu widerrufen.

Nachweisbarkeit ist wichtig

Soweit so gut. Nehmen wir an, all diese Anforderungen sind angemessen umgesetzt: Wie kann jetzt ein Webseitenbetreiber nachweisen, dass eine Einwilligung einer Person für bestimmte Cookies vorliegt, sofern beispielsweise eine Behörde danach fragt? Allgemein gilt, dass eine Einwilligung nachweisbar sein muss. Das Thema Nachweisbarkeit bzw. Rechenschaftspflicht ist in Artikel 5 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Artikel 5 Abs. 1 DSGVO aufgezählten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.

Nachweisbarkeit durch Setzen von Cookies?

Der Nachweis einer Einwilligung sollte in Form einer Protokollierung erfolgen. Diese Protokollierung wird häufig durch das Setzen eines (in diesem Fall technisch notwendigen) Cookies auf dem Endgerät des Nutzers erfolgen. In diesem Cookie wird der Zeitpunkt der Einwilligung sowie die Personenzuordnung gespeichert. Hierbei haben wir allerdings die erste Herausforderung – wie kann eine Personenzuordnung erfolgen? Nehmen wir das gängige Beispiel: Mehre Personen leben in einem Haushalt. Diese Personen nutzen alle denselben Rechner und besuchen dabei häufig die selben Webseiten. Wie kann in diesem Fall eine genaue Personenzuordnung stattfinden? Kann hier tatsächlich jeder Nutzer selbst entscheiden, ob er der Einwilligung zustimmt? Bei dem geschilderten Szenario würde vermutlich keine genaue Personenzuordnung stattfinden können. Es findet lediglich eine Gerätezuordnung statt. Vermutlich wird dies nicht ausreichen, da nicht jeder einzelne Nutzer die Möglichkeit hat, einzuwilligen.

Was, wenn Cookies gelöscht werden?

Eine weitere Herausforderung hinsichtlich der Dokumentation besteht, wenn der Seitenbesucher die ausgewählten Cookies wieder löscht. Das Einbetten von Cookies erfolgt üblicherweise durch den Webseitenbetreiber. Allerdings hat dieser nicht die Kontrolle über den Rechner des Nutzers. Er kann zwar beeinflussen, welche Cookies gesetzt werden. Jedoch hat er keine Möglichkeit sicherzustellen, dass die Cookies so lange gespeichert werden, wie er sie gegebenenfalls nachweisen muss. Sobald der Nutzer sich entscheidet, einzelne oder alle Cookies zu löschen, entfällt für den Seitenbetreiber die Nachweismöglichkeit.

Was, wenn nur die Einwilligung gelöscht wird?

Im schlimmsten Fall könnte ein Nutzer die in Form eines Cookies gespeicherte Einwilligung löschen während er die auf Basis der Einwilligung gesetzten Cookies beibehält. Das Ergebnis ließe sich von einer unrechtmäßigen Verarbeitung, bei der ohne vorherige Einwilligung Cookies gesetzt wurden, nicht mehr unterscheiden.

Der Seitenbetreiber muss also jederzeit die volle Kontrolle über erteilte Einwilligungen behalten können. Dies wird ihm nur gelingen, wenn die Einwilligungen abseits der Kontrollmöglichkeiten des Nutzers auf dem eigenen Server gespeichert werden.

Einwilligungen erfordern die Identifikation des Nutzers

Werden Einwilligungen außerhalb des Nutzerrechners gespeichert, müssen diese weiterhin dem Nutzer zugeordnet werden können. Dies könnte beispielsweise über die eindeutige Identifikation des Browsers erfolgen. Dieser sogenannte Browser Fingerprint würde zusammen mit der Einwilligung gespeichert und könnte bei zukünftigen Seitenbesuchen dazu dienen, den Nutzer (bzw. den Browser) wiederzuerkennen. Das oben geschilderte Problem der Erkennung einzelner Nutzer bei Geräten, die von mehreren Personen genutzt werden, würde jedoch auch bei dieser Art der Speicherung weiterhin bestehen.

Cookie-Consent-Tools?

Viele der gängigen Cookie-Consent-Tools werben damit, dass mit ihnen alle datenschutzrechtlichen Anforderungen leicht erfüllt werden können. Tatsache ist jedoch, dass sowohl eine eindeutige Identifikation einzelner Nutzer bei Familien- und sonstigen Sammelkonten nicht möglich ist. Ebenso kann der Seitenbetreiber nicht sicherstellen, dass Einwilligungen, die nicht auf dem eigenen Server dokumentiert und mit einem Browser Fingerprint ergänzt werden, dauerhaft nachweisbar sind.

Darüber hinaus stellt sich bei Nachweisen, die auf den Endgeräten des Nutzers gespeichert sind, noch ein grundsätzliches praktisches Problem. Selbst wenn dieser Nachweis vorhanden ist, befindet er sich in der Verfügungsgewalt des Nutzers. In Streitfragen ist ein Verantwortlicher also darauf angewiesen, dass der Nutzer kooperiert und den Nachweis zur Verfügung stellt. Ohne diese Unterstützung durch den Nutzer, wird der Verantwortliche seiner Nachweispflicht der rechtmäßigen Verarbeitung nicht nachkommen können.

Wir meinen: Aktuelle Cookie-Consent-Tools bieten den Seitenbetreibern einen hohen Komfort und Flexibilität in Sachen Umsetzung der datenschutzrechtlichen Anforderungen – eine 100%ige Sicherheit bieten sie den Seitenbetreibern jedoch nicht.

Wenn Sie Hilfe benötigen einen datenschutzkonformen Cookie-Banner in Ihrer Webseite zu integrieren, sprechen Sie uns an.