Startseite

Der Einsatz von Cookies und ähnlichen Technologien

Donnerstag, 27. Februar 2020

Keine Webseite kommt ohne den Einsatz von Cookies oder vergleichbaren Technologien aus, bei denen Informationen zumindest auf dem Endgerät des Webseitenbesuchers (im Folgenden „Nutzer“) gespeichert werden. Hinsichtlich der rechtlichen Rahmenbedingungen gibt es bereits seit längerem - insbesondere im internationalen Kontext - enorme Unsicherheiten. So war seit einigen Jahren umstritten, ob der deutsche Gesetzgeber die EU-ePrivacy-Richtlinie [1] mit § 15 Abs. 3 TMG, welcher als zentrale Rechtsgrundlage für den Einsatz von Cookies vielfach herangezogen wurde, ausreichend umgesetzt hat. Dieser Streit entfachte seit Wirksamwerden der DSGVO auf einer anderen Ebene erneut. Im Ergebnis steht mittlerweile wohl fest, dass ein Abstellen auf § 15 Abs. 3 TMG nicht mehr möglich ist [2], sodass die Rechtsgrundlagen der DSGVO heranzuziehen sind. Dies gilt jedenfalls so lange, bis die EU-ePrivacy-Verordnung [3] nicht verabschiedet wurde.

Diese Auffassung teilen auch die Aufsichtsbehörden, was sich insbesondere aus der Orientierungshilfe der Aufsichtsbehörde für Anbieter von Telemedien vom März 2019 [4] sowie der FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps vom 29. April 2019 [5] ergibt. Darüber hinaus hat der EuGH mit seinem Planet49-Urteil die Unsicherheiten hinsichtlich der Form einer rechtskonformen Einwilligung beseitigt [6] .

Im Folgenden werden die Rechtsgrundlagen und daraus resultierenden Anforderungen an den Einsatz von Cookies dargestellt. Diese Anforderungen gelten ebenfalls für vergleichbare Technologien, wie beispielsweise Fingerprints und Tracking Pixel. Der Einfachheit halber wird im Folgenden aber lediglich von Cookies gesprochen. Zudem werden Hinweise zur Gestaltung eines Cookies Banners gegeben.

Cookies können gemeinhin mindestens einer der folgenden Kategorien zugeordnet werden [7]:

Essentielle Cookies“ sind solche Cookies, ohne deren Einsatz die Webseite nicht mehr ordnungsgemäß funktionieren würde. Das ist beispielsweise der Fall, wenn die Webseite einen Login-Bereich anbietet. Die Information, dass ein Nutzer sich eingeloggt hat, muss mittels eines Cookies gespeichert werden. Andernfalls wäre der Nutzer wieder ausgeloggt, sobald er die Seite neu lädt oder auf dieser über Hyperlinks navigiert. Ein weiterer populärer Anwendungsfall ist der Online-Shop. Legt der Nutzer Waren in den virtuellen Warenkorb, so wird diese Information mittels eines Cookies gespeichert. Nur so kann sichergestellt werden, dass sich die Waren auch dann noch im virtuellen Warenkorb befinden, wenn der Nutzer zum Beispiel auf „Weiter zur Kasse“ klickt.

Komfort-Cookies“ sind solche Cookies, die dem Nutzer die Bedienung der Webseite erleichtern, aber für eine Benutzung der Webseite nicht unbedingt erforderlich sind. Sie speichern die bevorzugten Einstellungen bezüglich bestimmter Funktionen oder auch des Designs der Webseite, die der Nutzer getroffen hat.

Werbe-/Analyse-Cookies“ werten das Nutzerverhalten aus, beispielsweise zur Marktforschung oder um den Nutzern bedarfsgerechte Werbung anzeigen zu können.

Third Party-Cookies“ sind (Analyse-)Tools von Drittanbietern, an die bei dem Einsatz des Tools Daten des Webseitennutzers übermittelt werden.

A. Datenschutzrechtliche Grundlagen und Anforderungen

Der Einsatz von Cookies erfordert eine Rechtsgrundlage nach der DSGVO. Die konkreten Anforderungen beim Einsatz von Cookies variieren daher je nach einschlägiger Rechtsgrundlage, welche sich insbesondere nach dem Zweck und der Funktionsweise des einzelnen Cookies bzw. eingesetzten Tools richtet. Dabei kommen folgende Rechtsgrundlagen in Betracht:

1. Zur Vertragserfüllung/Vertragsanbahnung, Art. 6 Abs. 1 lit. b DSGVO

Art. 6 Abs. 1 lit. b DSGVO bezieht sich auf eine Erforderlichkeit zur Durchführung oder Anbahnung eines Vertrages. Gemeint ist damit aber nicht nur ein Vertrag nach der Terminologie des deutschen Rechts. Der Begriff „Vertrag“ ist weit zu verstehen [8]. Vielmehr genügt es, dass der Nutzer die Leistungen der Webseite in Anspruch nehmen möchte und sei es nur, um sich gewisse Informationen anzeigen zu lassen, sodass diese Rechtsgrundlage jedenfalls dann greifen kann, wenn sich der Nutzer zum Beispiel bei einer Website durch die Anlage eines Benutzerkontos registriert.

Der Einsatz des Cookies muss aber erforderlich sein, damit die Webseite angezeigt werden kann und funktioniert. Das Kriterium „erforderlich“ ist dabei eng auszulegen. Darunter zu fassen sind keine Cookies, die das Bedienen der Webseite nur benutzerfreundlicher machen. Es muss sich um Cookies handeln, ohne die die Webseite gar nicht funktionieren würde.  

a) Welche Cookies können unter diese Rechtsgrundlage fallen?
Die Rechtsgrundlage kann für essentielle Cookies herangezogen werden, wenn sich der Nutzer etwa bei der Webseite registriert, da der Einsatz dieser Cookies erforderlich für das Funktionieren der Webseite ist.

b) Besondere Handlungspflichten des Webseitenbetreibers
Der Webseitenbetreiber muss den Nutzer entsprechend Art. 13 DSGVO informieren, insbesondere über die Art und den Zweck der Cookies und die verarbeiteten Daten sowie deren Speicherdauer. Dies kann teilweise bereits im Cookie-Banner erfolgen. Detaillierte Informationen sollten dem Nutzer in der Datenschutzerklärung der Webseite oder ggf. in einer gesonderten Cookie-Information erteilt werden.

2. Aufgrund überwiegender berechtigter Interessen des Webseitenbetreibers, Art. 6 Abs. 1 lit. f DSGVO

Nach Art. 6 Abs. 1 lit. f DSGVO dürfen Cookies eingesetzt werden, wenn der Webseitenbetreiber ein berechtigtes Interesse an dem Einsatz hat und die Interessen der Nutzer, die gegen den Einsatz sprechen, die berechtigten Interessen des Webseitenbetreibers nicht überwiegen.

a) Welche Cookies können unter diese Rechtsgrundlage fallen?
Der Einsatz von essentiellen Cookies (zum Beispiel bei Webseiten, bei denen sich der Nutzer (noch) kein Benutzerkonto anlegt) und Komfort-Cookies kann regelmäßig durch überwiegende berechtigte Interessen des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) gerechtfertigt werden.

Im Einzelfall können auch Analyse- oder Werbe-Cookies hierunter fallen. Um dies zu beurteilen, muss die Interessenabwägung (s. dazu sogleich unten) sorgfältig und kritisch durchgeführt werden, wobei es sich in der Regel lohnt, professionelle Hilfe in Anspruch zu nehmen. Jedenfalls die einfache Reichweitenmessung durch den Webseitenbetreiber selbst (ohne Weitergabe der Daten an Dritte) kann nach überwiegender Auffassung wohl noch unter diese Rechtsgrundlage fallen.

b) Besondere Handlungspflichten des Webseitenbetreibers
(i) Der Webseitenbetreiber muss eine Einzelfallprüfung in Form einer (dokumentierten) Interessenabwägung für den einzelnen Cookie/die einzelne Cookie-Gruppe [9] durchführen. Dabei werden die berechtigten Interessen des Webseitenbetreibers an einer entsprechenden Datenverarbeitung mit den Interessen des Nutzers, welche gegen eine solche Verarbeitung sprechen, abgewogen. Geht diese Interessenabwägung nicht zugunsten des Webseitenbetreibers aus, so ist für das jeweilige Tool bzw. den jeweiligen Cookie eine Einwilligung (s. u.) einzuholen.

(ii) Nach Art. 21 DSGVO steht den Betroffenen aus Gründen, die sich aus ihrer besonderen Situation ergeben, ein Widerspruchsrecht zu. Ob ein Widerspruchsrecht besteht, ist also in jedem Einzelfall für jeden Betroffenen gesondert zu prüfen.

In der Regel empfiehlt es sich aber, dem Nutzer bereits ohne Angabe von Gründen eine Widerspruchsmöglichkeit über ein sog. Opt-Out [10] (zum Beispiel Schieberegler oder Check-Box) zur Verfügung zu stellen. Es bietet sich an, die Opt-Out-Möglichkeit sowohl in der Datenschutzinformation zu den entsprechenden Cookies aufzunehmen als auch im Cookie-Banner. Teilweise wird sogar empfohlen, einen Link zum Opt-Out im unteren Bereich der Webseite neben Impressum und Datenschutzerklärung zu implementieren. Da für jeden einzelnen Cookie bzw. jede zusammenhängende Cookie-Gruppe eine gesonderte Interessenabwägung vorgenommen wurde, muss der Nutzer auch die Möglichkeit haben, nur hinsichtlich einzelner Cookies/Cookie-Gruppen zu widersprechen. Eine solche „grundlose“ Widerspruchsmöglichkeit wirkt sich in der Regel auch positiv im Rahmen der durchzuführenden Interessenabwägung aus.

Bei essentiellen Cookies hingegen dürfte dem Nutzer in den allermeisten Fällen kein Widerspruchsrecht zustehen, weshalb für diese Cookies kein Opt-Out auf der Webseite implementiert werden muss.

(iii) Selbstredend hat der Webseitenbetreiber auch hier eine Informationspflicht nach Art. 13 DSGVO, insbesondere hinsichtlich Art und Zweck der jeweiligen Cookies, der verarbeiteten Daten, hinsichtlich des Widerspruchsrechts und der Speicherdauer.

3. Einwilligung, Art. 6 Abs. 1 lit. a DSGVO

Zuletzt kommt eine Einwilligung des Webseitennutzers in Betracht.

a) Welche Cookies können unter diese Rechtsgrundlage fallen?
Für Analyse- und Werbe-Cookies, die das Surfverhalten des Nutzers umfangreich und webseitenübergreifend tracken, ist in der Regel eine Einwilligung erforderlich. Auch Third-Party-Cookies, die mit einer Übermittlung der Daten an Dritte einhergehen, wobei diese Dritten die Daten (auch) zu eigenen Zwecken verarbeiten, bedürfen in der Regel einer Einwilligung.

b) Besondere Handlungspflichten des Webseitenbetreibers
(i) Diese Einwilligung kann nur durch ein Opt-In eingeholt werden. Dies bedeutet, dass der Nutzer aktiv bestätigen muss, dass er das Setzen dieser Cookies wünscht, zum Beispiel mittels Betätigens eines Schiebereglers oder Setzens eines Häkchens [11]. Zu beachten ist, dass das Setzen der Cookies nicht erfolgen darf, bevor der Nutzer seine Einwilligung erteilt hat.

(ii) Für die Wirksamkeit der Einwilligung ist insbesondere das Kopplungsverbot des Art. 7 Abs. 4 DSGVO zu beachten. Dieses besagt einerseits, dass die Anzeige der Webseite nicht von der Abgabe der Einwilligung abhängig gemacht werden darf. Dies soll nur unter gewissen Voraussetzungen möglich sein. So hat die Österreichische Datenschutzbehörde Ende 2018 beschlossen, dass das kostenlose Anzeigen der Webseite von der Einwilligung zu Werbe-Cookies abhängig gemacht werden darf, wenn ansonsten die Webseite kostenpflichtig und ohne das Setzen dieser Cookies zur Verfügung gestellt wird [12]. Weiterhin wird teilweise vertreten [13], dass der Nutzer die Möglichkeit haben muss, nur für bestimmte Cookies seine Einwilligung zu erteilen und für andere hingegen nicht, sofern eine gebündelte Einwilligung für mehrere Cookies gleichzeitig nicht erforderlich ist. Eine Erforderlichkeit kann gegeben sein, wenn beispielsweise ein bestimmter Analyse-Dienst mehrere Cookies setzen muss, um zu funktionieren. Diese Cookies können dann in einer Gruppe zusammengefasst werden (zum Beispiel als Dienst „Adobe Analytics“). Wer auf der sicheren Seite sein möchte, gestaltet den Cookie-Banner entsprechend.

(iii) Der Nutzer muss die Möglichkeit haben, seine Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Dabei muss der Widerruf ebenso einfach sein wie die Erteilung der Einwilligung. Es bietet sich daher an, die Widerrufsmöglichkeit in den Datenschutzinformationen zu den jeweiligen Cookies unterzubringen, indem ein entsprechender Link, Schieberegler oder eine Checkbox implementiert wird. Außerdem wird immer öfter empfohlen, auch einen entsprechenden Button zum Beispiel im unteren Bereich der Webseite neben Impressum und Datenschutzerklärung unterzubringen.

(iv) Im Rahmen der Informationspflichten muss der Nutzer insbesondere über Art und Zweck der jeweiligen Cookies, der verarbeiteten Daten sowie über sein jederzeitiges Widerrufsrecht mit Wirkung für die Zukunft und die Speicherdauer unterrichtet werden. Der Nutzer muss bereits vor Abgabe seiner Einwilligung informiert werden, da dies eine Wirksamkeitsvoraussetzung für die Einwilligung darstellt.

B. Gestaltung des Cookie-Banners

Für das Cookie-Banner ergibt sich folgende Ideal-Gestaltung:

- Unterscheidung zwischen Cookie-Gruppen nach Zwecken

- Angabe der wesentlichen Informationen bereits im Cookie-Banner für die einzelnen Cookies/Cookie-Gruppen (jedenfalls unter „Details" in zum Beispiel einem aufklappbaren Reiter):

  • Verwendete Technologie (zum Beispiel Cookies, Fingerprint, Tracking Pixel)
  • Rechtsgrundlage
  • Zweck
  • Verarbeitete Daten
  • Ggf. Drittanbieter (mit Angabe des Unternehmens einschließlich Rechtsform und Sitz)
  • Speicherdauer
  • Ggf. Bestehen eines Widerrufs-/Widerspruchsrechts des Nutzers
  • Link zu weiteren Detailinformationen, bspw. in der Datenschutzerklärung

- Opt-Out bei Abstellen auf eine Interessenabwägung, bei Bedarf des Nutzers mit der Möglichkeit der Einzelabschaltung (außer bei essentiellen Cookies)

- Opt-In für einwilligungsbedürftige Cookies für jedes einzelne Cookie/Tool

- Das Impressum sowie die Datenschutzerklärung müssen bereits aus dem Cookie-Banner selbst erreichbar sein.

- Kein potenziell irreführendes Design, beispielsweise durch besonderes Hervorheben eines „Alles akzeptieren und weiter“-Buttons

- Es muss auch bereits auf dem initialen Cookie-Banner eine deutlich sichtbare Schaltfläche geben, mit der der Nutzer nur die essentiellen Cookies akzeptiert [14].  

Zwingend zu beachten ist zudem in allen Fällen, dass einwilligungsbedürftige Cookies erst gesetzt werden dürfen, nachdem der Nutzer seine Einwilligung abgegeben hat.

Bei Fragen zum Einsatz von Cookies und ähnlichen Technologien stehen Ihnen Elisa Wehling und unsere Experten in u. a. den Bereichen IT-Recht und Datenschutz gern zur Verfügung.
 

Fußnoten:

[1] Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).

[zurück nach oben]

[2] Piltz, in: Gola, Art. 95 Rn. 19; Keppeler, MMR 2015, 779, 781 ff.

[zurück nach oben]

[3] Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation).

[zurück nach oben]

[4] Abrufbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf (zuletzt abgerufen am 31.01.2020).

[zurück nach oben]

[5] Abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf (zuletzt abgerufen am 31.01.2020).

[zurück nach oben]

[6] EuGH, Urteil vom 1. Oktober 2019, Az. C-637/17 („Planet49“).

[zurück nach oben]

[7] Keine offizielle Terminologie; Namen teilweise abweichend.

[zurück nach oben]

[8] Albers/Veit in: BeckOK DatenschutzR/Albers/Veit, 30. Ed. 1.11.2019, DS-GVO Art. 6 Rn. 30.

[zurück nach oben]

[9] Cookies können zusammengefasst werden, wenn sie für einen bestimmten Anwendungsfall/Zweck gebündelt gesetzt werden, bspw. im Rahmen eines bestimmten Tools.

[zurück nach oben]

[10] Opt-Out bedeutet, dass das Setzen dieser Cookies bereits standardmäßig erfolgen darf. Der Nutzer muss aber die Möglichkeit haben bspw. mittels eines Schiebereglers oder durch das Entfernen eines Häkchens das Setzen der Cookies zu unterbinden.

[zurück nach oben]

[11] EuGH, Urteil vom 1. Oktober 2019, Az. C-637/17 („Planet49“).

[zurück nach oben]

[12] Beschluss der Österreichischen Datenschutzbehörde vom 30. November 2018, DSB-D122.931/0003-DSB/2018, abrufbar unter https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00.pdf (zuletzt abgerufen am 30.01.2020).

[zurück nach oben]

[13] So bspw. kürzlich die französische Datenschutzbehörde CNIL in ihrem Empfehlungsentwurf für Cookies und andere Tracker vom 14. Januar 2020, abrufbar (nur in französischer Sprache) unter https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf (zuletzt abgerufen am 31.01.2020) und die dänische Datenschutzaufsichtsbehörde (Datalisynet) in ihrer Orientierungshilfe zur Verarbeitung personenbezogener Daten über Webseitenbesucher „Behandling af personoplysninger om hjemmesidebesøgende“ vom Februar 2020 , abrufbar (nur in dänischer Sprache) unter https://www.datatilsynet.dk/media/7958/vejledning-om-behandling-af-personoplysninger-om-hjemmesidebesoegende.pdf (zuletzt abgerufen am 25.02.2020).

[zurück nach oben]

[14] So auch die dänische Datenschutzaufsichtsbehörde (Datalisynet) in ihrer Orientierungshilfe zur Verarbeitung personenbezogener Daten über Webseitenbesucher „Behandling af personoplysninger om hjemmesidebesøgende“ vom Februar 2020, abrufbar (nur in dänischer Sprache) unter: https://www.datatilsynet.dk/media/7958/vejledning-om-behandling-af-personoplysninger-om-hjemmesidebesoegende.pdf (zuletzt abgerufen am 25.02.2020).

[zurück nach oben]