Neue Bestimmungen für Cookies – Ist Ihr Cookie-Banner noch zulässig?

Speditionen haben in ihrer Eigenschaft als Webseitenbetreiber seit Einführung der DSGVO viel dazugelernt. Als Unternehmer wissen Sie, welche Informationen in ein perfektes Impressum gehören, Sie haben sich mit den Feinheiten der Datenschutzerklärung auseinandergesetzt und Sie haben ein Cookie-Banner implementiert.

Können Sie sich nun wieder in Ruhe Ihrem Kerngeschäft widmen?

Nein.
Denn die Aufsichtsbehörden lehnen sich nicht einfach entspannt zurück, sondern streben vielmehr danach, die Prozesse weiter zu perfektionieren. Im Dezember wurden unter anderem die Cookies unter die Lupe genommen.
Und da fielen einige Webseiten unangenehm auf. Nämlich solche, bei denen die Option „ich will aber nur essenzielle Cookies“ hinter einem Button „Einstellungen“ versteckt ist.

Ergebnis: Von nun an ist das unzulässig!

Cookies ablehnen

In der letzten Datenschutzkonferenz (DSK) der Aufsichtsbehörden wurde eine Orientierungshilfe zum Telemediengesetz mit Gültigkeitsdatum 01.12.2021 veröffentlicht. Die Aufsichtsbehörden sind zu dem Entschluss gekommen, dass nur dann eine wirksame Einwilligung zu Cookies vorliegen kann, wenn das Ablehnen genau so einfach wie das Akzeptieren ist.

Konkret bedeutet das für Sie: Ein Nutzer, der beim Surfen auf Ihrer Webseite nur essenzielle Cookies zulassen will, muss dies mit einem einfachen Klick entscheiden können.

Der Hintergrund ist, dass zahlreiche Webseitenbetreiber dem Nutzer lediglich einen leicht zugänglichen Button „Alles akzeptieren“ präsentieren. Der ist auffällig eingefärbt und lässt sich mit einem Klick bedienen. Allerdings fängt sich der Nutzer dabei sämtliche Cookies ein. Behagt ihm das nicht und sucht er nun nach einem Button „Nur essenzielle Cookies“, beginnt für ihn häufig ein Hindernislauf. Er wird umständlich über einen Button „Einstellungen“ weitergeleitet, muss durch einen endlosen Text scrollen und bleibt schließlich in ausufernden Erläuterungen zu den einzelnen Cookies stecken, die zu lesen kein normaler Internetnutzer die Zeit noch die Nerven hat.

Da dieses Vorgehen in einem Widerspruch zu den Forderungen der Aufsichtsbehörden steht, haben diese nun solche Praktiken als unzulässig erklärt.

Das bedeutet, seit dem 01.12.2021 sind folgende Cookie-Banner nicht mehr erlaubt:

Achtung: Unzulässiges Cookie-Banner seit 01.12.21

Cookies widerrufen

Weiterhin legten die Aufsichtsbehörden auf ihrer Datenschutzkonferenz (DSK) fest, dass ein Widerruf von Cookies ohne Zwischenschritte bzw. Suchvorgänge möglich sein muss. Kurz: Sie als Webseitenbetreiber müssen Ihren Nutzern die Möglichkeit verschaffen, genehmigte Cookies unkompliziert zu widerrufen.

Wurde eine Einwilligung mittels Banner o. Ä. abgefragt, ist es daher auch unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen.“ (DSK)

Hürden oder Umwege auf dem Weg zum Widerruf sind also nicht mit den gesetzlichen Vorgaben vereinbar. Solche Umwege lassen sich auch nicht mit technischen Gegebenheiten rechtfertigen, da zahlreiche Webseiten sehr wohl einen Direktlink bzw. ein Icon einblenden, das geradewegs zu den Cookie-Einstellungen führt.

Cookie Einstellungen

Wie hoch ist das Bußgeldrisiko?

Mit den Bußgeldern, die bei Datenschutzvergehen tatsächlich sehr hoch angesetzt sind, wird gerne gedroht. Nun liegen aber Gerichtsurteile zum Setzen von Cookies ohne rechtmäßige Einwilligung zurzeit noch nicht vor. Insofern kann das Bußgeldrisiko nur abgeschätzt werden. Generell gilt der Grundsatz, dass Geldbußen für Verstöße verhältnismäßig und abschreckend sein sollen.

Aufgabe der Datenschutzbehörde ist es, Anwender bei der Umsetzung der Datenschutzrichtlinien zu unterstützen. Daher wurde auf der Datenschutzkonferenz explizit eine Orientierungshilfe verfasst, um die korrekte Interpretation des § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu ermöglichen. Dieser Paragraf ist mit Wirkung zum 1. Dezember 2021 beim Einsatz von jeglichen Technologien zu beachten, mittels derer Informationen auf Endeinrichtungen gespeichert oder aus diesen ausgelesen werden.

Relevant für den Anwender ist, dass die Datenschutzbehörde diese Orientierungshilfe als Grundlage für ihre Entscheidung nutzen kann.

Sollte nun einer Ihrer Wettbewerber eine Meldung an die Aufsichtsbehörde schicken und sich über die Cookie-Banner auf Ihrer Website beschweren, besteht die Möglichkeit, dass diese eine Prüfung einleitet. Theoretisch sind dafür Bußgelder bis zu 300.000 € möglich. Bedenken Sie außerdem, dass Sie Abmahnanwälten, die hier eine neue Einnahmequelle wittern, eine Angriffsmöglichkeit bieten.

Insofern empfehle ich Ihnen ganz klar, sich abzusichern.

Speziell für Speditionen gibt es aktuell eine Förderung, über die Sie sich die Erstellung eines Datenschutzhandbuches fördern lassen können.

Lassen Sie sich hierzu gerne von mir beraten. Es lohnt sich.

Mit einem geringen Eigenanteil erhalten Sie ein Datenschutzmanagement-System, mit dem Sie sich gegenüber der Aufsichtsbehörde absichern. Dies enthält u. a. ist die Steuerung Ihrer Dienstleister und die Umsetzung einer rechtskonformen Darstellung Ihrer Cookie-Banner.

Neubewertungen der DSGVO Richtlinien für Google Fonts

Das Landesgericht München sprach einem Kläger ein Schmerzensgeld i.H.v. 100,00 € zu.
Der Kläger hatte eine Internetseite besucht, auf der Schriftarten von Google (“Google Webfonts” oder “Google Fonts”) eingebunden waren. Aber ich will Sie jetzt nicht mit den Details aufhalten, denn Sie können die Details in verschiedenen Artikeln nachlesen. Aktuell wird die Entscheidung des Münchner Landesgerichts nämlich rege von Juristen diskutiert. Beispielsweise von der Kanzlei Beckmann und Norda, um wahllos ein Beispiele herauszugreifen.

Webfonts

In den letzten Wochen habe ich meine Kunden sowie am Datenschutz Interessierte darauf hingewiesen, dass sie das Google-Fonts-Thema angehen müssen. Ein Interessent berichtete mir, dass er gerade von eine Marketing-Agentur zu einer Unterlassungserklärung sowie Zahlung eines Schadensersatzes von 100 € aufgefordert worden war. Die Marketing-Agentur sieht sich nach einem Besuch auf seiner Webseite nun in ihrem Persönlichkeitsrecht verletzt. Weil er Google Fonts nutzt.

Damit Sie nun nicht vor dem gleichen Dilemma stehen, sollten Sie Ihre Website umgehend prüfen, ob ebenfalls Google Fonts eingebunden sind. Sie brauchen Unterstützung bei der Analyse?

Dann schicken Sie mir gerne einen Link zu Ihrer Domain, ich mache dann einen Google Fonts Website Check für Sie.

Vielleicht überrascht es Sie, dass die harmlos wirkenden Google Fonts auf einmal zum Problem werden. In der Tat gibt es eine Reihe von digitalen Fallstricken, insbesondere, wenn Drittanbieter-Tools verwendet werden.

Es lohnt sich daher, aktuelle Nachrichten zum Thema Datenschutz kontinuierlich zu verfolgen, da Sie in Zukunft mit weiteren “Überraschungen” rechnen können. Nur ein kleines Beispiel aus einem anderen Datenschutz-Bereich: Mit Jahreswechsel haben die Aufsichtsbehörden begonnen, Fragebögen an Unternehmen zu verschicken, um deren aktuelles Datenschutz-Niveau zu erfahren. Unter anderem werden Unternehmen aufgefordert, eine detaillierte Aufstellung der IT-Systemlandschaft vorlegen zu können. Sie sind eben immer für eine Überraschung gut, unsere Datenschutzbehörden.

Plugin für Datenschutzhinweise inkl. Consent-Tool

Die IT-Recht Kanzlei hat ein DSGVO Schutzpakete entwickelt, bei denen die Datenschutzhinweise per Baukastensystem erstellt werden. Besonders innovativ ist eine automatisierte Aktualisierungsfunktion der Datenschutz Texte. Des Weitern sind in dem Paket verschiedene Consent-Tools enthalten. 

Potentialanalyse

Geschäftsführerhaftung

Das OLG Dresden hat am 30.11.2021 in einem Urteil bzgl. der Haftung von Geschäftsführern die Bedeutung des Datenschutzes hervorgehoben. Das Gericht stellte fest, dass nicht nur die Unternehmen, sondern auch die Geschäftsführer selbst als Verantwortliche anzusehen sind und die Pflichten (und Sanktionen) der DSGVO auf sie angewendet werden können. Bei Datenschutzverletzungen würden Sie also ggf. in die Geschäftsführerhaftung genommen werden.

Aktuelle Beiträge zum Datenschutz: