Die Datenschutzkonferenz hat eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht.
Die Aufsichtsbehörden sehen demnach die Vorschriften des TMG (4. Abschnitt; §§ 11 ff. TMG) für nicht anwendbar, da die Vorschriften des Telemediengesetztes keine Umsetzung der ePrivacy -Richtlinie 2002/58/darstellen.
Aus diesem Grund richtet sich die Rechtmäßigkeit der Verarbeitung nach den Regelungen der DSGVO.
Zusammenfassend gelten folgende Regeln:
- Es bedarf der informierten Einwilligung des Nutzers, bevor Cookies gesetzt werden. Die Voraussetzungen der Einwilligung ergeben sich aus Art. 4 Nr. 11 und Art 7 DSGVO. Die Einwilligung muss ausdrücklich erfolgen, also nicht nur durch ein bereits gesetztes “OK” im Consent-Banner.
- Die Betreiber der Website müssen die Nutzer in einer klaren, präzisen und leicht verständlichen Sprache darüber informieren, dass Cookies auf der Website gesetzt werden, z.B. durch ein Banner oder aktive Textfelder. Die Information muss vor dem Setzen der Cookies gegeben werden.
- Die Informationen müssen insbesondere Angaben über den Zweck der Verarbeitung enthalten. Es reicht nicht aus, nur darauf hinzuweisen, dass Cookies gesetzt werden. Daher wird eine Angabe wie „wir verwenden Cookies, um Inhalte der Website zu verbessern” ohne zusätzliche Erläuterungen nicht als regelkonform angesehen.
- Die Informationen müssen zusätzlich Angaben über die natürliche oder juristische Person enthalten, die Cookies setzt. Wenn Dritte Cookies auf der Webseite des Betreibers setzen, ist auch eine genaue Angabe zu den Dritten und diesen Third-Party-Cookies erforderlich.
- Die Nutzer der Website müssen in der Lage sein, eine bereits erteilte Einwilligung zu widerrufen.
Ausnahmen
Wenn die Verwendung von Cookies und die Speicherung von Daten auf dem Endgerät des Nutzers eine technische Voraussetzung dafür ist, dass ein vom Nutzer ausdrücklich angeforderter Dienst erbracht werden kann, sind solche Cookies grundsätzlich von den Regeln ausgenommen, da Ihre Verarbeitung auf einem berechtigten Interesse nach Art 6 Abs.1 lit f) DSGVO beruhen kann.
Beispiele hierfür sind: Bereitstellung des Internetzugang, Buchungssysteme, Webformulare, elektronische Warenkörbe.