Cookie-Hinweise sind nicht erst seit der DSGVO auf beinahe jeder Website allgegenwärtig. Grundsätzlich informieren sie User darüber, dass Nutzerdaten gespeichert werden. Für viele Webseitenbetreiber herrscht allerdings viel Unsicherheit, welche Regeln sie nach geltendem Recht einhalten müssen. Erfahren Sie in unseren FAQs, was Sie zur Cookie-Meldung wissen müssen und wie Sie Abmahnungen und Bußgelder vermeiden.
Quick Facts zu Cookies
- Das Regelwerk rund um Cookies ist komplex und in vielen Bereichen ist herrscht Uneinigkeit darüber, wie die Vorgaben in der Praxis umsetzbar sind.
- In Deutschland sind gerade die beiden Umsetzungen Opt-In (aktive Einwilligung erforderlich) und Opt-Out (keine Einwilligung, sondern Widerspruchsrecht) rechtlich umstritten.
- Bisher widersprechen sich die Cookie-Richtlinie der EU und das deutsche Telemediengesetz beim Thema Einwilligungserklärung vor dem Setzen von Cookies.
- Durch das Telemediengesetz nahm Deutschland bis zum Inkrafttreten der DSGVO eine Sonderrolle in Bezug auf Cookies innerhalb der EU ein.
- Die neue e-Privacy-Verordnung der EU soll für mehr Klarheit sorgen, allerdings wurde ihr Inkrafttreten auf einen unbestimmten Zeitpunkt 2020 oder 2021 verschoben. Anwendbar und bindend wird sie frühestens im Jahr 2022 sein.
- Ein neues Urteil des Europäischen Gerichtshofes stellte klar, dass deutsche Webseitenbetreiber trotz einer rechtlichen Grauzone nicht vor Strafen gefeit sind: Die Häkchen zur Zustimmung zu Drittanbieter-Cookies dürfen nicht schon ausgewählt sein. Der Nutzer muss diese selbst setzen, anstatt sie aktiv „abzuwählen”. Zudem bestätigt das Urteil, dass der EuGH die Opt-Out Lösung als nicht ausreichend erachtet.
- Bis zum Inkrafttreten der e-Privacy-Verordnung wird weiterhin unklar bleiben, wie bisherige (zum Teil widersprüchliche) Vorgaben und Urteile von Behörden und Gerichten für die eigene Website auszulegen sind.
- Viele Seitenbetreiber sind zurecht verunsichert über die Ausgestaltung eines rechtskonformen, abmahnsicheren Cookie-Hinweises, der es ihnen dennoch erlaubt, überhaupt Cookies (insbesondere von Drittanbietern) zu setzen. Auf der sichersten Seite sind Seitenbetreiber nur, wenn sie die strengst möglichen Regelungen (Opt-In) umsetzen.
Was sind Cookies?
Ganz einfach gesagt sind Cookies Textdateien, die beim Besuch einer bestimmten Website angelegt und auf dem Gerät des Nutzers gespeichert werden. Das kann ein Computer, Tablet oder Smartphone sein. Die Daten werden zu verschiedenen Zwecken gespeichert. Dies kann zum einen ein technischer Zweck sein (z. B. um Formulareingaben oder Warenkörbe zu speichern und zu übermitteln), zum anderen aber auch der Wiedererkennung des Users zu Zwecken der Reichweitenanalyse und des Direktmarketings dienen. Grundsätzlich soll so die User Experience für jeden Nutzer verbessert werden. Durch die eingesetzten Cookies erhalten Unternehmen aber auch Daten, um ihre Nutzer gezielter anzusprechen oder mittels Analyse-Tools anhand ihrer Merkmale statistisch auszuwerten.
Welche Arten sollten Webseitenbetreiber unterscheiden?
Grundsätzlich unterscheidet man zwei Arten von Cookies anhand ihrer Verwender.
- First-Party Cookies: Daten, die vom Webserver des Seitenbetreibers (Erstanbieter) gesetzt und nur intern verwendet werden, zum Beispiel für getroffene Einstellungen, eingegebene Login-Daten oder Artikel im Warenkorb. Die Daten selbst verlassen also nicht den verwendeten Server des Seitenbetreibers.
- Third-Party Cookies: Daten, die für Drittanbieter erhoben und von diesen gespeichert werden, z. B. Google Analytics (Tracking) oder externe Werbeanbieter (Re-Marketing, Re-Targeting)
Weiterhin ist die Dauer der Datenspeicherung ein zusätzliches Kriterium, um Cookies zu unterscheiden:
Session Cookies werden nach dem Beenden der Browser-Sitzung gelöscht. Das heißt: Wenn Sie das Browserfenster schließen, verschwindet auch die hinterlegte Datei aus dem Speicher des jeweiligen Geräts.
Persistent oder Permanent Cookies bleiben dauerhaft auf dem jeweiligen Endgerät gespeichert, sodass die Nutzerdaten bei jedem weiteren Besuch abrufbar bleiben. Sie können vom User manuell gelöscht werden. In den meisten Fällen verfallen sie selbständig nach Ablauf einer definierten Zeit.
DSGVO: Cookie-Hinweis und Datenschutz
Beim aktuellen Stand der Rechtslage zum Thema Cookies sind viele Seitenbetreiber zu Recht verunsichert, denn es herrscht eine unübersichtliche Informationsflut im Internet mit vielen Halbwahrheiten. In Zusammenarbeit mit den auf IT-Recht spezialisierten DURY LEGAL Rechtsanwälten fasst firma.de die wichtigsten Punkte für Sie zusammen.
Welche Gesetze gelten für Cookies in Deutschland?
Für Seitenbetreiber mit Geschäftssitz in Deutschland gelten die Vorgaben des Telemediengesetzes (§ 15 TMG). Hierin wird geregelt, dass Nutzer unterrichtet und auf ihr Widerspruchsrecht (Opt-Out) hingewiesen werden müssen. Dem Setzen der Cookies muss der Nutzer demnach nicht aktiv zustimmen. Dies bedeutet auch, dass die Datenverarbeitung so lange stattfindet, bis der Widerspruch erklärt wurde. Dieser Widerspruch funktioniert nicht rückwirkend, sondern verhindert nur eine weitere Cookie-Verwendung in der Zukunft. Ein Cookie-Hinweis mit Verweis auf die ausführliche Erläuterung der Nutzerrechte in der Datenschutzerklärung war also nach deutschem Recht bis zum Inkrafttreten der DSGVO ausreichend. Danach gingen einige Meinungen in der juristischen Literatur davon aus, dass das TMG weiterhin als „speziellere“ Rechtsgrundlage der DSGVO Vorrang haben würde. Diese Fortgeltung des TMG ist jedoch stark umstritten. Insbesondere die Deutsche Datenschutzkonferenz (DSK) widerspricht dieser Ansicht.
Sie benötigen rechtliche Beratung rund um das Thema Datenschutz?
Nutzen Sie einfach unsere Beratungs-Flatrate!
Was regelt die Cookie-Richtlinie der EU?
Die bestehende e-Privacy-Richtlinie (2009/136/EG) wird auch EU-Cookie-Richtlinie genannt. Ab 2011 sollte sie für alle Mitgliedsstaaten rechtlich bindend sein, die Praxis sieht aber etwas anders aus. Sie regelt, dass jeder Nutzer seine ausdrückliche Einwilligung (Opt-In) für das Setzen von Cookies geben muss, zum Beispiel durch einen Klick auf „Akzeptieren” innerhalb eines Cookie Pop-ups. Nur technisch notwendige Cookies sind von dieser Regelung ausgenommen. Bevor diese Einwilligung nicht erfolgt, darf keine Datenverarbeitung von Nutzerdaten stattfinden! Die Richtlinie ist allerdings nur eine Vorgabe, die bisher nicht ins deutsche Recht übernommen wurde. Somit wurde diese strenge Auslegung für deutsche Seitenbetreiber nicht rechtlich bindend.
Es ist nicht zu erwarten, dass die Cookie-Richtlinie mehr als acht Jahre nach ihrer Umsetzungsfrist noch eine Umsetzung erfährt. Dies gilt insbesondere vor dem Hintergrund, dass sowohl die Bundesrepublik Deutschland als auch die EU-Kommission davon ausgehen, dass Deutschland die Cookie-Richtlinie bereits ausreichend umgesetzt hat
Neues EuGH-Gerichtsurteil schafft mehr Klarheit
Am 1. Oktober 2019 urteilte der Europäische Gerichtshof, dass Third-Party Cookies für Tracking- und Werbezwecke immer eine aktive Einwilligung des Users erfordern. Ein voreingestelltes Häkchen widerspräche der geforderten „aktiven Einwilligung” (Az. C-673/17). Erstanbieter-Cookies, die lediglich technische Aspekte der Website erfassen wie z. B. Login, Performance, Eingaben, Warenkorbartikel sind von dieser strengen Auslegung ausgenommen.
Was ist die e-Privacy-Verordnung?
Die e-Privacy-VO ist eine geplante EU-Verordnung, die die bisherige Cookie-Richtlinie ersetzen soll. Darin sollen unter anderem Regelungen zu User Tracking und Drittanbieter-Cookies getroffen werden. Ursprünglich war das Inkrafttreten zeitgleich mit der DSGVO geplant (Mai 2018). Aktuell existiert allerdings kein konkretes Datum für das Gültigwerden, da einige Mitgliedsstaaten dem bestehenden Entwurf bisher nicht zugestimmt haben (Stand November 2019).
Wie hängt die DSGVO mit Cookie-Regelungen zusammen?
Die neue EU-Datenschutzgrundverordnung, die so vielen Webshops Bauchschmerzen bereitet, beinhaltet keine speziellen Regelungen zum Einsatz von Cookies. Dies liegt insbesondere daran, dass die E-Privacy-Verordnung explizite Regelungen beinhalten sollte, aber ihr Inkrafttreten immer wieder aufgeschoben wurde. Im Rahmen der Informationspflichten der DSGVO muss der verantwortliche Seitenbetreiber bereits jetzt die Rechtsgrundlagen für die Verwendung von Cookies eindeutig nennen – und zwar in der Datenschutzerklärung.
Gerade im Hinblick auf die oben genannte Entscheidung des EuGH sollten Webseitenbetreiber jetzt aktiv werden und Cookie-Hinweise rechtssicher gestalten. Es ist zu erwarten, dass die deutsche Sonderregelung demnächst gekippt werden wird.
Was bedeuten Cookies für die Benutzung von GoogleAds und Google Analytics?
Das Unternehmen Google wird oft als „Datenkrake” wahrgenommen, da dessen Dienste in der Lage sind, immer mehr personenbezogene Daten über verschiedenste Konten, Anwendungen und Geräte hinweg zu sammeln (Cross-Device Tracking), zu bündeln und zu vernetzen. Was viele überraschen wird: Google forderte über seine AGB schon früher als die europäischen Gesetzgeber, dass User der Weitergabe von Daten an Google-Dienste explizit erlauben müssen. Auch aktuell empfiehlt der Technologie-Riese ein klares Opt-In der User in seiner User Consent Policy.
Google Analytics
Grundsätzlich ist Google Analytics so gestaltet, dass die Übertragung der Daten vom Webseitenbetreiber an Google und zurück durch AV-Verträge geregelt ist. Trotzdem ist jedem Anbieter grundsätzlich selbst überlassen, auf welche User-Daten er dem Google-Tracker Zugriff gewährt, indem die Einstellungen angepasst werden.
Einerseits räumt Artikel 6 Abs. 1 lit. f der DSGVO Webseitenbetreibern ein „berechtigtes Interesse” an der Erhebung und Verarbeitung von Nutzerdaten ein. Andererseits muss eine Interessenabwägung zwischen denen des Betreibers und den Interessen, Grundrechten und -freiheiten der Nutzer stattfinden. Allerdings haben sich die deutschen Datenschutzbehörden im Hinblick auf Datenübermittlung an Webtracker klar positioniert. Gerade dann, wenn Daten an einen Dritten übertragen werden, ist nach Ansicht der deutschen Datenschutzkonferenz immer eine Einwilligung des Nutzers notwendig – die Datenerfassung kann sich nicht allein auf das berechtigte Interesse stützen.
GoogleAds
Auf den Seiten des GoogleAds Support betont Google, dass der Datenschutz der Nutzer und die Rechtskonformität im Mittelpunkt stehen: „Werbetreibende, die Remarketing-Tags implementieren, müssen im Rahmen dieser Richtlinie die Einwilligung der Nutzer einholen, wenn sie deren Daten für personalisierte Anzeigen erheben. Außerdem ist beim Einsatz von Conversion-Tags zu Analysezwecken die Einwilligung zur Verwendung von Cookies erforderlich.”
Im Klartext heißt das: Cookies von Google-Diensten erfordern nach Ansicht der Datenschutzkonferenz eine aktive Einwilligung, auch wenn der Firmenname in dieser Orientierungshilfe für Anbieter von Telemedien nicht explizit genannt wird.
Cookie-Hinweis formulieren und gestalten
Wer sich ausreichend über die aktuellen rechtlichen Vorgaben zu Cookies informiert hat, steht nun immer noch vor der Frage: Wie gestalte und formuliere ich einen rechtskonformen Cookie-Banner?
Cookie Beispieltext
„Auf dieser Seite kommen Cookies zum Einsatz. Wir verwenden unsere Cookies zu verschiedenen Zwecken. Unter anderem setzen wir Cookies, die notwendig sind um die Inhalte unserer Seite ordnungsgemäß anzuzeigen und bedienen zu können (technisch notwendige Cookies). Für die Verwendung dieser Cookies haben wir ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Für alle anderen Cookies benötigen wir Ihre ausdrückliche Einwilligung. Bei den Cookies handelt es sich um [hier Cookies mit Anbieter und Zweck aufzählen]“.*
Im Anschluss sollten mindestens drei Buttons folgen:
„Akzeptieren”, „Ablehnen” und „Details”, die visuell gleichrangig gestaltet sind optimalerweise kann der Kunde einzelne technisch nicht notwendigen Cookies an- und wieder abwählen oder alternativ in Kategorien an und abwählen (z. B.: Werbung, Tracking, etc.). Das heißt sie müssen die einzelnen Cookies bzw. Kategorien aktiv auswählen. Diese dürfen laut EuGH also nicht bereits voreingestellt sein.
*Einen Goldstandard als Vorlage gibt es leider nicht. Der Text und die jeweiligen Optionen müssen auf Ihre Website zugeschnitten werden, um abmahnsicher zu sein. Um auf Nummer sicher zu gehen, sollten Sie den Entwurf immer von einem spezialisierten Anwalt für Datenschutz prüfen lassen.
Generell sollte eine Einwilligung in die Cookies alle auf der Seite aktiven Cookies nennen. Genau diese Cookie-Informationen sollten ebenfalls in der Datenschutzerklärung aufgeführt werden.
Bei der Gestaltung bieten WordPress und weitere führende Content Management Systeme eigene Lösungen als Plug-In an. Falls dies keine Möglichkeit ist, gibt es viele Anbieter, die so genannte Consent-Tools bieten. Für die Formulierung werden hier ebenfalls Lösungen angeboten. Bitte seien Sie auch hier kritisch: Nicht jeder Online-Anbieter ist auf dem neusten Stand der Dinge. Die Europäische Kommission bietet hier ein Cookies Consent Kit.
Sie haben Fragen rund um Datenschutz?
Ihre Rechtsberatung auf Abruf: Sichern Sie sich ab mit unserer #FreeLawyer Beratungs-Flatrate!
Cookie-Hinweis auf der Website: Wie umsetzen?
Aktuell begegnen uns auf deutschen Websites drei Varianten:
- Kein Cookie-Hinweis (Banner, Pop-up etc.): Erläuterung zu Cookies nur in der Datenschutzerklärung
- Opt-Out: Cookie-Hinweis, der User nur informiert, dass die Seite Cookies setzt
- Opt-In: Cookie-Hinweis, der aktive Einwilligung oder Ablehnung des Users erzwingt
Variante 1: Kein Cookie-Hinweis
Gar keinen Cookie-Hinweis zu verwenden, ist die rechtlich riskanteste Variante. Grundsätzlich widerspricht dies nicht nur der Cookie-Richtlinie der EU, sondern auch dem Telemediengesetz, den Vorgaben der deutschen Datenschutzbehörden und mehreren Urteilen des Europäischen Gerichtshofes.
Mit dieser Variante riskieren Sie, dass Ihre Website abgemahnt wird – sowohl von den Datenschutzbehörden als auch von privaten Abmahnern mit Eigeninteresse.
Variante 2: Cookie-Hinweis ohne Einwilligung
Bei dieser Variante wird der User zwar auf die Verwendung von Cookies hingewiesen, kann aber weder zustimmen noch ablehnen. Der Banner verlangt nur die Kenntnisnahme der User.
Vor dem Inkrafttreten der DSGVO war dies die am weitesten verbreitete Umsetzung. Danach wurde diese Lösung durch die deutschen Datenschutzbehörden diskutiert. Kernthema der Diskussion war, ob das Telemediengesetz, auf dem die Opt-Out-Lösung beruht, weiterhin neben der DSGVO anwendbar ist.
In der gemeinsamen Konferenz der deutschen Aufsichtsbehörden wurde die Opt-Out-Lösung abgelehnt – unter Berufung auf den Vorrang der DSGVO. Daher soll auch diese Variante nicht mehr verwendet werden. Zwar gibt es aktuell in Deutschland keine Rechtsprechung, die die Opt-In-Lösung (Variante 3) vorschreibt, jedoch ist damit zu rechnen, dass die Gerichte in Deutschland sich der Entscheidung des EuGH anschließen werden.
Variante 3: Cookie-Hinweis mit Einwilligung
Die momentan sicherste Variante stellt der Opt-In dar. Bei dieser Methode werden Nutzer vor die Wahl gestellt, ob und wenn ja, welche Cookies oder Cookie-Kategorien sie erlauben. Hiervon ausgenommen sind lediglich diejenigen Cookies, die technisch zum Betrieb der Website notwendig sind. Der Banner oder das Pop-up muss den Usern nicht nur die Möglichkeit bieten, Ja oder Nein anzuklicken, sondern auch einen Link zur Übersicht aller Drittanbieter, die Cookies setzen. Diese Liste befindet sich idealerweise in der Datenschutzerklärung der Webseite. Den Nutzern sollte es hierbei möglich sein, einzelne Cookies oder zumindest Cookie-Kategorien anzunehmen oder abzulehnen. Nur so kann gewährleistet werden, dass die Nutzer eine ausreichende Einwilligung im Sinne der DSGVO erteilen. Auch wenn der User alle Cookies ablehnt, muss die Seite nutzbar bleiben.
Wichtig: Bevor keine aktive Erlaubnis des Users erteilt wurde, dürfen keinesfalls Nutzerdaten übertragen werden. Dies bedeutet, dass technisch sichergestellt werden muss, dass ohne ausdrückliche Nutzereinwilligung nur die technisch notwendigen Cookies gesetzt werden dürfen.
That’s the way the cookie crumbles
Vorsicht ist besser als Nachsicht bei allen Themen, die die Datenschutzanforderungen der Unternehmens-Website angehen. Denn selbst bei kleineren Verstößen gegen die DSGVO oder Ausgestaltungen, die sich aktuell in einer rechtlichen Grauzone befinden, setzen Sie Ihr Unternehmen einem erheblichen finanziellen Risiko durch Abmahnungen aus.
Die Inhalte dieses Artikels wurden geprüft durch DURY LEGAL Rechtsanwälte, die spezialisiert sind auf IT-Recht und Datenschutzrecht.