Ein Cookie-Hinweis begegnet einem mittlerweile auf beinahe jeder Webseite. Ist so ein Cookie-Hinweis überhaupt erforderlich? Was sagen DSGVO, EU-Cookie-Richtlinie, ePrivacy-Verordnung dazu? Was ist überhaupt ein Cookie? Wenn ja, wie muss der Cookie-Hinweis aussehen, was muss inhaltlich darin stehen? Braucht es eine Einwilligung? Wenn ja, wie?

Cookie-Hinweis erforderlich?

TMG

Nach § 15 Abs. 3 TMG reicht es aus, Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen.

DSGVO

Sofern personenbezogene Daten (worunter IP-Adressen und die meisten Cookies wohl fallen) verarbeitet werden, greift aber die DSGVO, welche ggf. eine Nutzereinwilligung sowie umfangreiche Informations- und Nachweispflichten des Verantwortlichen regelt, um diese Verarbeitung zu rechtfertigen.

Cookies sind personenbezogene Daten?!
Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewissen Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.

Erwägungsgrund 30 der DSGVO stellt entsprechend klar, dass auch Cookie-Kennungen, die das Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, unter den Begriff der personenbezogenen Daten fallen.

Zwischenfazit

Man muss über Cookies informieren und deren Verwendung rechtfertigen. Denn die DSGVO schreibt ein Verbotsprinzip vor, dass nur durch definierte Gründe eine Verarbeitung personenbezogener Daten erlaubt.

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten insb. bei

  • berechtigten Interessen
  • Vertragsanbahnung
  • Vertragserfüllung
  • rechtliche Pflichten
  • explizite, nachweisbare Einwilligung

Im Kern streitet man hier meist darum, ob berechtigte Interessen des Webseitenbetreibers ausreichen oder ob man auf die Einwilligung zurückgehen muss.

Berechtigte Interessen
Beispiel: Sendet ein Nutzer ein Kontaktformular ab, werden dessen personenbezogene Daten verarbeitet. Sofern dies verschlüsselt geschieht, will der absendende Nutzer ja gerade, dass seine Eingaben auch (sicher) verarbeitet und bearbeitet werden. Die berechtigten Interessen des Formularanbieters sollten demnach überwiegen und eine explizite Einwilligung in die Verarbeitung obsolet machen. Jetzt könnte man über die Nachweispflicht diskutieren. Dafür sollte ein Hinweis auf die Datenschutzerklärung ausreichen, wo Speicherdauer usw. erklärt werden, wenn dieser Datenschutzhinweis entsprechend prominent im Formular platziert ist; wieweit das der Dokumentationspflicht genügt, strittig. Eine Einwilligung inkl. Widerrufsrecht, usw. wäre demnach ggf. nicht erforderlich.
Ist das bei einer Webseitenstatistik wie Google Analytics auch so?
Wie sieht die Lage aus bei eingebetteten YouTube-Videos, Google Maps-Karten?
Was ist bei Facebook-Pixeln oder Conversion-Tracking oder Remarketing-Pixeln?

Je mehr Daten erhoben, zusammengeführt und verarbeitet werden, desto schwieriger wird es, sich auf berechtigte Interessen zu verlassen – desto eher benötigt man eine vorherige (!) Einwilligung, was technisch mitunter schwierig ist und viele Dienste und ggf. Geschäftsmodelle hinfällig macht.

Rechtlich ist hier vieles ungeklärt, auch wieweit beispielsweise die bloße Widerspruchslösung aus § 15 Abs. 3 TMG noch greift.

EuGH Fashion ID & Planet49
Der EuGH hat auf Nachfrage des OLG Düsseldorfs bzw. des BGHs u.a. (EuGH, AZ: C-40/17, EuGH, AZ: C-673/17) entschieden, dass aus seiner Sicht für Cookies eine generelle Einwilligungspflicht bestehe. Dies dürften Verbraucherverbände auch abmahnen.
Das würde einen generellen oder mehrere spezifische Cookie-Opt-In-Banner zur Obliegenheit machen, will man rechtlich auf der sicheren Seite sein und nicht auf Cookies verzeichten. Das würde Webseitenbetreiber enorm treffen und de facto weiter kriminalisieren, anstatt die Datensammler wie Google und Facebook zu treffen.

Was können/ müssen Webseitenbetreiber tun?

Letztlich ist es derzeit eine Abwägung des Webseitenbetreibers zwischen rechtlicher Sicherheit und Nutzereinschränkungen bzgl. Surfkomfort, Auswertbarkeit, usw.

Achtung
Ein Cookie-Hinweis darf weder den Link zum Impressum noch den zur Datenschutzerklärung verdecken. Ist dies der Fall, besteht ein Abmahnrisiko. Laut Rechtsprechung müssen die beiden Seiten mit nur einem Klick erreichbar sein.

Es gibt folgende 3 Möglichkeiten:

1. vorherige aktive Einwilligung („Consent“ oder „Opt-In-Banner“)

Die umfangreichste und rechtlich wohl sicherste Lösung. Beim Aufruf der Seite wird der Nutzer über die Cookie-Verwendung (Art und Zweck) konkret informiert, kann ggf. auswählen, muss in jedem Fall aber aktiv zustimmen („Opt-in“) – streng genommen bevor Cookies gesetzt und personenbezogene Daten erhoben/ verarbeitet werden.
Die DSGVO fordert hier die Daten des Verantwortlichen, Zweck, Empfänger, Interessenabwägung, Dauer der Speicherung, usw. Wieweit das in einem Pop-Up-Banner (mobil) sinnvoll darstellbar ist, bleibt fraglich. Wer die Informationspflichten ernst nimmt, wird es vermutlich nicht schaffen, viel von der eigentlichen Seite zu zeigen.
Wer auf Nummer sicher gehen will, muss die Ablehnung optisch gleichwertig darstellen und darf damit nicht eine Vorauswahl oder Tendenz treffen.

+ minimales rechtliches Risiko
+ bei einwilligungsbedürftiger Datenverarbeitung nach DSGVO wohl zwingend
– unschön, umständlich
– technisch mitunter aufwändig (bis zum Verzicht auf Drittanbieter-Lösungen)
– auch für Suchmaschinen problematisch, zumal viele externe Lösungen durch die follow Verlinkungen gegen Google Richtlinien verstoßen
± Vorauswahl nicht zwingend erforderlicher Cookies rechtlich fragwürdig

2. Informations-Banner

Sehr häufig sieht man reine Informations-Banner, die der Nutzer wahrnehmen kann, aber nicht muss. Anstelle einer Zustimmung kann der Nutzer die Banner unsichtbar klicken und/ oder einen Link zur Datenschutzerklärung folgen.
Die „Orientierungshilfe“ der Datenschutzkonferenz (DSK) hat im März 2019 erneut diese Lösung für meist nicht ausreichend erachtet, vgl. https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.
Sofern man beispielsweise für die Verarbeitung personenbezogener Daten nach DSGVO keine Einwilligung benötigt, ist aktuell umstritten, wo und wieweit man die jeweiligen Informationen darlegen muss. Der generelle Hinweis auf die Datenschutzerklärung in einem Cookie-Banner wird als Kompromiss allerdings wenig rechtliche Vorteile gegenüber Lösung 1 oder 3 bringen.

± u.U. (weniger) störend
– rechtliches Risiko, da in einigen Fällen wohl nicht (mehr) ausreichend
– wohl in vielen Fällen überflüssig

Google AdSense
Webseitenbetreiber, welche Werbung via Google AdSense anbieten, werden von Google zu dieser Hinweis-Form verpflichtet. Daher sollte man immer die Richtlinien eingebundener Dritt-Dienste prüfen.

3. Hinweis in der Datenschutzerklärung

Da in der Datenschutzerklärung sowieso der Hinweis zu Cookies, deren Rechtsgrundlagen und Widerspruchsmöglichkeiten enthalten sein muss, kann man das auch so interpretieren, dass dieser Hinweis ausreicht und eine weitere Information der Nutzer darüber hinaus nicht erforderlich sei (sofern keine Einwilligung nach DSGVO erforderlich ist). Schließlich wird man diese Pflichtinformationen in keinen schlanken Bannertext unterbringen, so dass genau genommen der Banner-Hinweis auch unzureichend wäre.

+ keine Beeinträchtigung des Nutzers
– nur ausreichend, wenn keine Einwilligung erforderlich
± rechtliches Risiko

Welche Cookies setzt meine Webseite?

Das ist eine gute Frage, da man die Textdateien an sich nicht zu Gesicht bekommt. Es gibt bei modernen Browsern eine Entwickler-Konsole, die auch alle Cookies inkl. Inhalt anzeigt.
Für Nicht-Entwickler kann man https://www.cookiemetrix.com/, https://www.cookieserve.com/ oder ähnliche Dienste nutzen. Will man mehr zu üblichen Cookies finden, listet https://cookiepedia.co.uk/ zahlreiche Cookies mit weiteren Infos dazu.

Was sind Cookies?Cookies speichern das Nutzerverhalten der Besucher und oftmals besteht keine Möglichkeit, der Cookienutzung zu widersprechen. Cookies erkennen den Nutzer wieder und erleichtern das weitere Surfen auf der Webseite, indem sie das Verhalten des Nutzers speichern. So speichern Cookies beispielsweise die Zugangsdaten und Einkäufe des Besuchers. Durch die Nutzung von Cookies kann neben der Einblendung von passenden Werbebannern auch die Sitzungsdauer des Nutzers ermittelt werden.

Häufige Fragen

Was ist mit der EU-Privacy-Richtlinie?

Die EU-ePrivacy-Richtlinie regelt den rechtlichen Umgang mit Cookies in der EU. Sie sieht vor, dass der Nutzer der Nutzung seiner Daten ausdrücklich zustimmt. Eine EU-Richtlinie gilt als Rahmengesetz, sie muss von den Mitgliedsstaaten erst noch umgesetzt werden. Vom deutschen Gesetzgeber wurde die Cookie-Richtlinie bis dato nicht umgesetzt. Dazu entspricht laut EU-Kommission das deutsche TMG bereits den Anforderungen dieser auch ePrivacy-Richtlinie genannten Richtlinie. Komisch, ist aber so.

Was ist ePrivacy, EPVO oder ePrivacyVO?

Dies sind Abkürzungen der EU-Privacy-Verordnung und stehen für „Datenschutzrichtlinie für elektronische Kommunikation“.
Die ePrivacy-Richtlinie ist eine Ergänzung der DSGVO bzw. soll diese ergänzen und präzisieren.
Die Richtlinie soll die Sicherheit der Nutzer erhöhen und in der elektronischen Kommunikation personenbezogene Daten besser schützen.

Wo liegt der Unterschied zwischen DSGVO und ePrivacyVO?

Der Unterschied zur DSGVO liegt darin, dass die ePrivacyVO bereits vor den Bestimmungen der DSGVO einsetzt und alles abdeckt, was in der DSGVO nicht geregelt ist. Die ePrivacyVO setzt stärker darauf, die Einwilligung des Nutzers zur Datenverarbeitung zu erlauben, um die Rechte der Nutzer zu stärken. Nach DSGVO muss die Datenschutzerklärung eine Rechtsgrundlage für das Verwenden von Cookies haben.

Welche Cookies sind betroffen?

Alle Cookies die personenbezogene Daten speichern, dürfen ohne vorherige Einwilligung des Nutzers genutzt werden.

Regelung von AdBlockern durch die ePrivacy-Richtlinie

Webseiten dürfen Nutzer, die einen AdBlocker nutzen, mit der ePrivacy-Verordnung nicht mehr ausschließen. Diese Änderung könnte sich auf die Geschäftsmodelle von Webseiten, die sich durch Werbung finanzieren, negativ auswirken.

Wie viel kostet ein Verstoß?

Bei einem Verstoß kann vier Prozent des Umsatzes bzw. bis zu 20 Millionen Euro fällig werden.

Ist das abmahnbar?

Wieweit solche Verstöße von Mitwebern abmahnbar sind, ist ebenfalls umstritten. Vermutlich muss im Einzelfall die betroffene Vorschrift unter Marktverhaltensregelung oder Ordnungsvorschrift eingeordnet werden. Bei einer Vielzahl der Vorschriften dürfte es sich eher um Ordnungsvorschriften handeln, was eine wettbewerbsrechtliche Abmahnung nicht trägt.

Beispiele

Cookie-Hinweise können auch witzig verpackt sein. Man sollte jedoch aufpassen, dass diese oft damit einhergehende Verharmlosung nicht den rechtlichen Obliegenheiten widerspricht.
Hier ein paar Beispiele (ohne Gewähr):

Cookie-Hinweis auf der-postillon.com
Cookie-Hinweis auf der-postillon.com
Cookie-Hinweis von heimspiel-online.de
Cookie-Hinweis von heimspiel-online.de
Cookie Hinweis im Code Stil
Cookie Hinweis im Code Stil
Cookie-Hinweis von kolle-rebbe.de
Cookie-Hinweis von kolle-rebbe.de
Cookie-Hinweis von wastelandrebel
Cookie-Hinweis von wastelandrebel
Cookie-Hinweis von thenextweb.com
Cookie-Hinweis von thenextweb.com
Englischer Cookie-Hinweis auf pingdom.com
Englischer Cookie-Hinweis auf pingdom.com

Vorsicht: Caching

Über Caching kann man relativ einfach die Ladezeit einer Webseite beschleunigen. Hinsichtlich des Cookie-Hinweises kann das aber zu Problemen führen.

Was ist Caching?
Vereinfacht werden nicht mehr alle Elemente für den jeweiligen Nutzer generiert und zusammengesetzt, sondern das fertige Ergebnis allen Nutzern gezeigt.

So kann eine Version im Cache sein, welche den Hinweis nicht aktiv anzeigt.
Am besten generiert man diesen Cookie-Hinweis mittels JavaScript. Das wird üblicherweise nicht in den Cache einbezogen und dürfte auch suchmaschinenseitig Vorteile bringen.
Wer den Cookie-Hinweis über ein Plugin der Webseitensoftware wie WordPress einbindet, muss daher aufpassen, dass dieser Hinweis nicht vom Caching (das meist über separate, andere Plugins gesteuert wird) erfasst wird.

Fazit

Tendenziell geht der rechtliche sichere Weg klar zu Einwilligungsbanner mit umfangreichen Informationspflichten, welche massiv stören und vor Einwilligung mitunter essentielle Dienste wie eine Webseitenstatistik hinfällig machen.
Wirtschaftlich kann man sich den Schaden für die EU-weite Internetwirtschaft gar nicht ausmalen.

Auf der anderen Seite muss man anerkennen, dass Nutzerdaten nicht weiterhin beliebig gesammelt und genutzt werden dürfen und Nutzer insoweit schutzbedürftig sind.
Anstatt wie in den USA die eigentlichen Datensammler und Addressaten wie Facebook, Google und Co. zu treffen, drangsaliert man hierzulande Nutzer und Webseitenbetreiber – meist ohne großen Gewinn für den Datenschutz – weder tatsächlich noch emotional.

Quellen, weiterführende Links

Autor

Robert Hartl

Comments

  1. Pingback: NETPROFIT Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.