Die Finger zweier Hände liegen auf den Tasten eines Notebooks. In der Luft darüber sind digitale Symbole für sichere IT-Funktionen zu sehen
Digitalisierung

Cookie-Hinweis und Datenschutzerklärung: Darauf sollten Sie achten

Verfügt Ihre Website über einen rechtskonformen Cookie-Hinweis? Die meisten Internetauftritte fragen beim erstmaligen Besuch zunächst ab, ob der oder die Nutzer:in mit der lokalen Speicherung von Cookies einverstanden ist. Doch was ist eigentlich die genaue Grundlage hierfür? Ist dieser Hinweis wirklich notwendig und falls ja, wann und in welchem Umfang? Welche Informationspflichten bestehen sonst noch?

Mit der Datenschutz-Grundverordnung (DSGVO), die bereits seit Mai 2018 verbindlich gilt, hat der Gesetzgeber die Rechte von Kund:innen im Sinne von Endanwender:innen deutlich gestärkt. Das betrifft insbesondere die Verwendung ihrer personenbezogenen Daten durch Websitebetreiber. Für Unternehmen mit Onlineauftritt bedeutet die DSGVO vor allem mehr Pflichten.

Im Mai 2021 wurden die Regelungen dann auch auf deutscher Ebene im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt. Es ist also wichtig, hier stets auf dem Laufenden zu bleiben. Wir zeigen Ihnen, worauf Sie achten sollten, um Ihren Internetauftritt im Einklang mit der aktuellen Gesetzeslage zu gestalten.

Inhaltsverzeichnis

So sollte ein korrekter Cookie-Hinweis aussehen

Besucht ein:e Anwender:in erstmals Ihre Seite, muss er oder sie auf die Speicherung von Cookies und deren Art sowie den Grund für die Speicherung hingewiesen werden. Außerdem gilt: Nur die Verwendung von „technisch notwendigen" Cookies ist weiterhin auch ohne explizite Einwilligung erlaubt. Sogenannte Marketing- oder Analyse- oder gar Werbe-Cookies und erweitertes Tracking müssen beim ersten Besuch einer Webseite von einem bestimmten Gerät/Browser aus bestätigt werden. Außerdem sollten Sie im Rahmen der Cookie-Einwilligung auf Ihre Datenschutzerklärung hinweisen. Ein Beispiel für einen solchen Text könnte so lauten:
„Wir und unsere Partner benötigen Ihre Einwilligung zur Nutzung von Cookies und vergleichbaren Technologien auf unseren Webseiten, soweit diese nicht bereits technisch zur Nutzung der Webseite unbedingt erforderlich sind. Sie können Ihre Einwilligung jederzeit widerrufen oder anpassen.“ Optional dazu können und sollten Sie eventuelle weitere Cookies erklären, um die Zustimmungsrate zu erhöhen: „Analyse-Cookies dienen dabei der Messung der Nutzung unserer Seiten. Durch Marketing-Cookies können wir Ihnen auf Partnerseiten, in sozialen Netzwerken und an anderer Stelle personalisierte Werbung anzeigen. Dies kann bei Erteilung Ihrer Einwilligung zu Cookies für persönliche Angebote auch geräteübergreifend erfolgen. Für die Personalisierung werden Nutzungsprofile erstellt, denen weitere Daten wie beispielsweise Ihre IP-Adresse und ein bestehendes Nutzerkonto zugeordnet werden können. Für die Datenverarbeitung können Daten auch in Länder außerhalb der EU/EWR übermittelt werden, deren Datenschutzniveau nicht dem der EU entspricht, z.B. in die USA. Ihre Einwilligung erstreckt sich auch darauf, dass Ihre Daten durch Dienstleister in den USA oder anderen, außerhalb der EU/EWR ansässigen, Dienstleistern verarbeitet werden.“
Cookies im Web – dazu dienen sie

Cookies schaffen gleich mehrere Möglichkeiten, die für Sie als Websitebetreiber in vielerlei Hinsicht interessant und teils sogar notwendig sind:

Session-Cookies: Wenn Sie einen Onlineshop betreiben, kommen Sie um sogenannte Session-Cookies nicht herum. Sonst würde kein Warenkorb sinnvoll funktionieren. Sie sind nur für die Dauer der Sitzung gültig (oder für eine andere festgelegte Zeitspanne). Außerdem funktioniert über diesen Weg die Passwortspeicherung ohne mehrfaches Login.

Google-Analytics-Cookies: Diese Cookie-Art dient zu Statistik-Zwecken und macht Ihre Google-Analytics-Auswertungen (beispielsweise zu wiederkehrenden Besuchern) überhaupt erst möglich.

Retargeting-Cookies: Mit Retargeting-Cookies können Sie erreichen, dass Werbung für Ihre Produkte auch zu einem späteren Zeitpunkt angezeigt wird, wenn die betreffende Person gar nicht mehr auf Ihrer Seite unterwegs ist, beispielsweise dann bei Google oder Facebook.

Außerdem ist es wichtig darauf hinzuweisen, dass selbst bei Ablehnung der vorgeschlagenen Cookies noch solche (nämlich die technisch notwendigen) gespeichert werden: „Mit "Alle akzeptieren" erteilen Sie Ihre Einwilligung zu allen Cookies und der damit verbundenen Datenverarbeitung. Mit Alle ablehnen akzeptieren Sie nur technisch notwendige Cookies, die sicherstellen, dass Sie alle Funktionen der Seite richtig nutzen können.“
Am Ende sollten Sie noch einen Hinweis auf Ihre Datenschutzseiten platzieren: „Weitere Informationen zur Datenverarbeitung auf unseren Seiten und zu unseren Partnern finden Sie in den Tracking-Datenschutzhinweisen.“
Ein solcher Hinweis muss so oder ähnlich und für Ihre Webseite passend abgewandelt verpflichtend gezeigt werden, wenn Sie die Nutzungsdaten Ihrer Website z.B. mit Tools wie Google Adsense oder Google Analytics auswerten (möchten), Retargeting betreiben wollen oder allgemein Daten nutzen wollen, die von Ihren Webseitenbesucher:innen nicht explizit eingegeben wurden.
Diese Praxis ist inzwischen durch die europäischen Datenschutzbehörden explizit als „Opt-In”-Lösung deklariert und seit 1.10.2019 gemäß Urteil des Europäischen Gerichtshof (EuGH) verpflichtend. Es ist somit nicht zulässig, beispielsweise einen automatisch gesetzten Haken bei den Cookies nur noch bestätigen zu lassen. Die Einwilligung muss „explizit” erfolgen – zumindest, wenn Sie Cookies zum Tracking beziehungsweise zu Werbezwecken einsetzen wollen. Diese Notwendigkeit wurde erst im Mai 2020 in der Auslegung des genannten EuGH-Urteils bestätigt und im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) am 1.12.2021 (Inkrafttreten) auch auf deutscher Ebene verankert.
 Geschäftsmann blickt optimistisch vom Dach eines Hochhauses.

Digitalisierung leicht gemacht

Sie möchten die Digitalisierung Ihres Unternehmens auf das nächste Level heben? Unsere Digital Coaches unterstützen Sie kompetent und unverbindlich in allen Phasen Ihres Digitalisierungsvorhabens.

  • Kostenloses Erstgespräch zum Stand Ihrer Digitalisierung
  • Entwicklung einer Digitalisierungs-Roadmap
  • Beratung zur Nutzung von Fördermitteln
  • Unterstützung bei der Implementierung

Wann Sie die Cookie-Einwilligung explizit einholen müssen – und wann nicht

Der Einsatz von Cookies kann aus verschiedenen Gründen erfolgen. Einige dienen lediglich dazu, die Website benutzbar zu machen – über andere lassen sich hingegen detaillierte Nutzerprofile erstellen.

Für technisch notwendige Cookies ist kein Einverständnis nötig

Bei „technisch notwendigen“ Cookies, beispielsweise für einen Warenkorb im Online-Shop, für die Speicherung von Login-Daten oder bezüglich der eingestellten Sprache oder der Frage, ob der Cookie-Hinweis bestätigt wurde, ist kein explizites Opt-in erforderlich. Immerhin könnten Nutzer:innen Ihre Website sonst möglicherweise nicht korrekt oder vollumfänglich nutzen.
Für andere Cookies – insbesondere Werbe-Cookies – gilt, dass Sie diese erst setzen dürfen, wenn der oder die Nutzer:in diesem explizit und aktiv zugestimmt hat. Tut er/sie dies nicht, dürfen Sie ihm jedoch den Zugang zu Ihrer Website nicht verweigern. Es gibt jedoch eine Grauzone:

Bestimmte Cookie-Arten ("Komfort-Cookies") sind umstritten und in bestimmten Fällen erlaubt

Zu den umstrittenen Cookies gehören diejenigen, die zwar technisch nicht zwingend notwendig sind, um die Webseite anzuzeigen, die aber das Nutzererlebnis deutlich und spürbar verbessern, ohne jedoch Daten an externe Stellen zu übertragen. Hierzu zählen:
  • Cookies, die die vorherige Anmeldung auf dieser Seite erkennen und weitere Logins überflüssig machen
  • Die Speicherung z.B. der zuletzt aufgerufenen Seite(n)
  • Warenkorb-Cookies, die es ermöglichen, auch ohne Login eine Zuordnung zu bislang für eine Bestellung vorgemerkte Waren zu tätigen.
Cookies, die beispielsweise für interne Statistikzwecke, zur Messung des Klickverhaltens oder für die Marktforschung (A/B-Testing, Nutzerführung, Statistik) beispielsweise mit Matomo genutzt werden (ein Marketing-Analysetool), können erlaubt sein, sind aber besonders umstritten. Um kostenpflichtige Abmahnungen zu vermeiden ist es vermutlich sinnvoll, diese Art von Cookies ebenfalls in den Bereich der optionalen Opt-in-Mechanismen zu verschieben. Problematisch ist beim gesamten Bereich der Marktforschung insbesondere die explizite Zuordnung von verhaltensbezogenen Daten zu einzelnen Personen oder auch nur die bloße Möglichkeit, dies zu tun.
Allgemein geht die gängige Rechtsprechung jedenfalls davon aus, dass auch wirtschaftliche Notwendigkeiten als Rechtfertigung für "notwendige Cookies" gelten können. Die Frage ist hier nur, was noch als wirtschaftlich notwendig gilt. Unabhängig davon sind sogenannte First-Party-Cookies, die nur in Ihren eigenen Systemen gespeichert und auf Ihrer Seite verwendet werden, normalerweise unproblematischer als Third-Party-Cookies, die ohne Datenübermittlung an externe Stellen nicht funktionieren würden.

Cookies mit definitiver Einwilligungspflicht

Für die meisten anderen üblichen und teilweise überaus attraktiven Tracking- und Marketing-Cookies kommen Sie ohne eine explizite Einwilligung nicht herum. Hierzu zählen beispielsweise:
  • Third-Party-Tracking-Cookies: Diese zeichnen die Internet-Aktivität des/der Nutzer:in insgesamt auf und verwenden diese beispielsweise für Affiliate-Marketing-Programme.
  • Targeting-Cookies: Diese Art von Cookies dient unter anderem für das sogenannte Re-Targeting, bei dem derselben Person auf anderen Websites Produkte angeboten werden, die zum jeweiligen Surfverhalten oder zu bisherigen Sucheingaben passen (sollen).
  • Social-Media-Cookies: Hiermit erstellen vor allem Social-Media-Websites Marketingprofile ihrer Besucher, die sie dann für zielgerichtetes Targeting nutzen.
Einige Unsicherheiten bestehen noch bei den Themen Facebook-Pixel und Google-Analytics-Trackingcode. Diese sind beispielsweise für Programmatic Advertising notwendig. Außerdem ist unklar, ob Warenkorb-Cookies nach Ende einer Sitzung gelöscht werden müssen oder nicht und falls ja, nach welchem Zeitraum. Ähnliches gilt bei der Frage nach Cookies, die beispielsweise die letzte Position in einem angeschauten Video speichern (sogenannte Mediensteuerungs-Cookies). Diese verbessern einerseits die Nutzererfahrung, lassen aber auch Rückschlüsse über Absprungpunkte und detaillierte Verhaltensanalysen zu.
Bei sogenannten Tracking-Pixeln, Web-Beacons, Fingerprints und Tags ist der Fall jedoch klar: Auch diese dürfen gemäß §25 des TTDSG nur nach vorheriger Einwilligung verwendet werden.
Junge Frau am Laptop nutzt Cloud-Services

Whitepaper: Cloud Security

Cloud Security ist eine relativ neue und zentrale Disziplin der IT-Sicherheit – und unerlässlich für die erfolgreiche Nutzung von Cloud-Anwendungen. Sie erhalten in unserem Whitepaper Cloud Security komprimiertes Wissen rund um das Thema Sicherheit in der Datenwolke.

  • Veränderte Sicherheitsarchitekturen
  • Neue Verantwortlichkeiten
  • Studien, Insights und Praxisbeispiele
  • Zero Trust & Co. als Sicherheitsmodelle

Das muss in Ihrer Datenschutzerklärung stehen

Die im entsprechenden Hinweis auf Ihrer Webseite genannte Datenschutzerklärung muss aussagekräftig und verständlich sein. Sie muss außerdem vollständig darlegen, welche Daten Sie in welcher Form speichern und wo, und was Sie zum Schutz der Daten tun. Zusätzlich müssen Sie dort Ihre Nutzer:innen auf diverse Rechte gemäß DSGVO hinweisen (und diese Rechte im Zweifel auch ausübbar machen). Dies sind im Einzelnen:
  • Recht auf Widerruf von Einwilligungen (Artikel 7 Absatz 3): Der/die Nutzer:in muss jederzeit seine/ihre Einwilligung in die Datenverarbeitung problemlos widerrufen können.
  • Auskunftsrecht (Artikel 15): Wer Ihre Website nutzt hat das Recht, Einsicht in die von Ihnen gesammelten personenbezogenen Daten zu bekommen.
  • Berichtigungsrecht (Artikel 16): Ihre Nutzer:innen können verlangen, dass Angaben, die sie gemacht haben, falls nötig berichtigt werden.
  • Recht auf Vergessenwerden (Artikel 17): Jede:r Nutzer:in hat das Recht, zu einem beliebigen Zeitpunkt die Löschung der über sie personenbezogenen Daten zu verlangen.
  • Recht auf Löschung und Einschränkung der Verarbeitung von Daten (Artikel 17): Die Forderung nach Löschung kann auch für Teile der erhobenen Daten gestellt werden. Außerdem kann Ihnen die Verarbeitung und Weitergabe der Daten explizit untersagt werden, auch wenn zu einem früheren Zeitpunkt ein Einverständnis dazu erteilt wurde.
  • Recht auf Datenübertragbarkeit (Artikel 20): Der oder die Nutzer:in hat das Recht, jederzeit eine Kopie seiner/ihrer Daten, soweit Sie sie speichern, in einem gängigen, maschinenlesbaren Format zu erhalten.
  • Recht auf Beschwerde bei Aufsichtsbehörden (Artikel 77): Die Nutzer:innen sind darauf hinzuweisen, dass sie bei Verdacht auf einen Verstoß gegen die Datenschutzgrundverordnung die Möglichkeit haben, sich bei der für Sie zuständigen Aufsichtsbehörde zu beschweren.
Des Weiteren müssen Sie Ihre Nutzer:innen explizit darauf hinweisen, wenn Sie Kundendaten an Dritte weitergeben. Das gilt insbesondere, aber nicht nur, wenn die Daten in Länder außerhalb der EU übermittelt werden. Weitere notwendige Angaben betreffen das Hosting, eventuelle Newsletter- und Trackingfunktionen sowie ausführliche Erläuterungen zum Zweck der oben genannten Cookie-Speicherung.
Achten Sie außerdem darauf, dass Sie die entsprechenden Hinweise in allen Sprachen anbieten, die auf Ihrer Website zur Auswahl stehen. Zudem muss die Datenschutzerklärung mit einem Klick von der Startseite aus erreichbar sein.
Was zunächst sehr aufwendig klingt, ist in der Praxis durchaus umsetzbar: Im Web gibt es diverse Musterformulare zu diesem Thema und teils können Sie derartige Erklärungen sogar automatisch erzeugen lassen. Für rechtlich verbindliche Aussagen zur Datenschutzgrundverordnung und den Angabepflichten in Ihrem speziellen Fall sollten Sie jedoch vor der Veröffentlichung und im Zweifel immer Ihren Rechtsbeistand, idealerweise einen Fachanwalt für Internetrecht, kontaktieren.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Diese weiteren Informationspflichten haben Sie

Bereits seit Längerem gilt die sogenannte Impressumspflicht. Demnach müssen Sie als Betreiber einer Website bestimmte Angaben nicht nur darlegen, sondern auch von der Startseite aus mit nur einem Klick erreichbar machen (beispielsweise durch einen Klick auf „Impressum” am Fuß der Seite). Näheres hierzu regelt auch Paragraph 5 Absatz 1 des Telemediengesetzes (TMG).
Je nach Art Ihres Geschäfts, Ihrer Rechtsform und Ihrer Unternehmensstruktur können wie bereits erwähnt weitere Angaben notwendig sein. Mehr zu den Verpflichtungen, die sich aus der Datenschutzgrundverordnung (DSGVO) ergeben, erfahren Sie demnächst bei uns in einem eigenen Beitrag.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Cookie-Hinweis und die Datenschutzerklärung: Das Wichtigste in Kürze

  • Wenn Sie auf Ihrer Website Cookies verwenden, die nicht technisch notwendig sind, müssen Sie die explizite Zustimmung Ihrer Nutzer:innen einholen, dass diese verwendet und gespeichert werden dürfen.
  • Ohne diese Zustimmung sind seit Inkrafttreten der ePrivacy-Verordnung auf EU-Ebene wichtige Website-Funktionen ohne Cookie-Hinweis nicht mehr legal umsetzbar – zum Beispiel Retargeting-Mechanismen und eine Auswertung mit Google Analytics.
  • Bei einigen Cookie-Arten gibt es nach wie vor Unsicherheiten, was deren korrekte Einwilligungsabfrage angeht.
  • Zusätzlich zu den Einwilligungs-Mechanismen benötigen Sie auf Ihrer Website eine passende Datenschutzerklärung sowie ein rechtskonformes Impressum.
  • Ohne die genannten Cookie-Hinweise und deren Einwilligung durch den Nutzer:innen dürfen Sie keinerlei Daten sammeln, die einen Rückschluss auf das Verhalten einzelner Personen auf Ihrer Website zulassen.
Das könnte Sie auch interessieren:
Unified Communication
Kalender mit einem Stift darauf liegend

Microsoft Bookings: Einfache Terminplanung für Unternehmen

Jede Menge E-Mails und Telefonate bis der Termin endlich steht, doch dann sagt Ihr Kontakt im letzten Moment ab und bittet erneut um Verschiebung: Die manuelle Organisation von Terminen kann für Unternehmen sehr zeitaufwändig sein. Deshalb bietet Ihnen Microsoft den Dienst „Bookings“ als Erweiterung zu Microsoft 365 Business. Damit optimieren Sie Ihr Termin-Management. Mit rund 60 Millionen geschäftlichen Nutzer:innen ist Microsoft 365 die weltweit führende Business-Software – wohl nicht zuletzt, weil Online-Dienste wie Exchange, Teams und der Cloud-Service OneDrive professionelle Lösungen für die interne sowie externe Unternehmenskommunikation bieten. Auch die Terminfindung mit Ihren Kund:innen können Sie mit einem integrierten Dienst aus dem Microsoft 365-Portfolio vereinfachen: Microsoft Bookings heißt der Service, den Abonnent:innen von Microsoft 365 Business nutzen können.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort