Cookies

Die DSK hat eine hervorragend geschriebene Orientierungshilfe herausgegeben.
Der Landesbeauftragte für den Datenschutz in Baden-Württemberg hat dazu ein gut verständliches FAQ veröffentlicht
Im November 2020 hat der LfDI Niedersachsen eine Handreichung zu Anforderungen an Consent-Layer nachgelegt.

Für Cookies, die für die Funktion einer Webseite notwendig sind (wie eine Warenkorb-Funktion), braucht man kein Cookie-Banner. Ein Hinweis in der Datenchutzerklärung reicht, es muss auch keine Kenntnisnahme der Datenschutzerklärung bestätigt werden.

Für Cookies, für die eine Rechtsgüterabwägung zugunsten des Webseitenbetreibers ausgeht (wie eine Statisktik auf eigenen Servern) kann die Verarbeitung auf berechtigtes Interesse gestützt werden. Auch hier braucht es weder Cookie-Banner noch Kenntnisnahme. Berechtigtes Interesse muss aber gut begründet sein, um als Rechtsgrundlage dienen zu können. Vorab ist daher zu prüfen:

1. Liegt überhaupt ein valides berechtigtes Interesse des Verantwortlichen oder eines Dritten vor?
2. Ist die Datenverarbeitung zur Wahrung dieser Interessen geeignet und erforderlich? (Oder gäbe es ein milderes Mittel?)
3. Abwägung der Interessen mit den Grundrechten der betroffenen Person, siehe Orientierungshilfe ab S. 11 und Anhang

Für Cookies, die über die nach Treu und Glauben vom Nutzer zu erwartende Datenverarbeitung hinausgehen (wie Tracking oder (Re-)Targering durch Dritte, welche diese Daten auch für eigene Zwecke verwenden) braucht man eine Einwilligung. Damit eine Einwilligung eine Rechtsgrundlage darstellt, müssen Voraussetzungen gegeben sein:

• Informierte Entscheidung: Ausreichende Information vorab, um eine Entscheidung treffen zu können
• Freiwilligkeit: Eine Wahlmöglichkeit, die Möglichkeit der Ablehnung ohne Nachteile
• Widerruflichkeit: Der Nutzer muss die Einwilligung genauso leicht wiederrufen können wie er sie erteilt hat

Cookie-Banner, die nur "OK" anbieten, erfüllen dies nicht. Soll das Banner nur informiern, so braucht man dazu keine Bestätigung. Beispiele für Webseiten mir Cookie-Bannern. Weder deren Auswahl noch Reihenfolge sind als Wertung zu sehen:

• https://janina-ruth-seo-sem.de/
• https://www.dhl.de/
• https://www.microsoft.com/
• https://www.deindinglaeuft.de/
• https://www.buerkle.de/
• https://iternity.com/
• https://conaktiv.de/
• https://www.allgeier-core.com/
• https://www.congstar.de/
• https://www.kaiser-mode.de/
• https://www.totorio.it/
• https://www.sslplus.de/
• https://www.amigo-spiele.de/
• https://www.bb-net.de/
• https://www.virtual-solution.com/
• https://www.paypal.com/
• https://devdocs.io/
• https://www.jimdo.com/de/
• https://yoy.life/app/home
• https://www.heise-events.de/
• https://www.smartcityhotel-koenigstrasse.de/
• https://www.oracle.com/
• https://www.digitaltrends.com/
• https://www.mfk-nuernberg.de/
• https://www.gog.com/
• https://www.cookiebot.com/
• https://www.nbiserv.de/de/privacy
• https://www.benq.eu/
• https://www.oracle.com/
• https://www.thomasinternational.net/
• https://de.atlassian.com/
• https://sourceforge.net/
• https://www.softpedia.com/
• https://www.unitymedia.de/
• https://clickdimensions.com/
• https://zkm.de/
• http://www.chip.de/
• https://www.mymuesli.com/
• https://ecomply.io/
• https://www.exali.de/Ueber-exali/
• https://www.dreger.de/
• https://www.hotbike-shop.de/
• https://www.easyjet.com/
• http://ollis.blog/
• https://heinekingmedia.de/
• https://www.cupconcept.com/
• https://www.forum-privatheit.de/
• https://zbs-steuerberatung.de/
• https://www.allmusic.com/

Sonstiges

Statistik-Dienstleister

• matomo (ehem. Piwik): SaaS und Software für den eigenen Server, Grundpaket OpenSource, AddOns kostenpflichtig, kann so konfiguriert werden, dass keine Cookies verwendet werden, AV-Vertrag verfügbar
• Fathom: SaaS, kostenpflichtig, kommt ohne Cookies aus, behauptet, nicht unter die DSGVO zu fallen, da nur anonyme Daten verarbeitet werden, bietet daher keinen AV-Vertrag an
• eTracker: SaaS, kostenpflichtig, kann unterschiedlich konfiguriert werden, bietet Vertrag zur Auftragsverarbeitung an

• Google Analytics: SaaS, Grundfunktion kostenlos, wird von weitergehenenden Google-Marketing-Tools als Data Layer verwendet, nutzt immer Cookies und Fingerprinting, kann evtl. ohne Einwilligung eingesetzt werden, WENN diverse Optionen NICHT abgeschaltet sind, AV-Vertrag (einseitig) kann in den Einstellungen "bestätigt" werden
• Facebook-Pixel: SaaS, Grundfunktion kostenlos (mit Business Account), wird von weitergehenden Facebook-Marketing-Tools als Data Layer verwendet, nutzt immer Cookies und Fingerprinting, kein AV-Vertrag (für "normale" Kunden), "Vertrag" zur gemeinsamen Verantwortung kann "bestätigt" werden

Beispiele für 2-Klick-Lösungen

• Google Maps

Consent-Plugins für WordPress

• GDPR Cookie Compliance
• DSGVO Pixelmate
• Borlabs Cookie

Consent-Frameworks

• iab Transparency and Consent Framework
• TrustArc (früher TRUSTe)
• Consent Management Provider (CMP)
• Usercentrics Consent Management Platform (CMP)
• OneTrust

Lizenz

CC0. Sie dürfen diese Anleitung beliebig verändern und reproduzieren. Die Angabe der Quelle ist nett, aber nicht gefordert.
Wir freuen uns aber sehr über Anmerkungen und Verbesserungsvorschläge per (verschlüsselter?) E-Mail :-)

---