Ein Cookie-Hinweis begegnet einem mittlerweile auf beinahe jeder Webseite. Ist so ein Cookie-Hinweis überhaupt erforderlich? Was sagen DSGVO, EU-Cookie-Richtlinie, ePrivacy-Verordnung dazu? Was ist überhaupt ein Cookie? Wenn ja, wie muss der Cookie-Hinweis aussehen, was muss inhaltlich darin stehen?

Cookie-Hinweis erforderlich?

Nach deutschem Recht gibt es keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen (vorherige Zustimmung) zu lassen.
Nach § 15 Abs. 3 TMG reicht es aus, Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen.
Wie dieser Hinweis auszusehen hat, darüber kann man unterschiedlicher Auffassung sein. Möglichkeiten und Risikoeinschätzung folgen.

Achtung
Ein Cookie-Hinweis darf weder den Link zum Impressum noch den zur Datenschutzerklärung verdecken. Ist dies der Fall, besteht ein Abmahnrisiko. Laut Rechtsprechung müssen die beiden Seiten mit nur einem Klick erreichbar sein.

Was können/ müssen Webseitenbetreiber tun?

Es gibt keine klare rechtliche Pflicht in Deutschland. Es gibt daher Interpretationsspielraum. Letztlich ist eine Abwägung des Webseitenbetreibers zwischen rechtlicher Sicherheit und Nutzereinschränkungen bzgl. Surfkomfort, Auswertbarkeit, usw.

Es gibt daher folgende 4 Varianten:

1. vorherige aktive Zustimmung

Auch wenn es das deutsche Recht aktuell nicht vorsieht, wäre das die umfangreichste Lösung. Vor dem ersten Aufruf einer Seite, wir der Nutzer über die Cookie-Verwendung informiert, kann ggf. auswählen, muss in jedem Fall aber aktiv zustimmen („Opt-in“), bevor er die weitere bzw. eigentliche nutzen (= Inhalte sehen) kann.

+ minimales rechtliches Risiko
– unschön, umständlich
– auch für Suchmaschinen problematisch

2. aktive Einwilligung

Da diese zwingenden Vorschaltseiten unschön sind und viele Besucher vergraulen, sieht man meist eine abgemilderte Version, bei der Nutzer über die Cookie-Verwendung informiert werden, ggf. auswählen können, aber zustimmen müssen („Opt-in“), um mit der Seite interagieren zu können. Die eigentlichen Seite wird aber bereits gezeigt.

+ minimales rechtliches Risiko
– umständlich
– ggf. für Suchmaschinen problematisch

3. Informations-Banner

Sehr häufig sieht man reine Informations-Banner, die der Nutzer wahrnehmen kann, aber nicht muss. Anstelle einer Zustimmung kann der Nutzer die Banner unsichtbar klicken und/ oder einen Link zur Datenschutzerklärung folgen.
Je auffälliger dieser Banner mit Hinweis, desto sicherer ist die Hinweis-Pflicht des Telemediengesetzes erfüllt. Desto mehr stört aber der Banner vielleicht auch den Nutzer.

+ geringes rechtliches Risiko
– u.U. störend

Google AdSense
Webseitenbetreiber, welche Werbung via Google AdSense anbieten, werden von Google zu dieser Hinweis-Form verpflichtet. Daher sollte man immer die Richtlinien eingebundener Dritt-Dienste prüfen.

4. Hinweis in der Datenschutzerklärung

Da in der Datenschutzerklärung sowieso der Hinweis zu Cookies, deren Rechtsgrundlagen und Widerspruchsmöglchkeiten enthalten sein muss, kann man das auch so interpretieren, dass dieser Hinweis ausreicht und eine weitere Information der Nutzer darüber hinaus nicht erforderlich sei. Schließlich wird man diese Pflichtinformationen in keinen schlanken Bannertext unterbringen, so dass genau genommen der Banner-Hinweis auch unzureichend wäre.

– ggf. rechtliches Risiko
+ keine Beeinträchtigung des Nutzers

Rechtslage in Deutschland

Telemediengesetz

§ 15 Abs. 3 Telemediengesetz (TMG) sieht vor, den Nutzer aufzuklären und auf sein Widerspruchsrecht hinzuweisen.
Das Gesetz sieht im Wortlaut allerdings keine explizite Einwilligung des Nutzers mit beispielsweise „Ja, ich stimme zu“ vor.
Überdies gibt es keine gesetzlichen Vorgaben für die Formulierung des Cookie-Banners.

EU-Privacy-Richtlinie

Die EU-ePrivacy-Richtlinie regelt den rechtlichen Umgang mit Cookies in der EU. Sie sieht vor, dass der Nutzer der Nutzung seiner Daten ausdrücklich zustimmt. Eine EU-Richtlinie gilt als Rahmengesetz, sie muss von den Mitgliedsstaaten erst noch umgesetzt werden. Vom deutschen Gesetzgeber wurde die Cookie-Richtlinie bis dato nicht umgesetzt. Dazu entspricht laut EU-Kommission das deutsche TMG bereits den Anforderungen dieser auch ePrivacy-Richtlinie genannten Richtlinie. Komisch, ist aber so.

Was sind Cookies?Cookies speichern das Nutzerverhalten der Besucher und oftmals besteht keine Möglichkeit, der Cookienutzung zu widersprechen. Cookies erkennen den Nutzer wieder und erleichtern das weitere Surfen auf der Webseite, indem sie das Verhalten des Nutzers speichern. So speichern Cookies beispielsweise die Zugangsdaten und Einkäufe des Besuchers. Durch die Nutzung von Cookies kann neben der Einblendung von passenden Werbebannern auch die Sitzungsdauer des Nutzers ermittelt werden.

Häufige Fragen

Was ist ePrivacy, EPVO oder ePrivacyVO?

Dies sind Abkürzungen der EU-Privacy-Verordnung und stehen für „Datenschutzrichtlinie für elektronische Kommunikation“.
Die ePrivacy-Richtlinie ist eine Ergänzung der DSGVO bzw. soll diese ergänzen und präzisieren.
Die Richtlinie soll die Sicherheit der Nutzer erhöhen und in der elektronischen Kommunikation personenbezogene Daten besser schützen.

Wo liegt der Unterschied zwischen DSGVO und ePrivacyVO?

Der Unterschied zur DSGVO liegt darin, dass die ePrivacyVO bereits vor den Bestimmungen der DSGVO einsetzt und alles abdeckt, was in der DSGVO nicht geregelt ist. Die ePrivacyVO setzt stärker darauf, die Einwilligung des Nutzers zur Datenverarbeitung zu erlauben, um die Rechte der Nutzer zu stärken. Nach DSGVO muss die Datenschutzerklärung eine Rechtsgrundlage für das Verwenden von Cookies haben.

Welche Cookies sind betroffen?

Alle Cookies die personenbezogene Daten speichern, dürfen ohne vorherige Einwilligung des Nutzers genutzt werden.

Regelung von AdBlockern durch die ePrivacy-Richtlinie

Webseiten dürfen Nutzer, die einen AdBlocker nutzen, mit der ePrivacy-Verordnung nicht mehr ausschließen. Diese Änderung könnte sich auf die Geschäftsmodelle von Webseiten, die sich durch Werbung finanzieren, negativ auswirken.

Wie viel kostet ein Verstoß?

Bei einem Verstoß kann vier Prozent des Umsatzes bzw. bis zu 20 Millionen Euro fällig werden.

Beispieltext für einen Cookie-Hinweis

Unsere Webseite verwendet Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für Analysen weiter. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

(ohne Gewähr)

Beispiele

Cookie-Hinweise können auch witzig verpackt sein. Hier ein paar Beispiele:

Cookie-Hinweis auf der-postillon.com
Cookie-Hinweis auf der-postillon.com
Cookie-Hinweis von heimspiel-online.de
Cookie-Hinweis von heimspiel-online.de
Cookie Hinweis im Code Stil
Cookie Hinweis im Code Stil
Cookie-Hinweis von kolle-rebbe.de
Cookie-Hinweis von kolle-rebbe.de
Cookie-Hinweis von wastelandrebel
Cookie-Hinweis von wastelandrebel
Cookie-Hinweis von thenextweb.com
Cookie-Hinweis von thenextweb.com
Englischer Cookie-Hinweis auf pingdom.com
Englischer Cookie-Hinweis auf pingdom.com

Vorsicht: Caching

Über Caching kann man relativ einfach die Ladezeit einer Webseite beschleunigen. Hinsichtlich des Cookie-Hinweises kann das aber zu Problemen führen.

Was ist Caching?
Vereinfacht werden nicht mehr alle Elemente für den jeweiligen Nutzer generiert und zusammengesetzt, sondern das fertige Ergebnis allen Nutzern gezeigt.

So kann eine Version im Cache sein, welche den Hinweis nicht aktiv anzeigt.
Am besten generiert man diesen Cookie-Hinweis mittels JavaScript. Das wird üblicherweise nicht in den Cache einbezogen und dürfte auch suchmaschinenseitig Vorteile bringen.
Wer den Cookie-Hinweis über ein Plugin der Webseitensoftware wie WordPress einbindet, muss daher aufpassen, dass dieser Hinweis nicht vom Caching (das meist über separate, andere Plugins gesteuert wird) erfasst wird.

Fazit

Nach deutschem Recht gibt es keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen. Wie man technisch den rechtlich erforderlichen Hinweis umsetzt, ist nicht eindeutig geregelt, weshalb es mehrere Möglichkeiten gibt. Welche man wählt, liegt in einer Risikoabwägung des Betreibers.
Tendenziell möchten wir den Besucher so wenig wie möglich stören, aber dennoch informieren. Je mehr sich Nutzer an diese Hinweise gewöhnen, desto weniger stören diese vielleicht. Es kann sein, dass bald Cookie-Hinweis-Blocker auf den Markt kommen.
Aus unserer Sicht gehen wir sorgsam und sparsam mit Cookies um, daher gibt es hier aktuell (noch?) keinen störenden Cookie-Hinweis.

Quellen, weiterführende Links

Autor

Robert Hartl

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.