Jeder kennt die (lästigen) Banner, die bei dem Besuch einer Webseite auftauchen, um über die Nutzung von Cookies zu informieren. In Spanien sind sie weit verbreitet, wodurch mögliche Bußgelder der Datenschutzagentur vermieden werden. Welche Anforderungen muss die Nutzung von Cookies einhalten? Wie sieht die Gestaltung einer rechtskonformen Website aus?

Ein schwieriger Anfang

In Spanien wurde die Regelung für die Nutzung von Cookies aus der Richtlinie 2009/136/EG, auch Cookie-Richtlinie genannt, durch den Artikel 22 Abs. 2 des spanischen E-Commerce Gesetzes (LSSICE) umgesetzt. Dabei entschied sich der spanische Gesetzgeber für die Einführung eines Opt-in-Systems.

Nach Inkrafttreten der Gesetzesänderung sammelten sich allerdings Fragen über die praktische Umsetzung der neuen Cookie-Regelung. Die Nutzung von Cookies wurde zu einem der meist diskutierten Themen in der E-Commerce-Branche: Experten konnten sich nicht darüber einigen, wie ein rechtssicheres und möglichst benutzerfreundliches Cookie-System aussehen sollte und zahlreiche Dienstleister baten unterschiedliche „Cookie-Lösungen“ an. Trotz dieser Unklarheit begannen Webseiten, Hinweise über die Verwendung von Cookies zu geben. Allerdings wiesen diese Hinweise anfangs noch große Unterschiede auf. Die Varianten reichten von einfachen Verweisen auf die Nutzung von Cookies auf der Startseite bis hin zu Opt-in Bannern mit Buttons zur Ablehnung oder Annahme der Cookies und Verlinkung auf eine gesonderte Cookie Policy Seite, die ausführliche Auflistungen über alle in den Shops verwendeten Cookies zeigten.

Mehrstufiges System

Um die damals bestehende Unklarheit zu beseitigen, veröffentlichte die spanische Datenschutzagentur (AEPD) am 29. April 2013 einen Leitfaden über die Nutzung von Cookies. In diesem 25-seitigen Dokument wurde auf die Notwendigkeit des Einholens einer informierten Einwilligung für die Verwendung von Cookies hingewiesen. Die Pflichten der Unternehmen hinsichtlich der Verwendung von Cookies werden in zwei Kategorien unterteilt: die Informationspflicht und die Pflicht zum Einholen einer Einwilligung. Hierzu empfahl die AEPD die Einführung eines zweistufigen Informationssystems.

Über dieses System werden wichtige Informationen auf einer ersten eingeblendeten Seiteangezeigt und auf einer zweiten vervollständigt. Die erste Stufe besteht aus einem Banner auf der Startseite, auf dem über die Verwendung von Cookies informiert. Auf der zweiten Stufe, der sogenannten Cookie-Policy werden detaillierte Informationen über die Cookies und die dadurch erhobenen Daten gegeben.

Inhalt der Cookie Policy

Gemäß den Vorgaben der AEPD müssen folgende Informationen zur Verfügung gestellt werden:

  • Definition und Funktionsweise der Cookies: eine Erklärung, was Cookies sind und wie sie funktionieren
  • Darstellung oder Auflistung der Art der verwendeten Cookies und deren Zweck. Hiermit ist nicht der Name gemeint, es ist keine Liste mit den im Netz verwendeten Cookies erforderlich. Vielmehr sind diese Kategorien zu bilden und zu erklären: technische Cookies, Funktionalitäts-Cookies, Analytics-Cookies, Werbe-Cookies und Cookies für personalisierte Werbung
  • Informationen zum Widerruf der erteilten Einwilligung und Löschung von Cookies
  • Angabe der Personen, die die Cookies verwenden, sei es der Editor und/oder auch mit ihm verbundene Dritte

Diesbezüglich ist die Nutzung einer eigenständigen Webseite für die Cookie Policy nicht erforderlich, denn die AEPD erlaubt, dass sie als Teil der Datenschutzerklärung zur Verfügung gestellt wird (Rechtsgutachten 0093/2014 der AEPD).

Einwilligung

Eine stillschweigende Einwilligung kann von einer beabsichtigten Handlung innerhalb eines Kontextes abgeleitet werden, wenn der Nutzer deutlich und leicht zugänglich über die Zwecke der Cookies sowie darüber, ob diese vom Editor selbst und/oder Dritten verwendet werden, informiert worden ist. Als stillschweigende Zustimmung gelten:

  • Die Annahme der „Cookie-Richtlinie“, der „Nutzungsbedingungen für die Webseite“ oder der „Datenschutzerklärung“ bei Beantragung der Anmeldung zu einem Dienst
  • Die Annahme optional angebotener Funktionen auf der Webseite oder App (Feature-led Consent)
  • Das Herunterladen eines auf der Webseite angebotenen Dienstes oder einer App
  • Die Konfiguration der Funktionalitäten der Webseite oder App (Settings-led Consent)
  • Über mehrstufig angebotene Informationen: Die grundlegenden Informationen werden auf einer ersten Seite bei Aufruf im Webseite angegeben und auf einer zweiten Seite mit umfassenden Informationen über Cookies vervollständigt. Mit dem weiteren Nutzen der Seite wird eine stillschweigende Einwilligung erklärt
  • Über die Browser-Einstellungen: Die bloße Inaktivität des Nutzers impliziert nicht dessen Zustimmung zur Installation und Verwendung von Cookies, daher ist die Verwendung von Browsereinstellungen als Mechanismus zum Erhalt einer Zustimmung nur eingeschränkt anwendbar, da die Mehrzahl an Browsern Cookies automatisch akzeptieren

Fazit

Eine rechtssichere Nutzung von Cookies in Spanien verlangt die Einführung eines mehrstufigen Informationssystems, um die informierte Einwilligung des Nutzers einzuholen. Diesbezüglich sollte man sich an dem Leitfaden der AEPD orientieren, um mögliche Sanktionen zu vermeiden.

Wir helfen Ihnen gerne bei der Internationalisierung Ihres Online-Shops. (rg)

Bilquelle: Lukasz Stefanski/shutterstock.com