Cookies sind kleine Textdateien, die ein wichtiges Hilfsmittel für jeden Webseiten-Betreiber darstellen. Sie dienen oft dem Komfort bei der Nutzung einer Webseite. Datenschützer sehen sie allerdings kritisch, weil sie User-Informationen speichern, die beispielsweise für das Marketing eine Rolle spielen können.
UPDATE: Am 1. Dezember 2021 trat das Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG, in Kraft.
Bisher war die gängige Praxis in Deutschland, dass ein eingeblendeter Hinweis auf die Verwendung von Cookies mittels Banner ausreichte. Eine Zustimmung durch den User blieb unnötig. Nutzte der Besucher eine Internetseite nach dem Hinweis weiter, durfte der Betreiber von einer Zustimmung zur Cookie-Praxis ausgehen.
Die Bundesregierung setzte bisher eine EU-Richtlinie, nach der Nutzer der Verwendung von Cookies zustimmen müssen, einfach nicht um. Dies erfolgte ausgerechnet auf Einschätzung der EU-Kommision. Sie sah die deutsche Regel aus europarechtskonform an.
Nun hat der Europäische Gerichtshof ein Urteil gesprochen, dass für alle Beteiligten Rechtssicherheit bringen soll. Für viele Webseiten-Betreiber bedeutet dies einen gewissen Aufwand, um die Seite rechtskonform zu machen. Viele Fragen sind auch weiterhin nicht abschließend geklärt. Ein umfassender gesetzlicher Rahmen lässt in Deutschland weiter auf sich warten.
Bereits 2009 beschloss die EU mit der Richtlinie 2002/22/EG, dass die Speicherung von User-Informationen nur erlaubt ist, wenn der Nutzer zustimmt. Ausgenommen von dieser Pflicht sind lediglich Textdateien, die zum Betrieb der Internetseite unbedingt notwendig sind.
Deutschland regelte den Einsatz der kleinen Textdateien in der Datenschutz-Grundverordnung (DSGVO). Demnach musste der Webseite-Betreiber den Nutzer darüber in Kenntnis setzen, dass er User-Informationen speichert. Außerdem reichte ein Verweis auf die Datenschutzerklärung und die darin enthaltenen genaueren Informationen.
Diese Praxis hat der Europäische Gerichtshof in seinem Urteil vom 1, Oktober 2019 (Rechtssache C‑673/17) zurückgewiesen. Die Zustimmung darf nicht voreingestellt sein, der Nutzer darf also nicht zum aktiven Widerruf aufgerufen werden. Vielmehr ist eine aktive Zustimmung des Users notwendig. Diese Vorgehensweise heißt Opt In-Verfahren. Der Bundesgerichtshof bestätigte diese Rechtssicht im Mai 2020 weitgehend (Aktenzeichen: I ZR 7/16).
Die Bundesregierung wollte eigentlich ihre Cookie-Richtlinie im Zuge der Datenschutz-Grundverordnung veröffentlichen, dazu kam es aber nicht. Nach aktuellem Stand dürfte die Regelung 2021 kommen.
Die bisher häufig gebrauchte Lösung einer einfachen Information über Cookie-Banner ist nicht mehr zulässig. Dies gilt auch, wenn der Internetnutzer die Möglichkeit erhält, der Cookie-Nutzung zu widersprechen. Ein User muss aktiv zustimmen.
Dabei muss er über jeden Cookie informiert werden. Um keine rechtlichen Nachteile zu befürchten, raten Rechtsanwälte zu möglichst detaillierten Informationen zu jeder einzelnen Textdatei. Der Nutzer einer webseite benötigt Aufklärung, was der Betreiber speichert und an wen er die Daten eventuell weitergibt. Der Nutzer muss die Möglichkeit bekommen aktiv jede Cookie-Einstellung einzeln vornehmen. Zulässig ist, dem User zusätzlich anzubieten, alle Cookie-Einstellungen zu akzeptieren. Wichtig ist, dass der Webseiten-Besucher diesen Willen aktiv bekundet, also den Haken zur Zustimmung selbst setzt. Außerdem muss sichergestellt werden, dass der Nutzer genau weiß, wofür er zugestimmt hat.
Wichtig für Webseiten-Betreiber ist, dass vor der Einwilligung keine Daten mit dem Rechner des Users ausgetauscht werden dürfen. Verstöße dagegen oder das Festhalten an der alten Regel haben ein hohes Abmahn-Risiko.
Sehr teuer wird es, wenn auf der Webseite das Cookie-Opt In fehlt. Die Datenschutz-Grundverordnung sieht vor, dass Webseiten-Betreiber dem User einen dadurch möglicherweise entstandenen Schaden ersetzen müssen. Die Datenschutzbehörden dürfen für das Versäumnis außerdem hohe Bußgelder verhängen. Dies erklärt auch, warum Abmahnvereine in der Rüge fehlender Cookie-Opt-Ins ein gutes Geschäft sehen.
Für Webmaster gibt es sogenannte Consent Tools, die dabei helfen, die Einwilligung des Besuchers einzuholen. Das Tool sollte so in die Webseite eingebunden werden, dass der Text beim ersten Besuch des Users erscheint. Consent Tools sind komfortable Werkzeuge für Webmaster und Nutzer. Hier lassen sich Umfang und Zweck der gespeicherten und verarbeiteten Nutzerdaten definieren. User können ihre Zustimmung verwalten und gegebenenfalls eine Einwilligung wieder rückgängig machen.
Das verbreitetste Tool ist aktuell Usercentrics, aber auch WordPress und sogar die EU-Kommission bieten entsprechende Tools an. IT-Rechtsanwälte empfehlen dringend, über die Cookie-Verwendung auch weiterhin in der Datenschutzerklärung ausführlich zu informieren. Entscheidend ist, dass der Nutzer erklärt bekommt, wie er die Cookie-Nutzung unterbindet. Anbieter müssen angeben, zu welchen Zweck sie Daten speichern und wer alles Zugriff auf die Daten erhält.
Dies ist eine schwierige Frage. Welche Datenerhebung zustimmungspflichtig ist und wann eine Cookie-Zustimmung nicht notwendig ist, hat der Gesetzgeber bisher nicht geregelt. Auch der Europäische Gerichtshof gibt in diesem Fall keine Maßgabe. Eine ePrivac-Verordnung soll dieses Problem lösen. Die Verabschiedung dieses Gesetzes erfolgt allerdings frühestens 2021.
Solange können sich Webseiten-Betreiber nur an die Empfehlungen der Datenschutzbehörden und aktuelle Gerichtsurteile halten. Einige Cookies benötigen demnach keine Einwilligung. Sessions-Cookies, aber auch solche für LogIns oder für Warenkörbe bleiben ausgenommen, wenn sie keine Daten weitergeben. Diese Dateien gelten als für den Webseiten-Betrieb unbedingt notwendig.
Anpassungs-Cookies, die beispielsweise die gewünschte Sprache des Users speichern, sind für die Funktion der Webseite ebenfalls notwendig. Es gibt auch Sicherheits-Cookies, die Spam oder andere Angriffe aus dem Netz erkennen und abwehren. Auch sie dienen dem sicheren Betrieb einer Webseite. Für die Speicherung technisch erforderlicher Informationen ist ebenfalls keine Einwilligung nötig. Schließlich dürfte der User dankbar sein, dass das Cookie-Banner eine Information ablegt, dass es später nicht noch einmal aufpoppt. Bei einigen Lösungen kommt der Betreiber aber schnell in den Bereich, in dem die Entbehrlichkeit einer Zustimmung nicht mehr eindeutig ist. Dies kann schon der Fall sein, wenn Spracheinstellungen oder Warenkorb-Inhalt überein Sitzungsende hinaus gespeichert werden.
Die Zustimmungspflicht für das Sammeln von Daten, die dem Komfort während der Nutzung dienen, ist umstritten. Dazu zählt eine Datei, die den Wiederbesuch eines Users erkennt oder sich an den zuletzt besuchten Ort des Webauftritts “erinnert”. Auch bei sitzungsübergreifenden Einstellungen sind sich die Datenrechtler nicht einig, ob eine Zustimmung des Users eingeholt werden muss. Besonders wenn die Daten nicht an Dritte gelangen, sehen Datenschützer keinen Grund für eine Cookie-Zustimmung.
Alle für den Betrieb der Webseite entbehrlichen kleinen Cookies erfordern dagegen eine Zustimmung. Dies gilt besonders, wenn die gesammelten Daten auch Dritten zur Verfügung stehen. Statistiken, Analysen von Nutzerverhalten, Werbe-Cookies, Tracking oder Profiling erfordern die Zustimmung des Users. Dies gilt ebenfalls alle anderen Tracking-Tools, wie Pixel, Web-Beacons oder Browser-Fingerprints. Wenn sie das Nutzverhalten erforschen, sind diese Tools zustimmungspflichtig.
Bei Google Ads ist die Sache klar: Google informiert Webmaster darüber, dass die Verwendung von Ads eine Zustimmung des Users bnötigt. Strittiger ist die Lage bei Google Analytics. Hier glaubt der US-Konzern, dass die Nutzer-Einwilligung unterbleiben kann. Datenschützer sind da skeptisch. Das Argument: Google stellt die Daten nicht nur dem Webmaster zur Verfügung, sondern verknüpft sie auch mit anderen Diensten. Dies geschehe auf eine nicht nachvollziehbare Weise, die vermuten lasse, dass diese Daten auch Google Ads und andere Dienste nutzen können. Dann wäre eine Zustimmung unbedingt erforderlich.
Der bloße Hinweis über ein Banner wird in den meisten Fällen nicht mehr ausreichen. Besonders bei der Verwendung von Tracking-Cookies sollten die Webmaster unbedingt das Einverständnis der User einholen. Die bisher weitverbreitete Unterstellung eines Einverständnisses zur Cookie-Verwendung durch die weitere Nutzung der Webseite nach dem Hinweis reicht nicht mehr.
Dann dürfen keine Dateien auf den Rechner des Users gelangen und kein datenaustausch erfolgen. Ansonsten gehört diese Frage zu den vielen, die bis heute nicht abschließend geregelt ist. Feststeht, dass einige Datenschutzbehörden der Ansicht sind, dass ein User eine Internetseite auch nutzen können muss, wenn er der Speicherung und Verarbeitung bestimmter Daten widersprochen hat. In Deutschland ist die Lage unübersichtlich. Eine Konsultation der zuständigen regionalen Datenschutzbehörde kann hier Aufschluss geben.
Nein, ein Cookie-Banner ist nur nötig, wenn die Internetseite einwilligungspflichtige Elemente verwendet. Sind Zustimmungen erforderlich, reicht nicht mehr der Hinweis aus, dass Informationen über den User oder dessen Verhalten verarbeitet werden. Der Zweck, die Dauer der Datenaufbewahrung und die Stelle, an welcher die Informationen verarbeitet werden, müssen dem Nutzer ebenfalls bekannt gegeben werden. Außerdem muss der User erfahren, wie er der Nutzung widersprechen kann.
Viele Webseiten gestalten Ihre Cookie-Hinweise so, dass die Zustimmungen leicht zu finden sind. Die Ablehnung des Speicherns von User-Informationen muss der Nutzer allerdings suchen. Eine Gesetzesgrundlage gibt es zwar nicht, aber die Wahrscheinlichkeit, dass Datenschutzbehörden diese Praxis unterstützen, ist sehr gering. In Dänemark hat die Behörde bereits in weitreichenden Entscheidungen klargemacht, dass sie ein Versteckspiel nicht akzeptiert. Die Cookie-Ablehnung muss dem User nach Maßgabe der Dänen so leicht gemacht werden wie möglich.
Mit Spitzfindigkeiten bissen Webseiten-Betreiber bei den Dänen auf Granit. Zwei Buttons anzubieten, die “Zustimmen” und “Einstellungen” lauten, verbot die Behörde. Wer will schon eine Liste von Einstellungen durcharbeiten, wenn er nur eine schnelle Information sucht? Hinzu kommt, dass der Nutzer hinter “Einstellungen” nicht zwangsläufig “Ablehnen” vermutet. Deshalb verlangten die dänischen Datenschützer neben “Zustimmen” den Button “Ablehnen”.
In Bezug auf Cookie-Hinweise wies die Behörde bereits einige Banner zurück. Keine Chance auf Akzeptanz hatten Webmaster, welche sich eine Trennung zwischen verschiedenen Cookie-Arten sparten. Auch ein Fehlen der Information über den Cookie-Anbieter dulden die Datenschützer nicht.
Nun ist Dänemark nicht Deutschland. Hierzulande hat bisher weder eine Behörde über diese Fragen entschieden, noch gibt es eine gesetzliche Regelung. Der Präzedenzfall steht noch aus. Nur, wer erwartet, dass die Entscheidungen in Deutschland wesentlich von der dänischen Sichtweise abweichen?
Im Abmahnfall müssen Webseiten-Betreiber nachweisen, dass ein User einer Cookie-Verwendung zustimmte. Da ohne Einwilligung kein Datenaustausch stattfinden darf, ist die Seite idealerweise entsprechend programmiert. Hier reicht es zu beweisen, dass das Programm bei fehlender Zustimmung des Users den Datenaustausch blockiert. Wichtig ist der Nachweis, dass entsprechende Cookie-Hinweise und Opt In zum Zeitpunkt der Einwilligung des Nutzer programmiert waren. Idealerweise bezeugt dies der Webdesigner. Die Banner speichern normalerweise die Nutzerzustimmung, was als Nachweis des Einverständnisses reicht.
Widerspricht der User der Cookie-Verwendung, muss der Datenaustausch unterbleiben. Nur Elemente, die technisch notwendig sind, dürfen dann auf den Rechner des Webseiten-Benutzers gelangen. Die frühere Lösung, die Weitersurfen als Zustimmung zu den Cookie-Richtlinien auffasst, gilt nicht mehr.
Bleibt die Frage, ob Webseiten-Betreiber Cookie-Verweigerern die Nutzung des Inhaltes verwehren dürfen. Endgültig ist diese Frage in Deutschland nicht geklärt. Es gibt Hinweise von den europäischen Nachbarn, die einen Ausschluss von Usern, die nicht zustimmten, nicht sinnvoll erscheinen lassen. In den Niederlanden verboten die Datenschutzbehörden den Ausschluss von Usern. Das Argument: Wird ein User, der die Einwilligung verweigert, von der Nutzung der Webseite ausgeschlossen, fühlt sich dieser zum Zustimmen gezwungen.
Generell schreibt der Gesetzgeber keine besondere Form vor. Die Banner zu Cookie-Hinweisen sollten auffallen. Immerhin muss der User zustimmen, damit der Datenaustausch wie vom Webmaster beabsichtigt stattfinden kann. Webdesigner müssen beim Platzieren der Banner sorgsam vorgehen. Ein die gesamte Webseite überlagernder Hinweis entspricht nicht den rechtlichen Vorgaben, denn Impressum und Datenschutzerklärung müssen immer leicht zu finden sein.
FGR/Freie Gestalterische Republik®
Rolandstraße 69, 50677 Köln
0221 . 630 603 23
0221 . 630 603 23 - 9
kontakt @fgr.design