Cookies - Einwilligungs- und Informationspflichten

1. Einleitung

Bei den rechtlichen Anforderungen an Cookies sind zwei Themen zu unterscheiden.

1. „Cookies“ und
2. Schutz personenbezogener Daten.

Beide Anforderungen werden häufig vermengt, sollten aber getrennt betrachtet werden:

2. Cookies

Die Cookie-Anforderungen sind in einer EU-Richtlinie geregelt (Richtlinie 2002/58/EG geändert durch 2009/136/EG).

Die Anforderungen gelten für alle im Endgerät des Nutzers gespeicherten Informationen oder von dort abgerufene Informationen, egal ob diese Informationen einer Person zugeordnet werden können oder nicht.

Über Cookies muss der Nutzer immer informiert werden.

Für das Setzen oder Auslesen des Cookies bedarf es zudem immer einer Einwilligung außer der Cookie ist erforderlich:

• zur Sicherstellung der Datenübertragung erforderlich
• Zur Erbringung eines Dienstes „unbedingt erforderlich“, den der Nutzer „ausdrücklich wünscht“

In seiner Entscheidung zu Planet49 hat der EuGH geurteilt, dass für eine Cookie-Einwilligung dem Nutzer eine Reihe von Informationen gegeben werden müssen und vorallem dass die Einwilligung aktiv erfolgen muss. Ein vorausgefülltes Häkchen genügt nicht, ebenso genügt keine implizite Einwilligung nach dem Motto „Sie willigen ein, indem Sie unsere Webseite nutzen, auf der Webseite klicken, herunterscrollen etc.”

Der EuGH hat nicht entscheiden, bei welchen Cookies eine Einwilligung nötig ist. Das wird in der Behandlung des Urteils oft falsch dargestellt, selbst von Datenschutzbehörden und Rechtsanwälten.

Die Cookie Anforderungen sind in einer EU-Richtlinie geregelt. Eine EU-Richtlinie bindet grundsätzlich nicht Bürger oder Unternehmen in der EU, sondern verpflichtet die Bundesrepublik entsprechende Gesetze zu erlassen, damit die Richtlinie in Deutschland gilt. Ob und in welchem Umfang Deutschland die Cookie-Vorgaben in nationales Recht umgesetzt hat ist äußerst umstritten. Manche sehen im Telemediengesetz eine Umsetzung der Cookie-Vorgaben. Man kann aber durchaus bezweifeln, ob die Cookie-Vorgaben in Deutschland überhaupt einzuhalten sind.

Ob die Cookie Vorgaben in Deutschland gelten, darüber muss der Bundesgerichtshof noch entscheiden. Ausgang offen.

Auf der sicheren Seite ist, wer sich so verhält als würde die Cookie-Richtlinie in Deutschland unmittelbar gelten, denn die Datenschutzbehörden und ggf. auch der BGH werden die Wertungen aus der Cookie Richtlinie womöglich in den Anwendungsbereich des Datenschutzrechts übertragen (siehe dazu sogleich).

3. Schutz personenbezogener Daten

Die Bestimmungen zum Schutz personenbezogener Daten sind in der Datenschutzgrundverordnung (DSGVO) geregelt, also einer EU-Verordnung. Verordnungen gelten unmittelbar in allen EU-Mitgliedstaaten, es bedarf also keiner nationalen Gesetze mehr zur Umsetzung.

Die DSGVO-Anforderungen sind zu beachten, wenn „personenbezogene Daten“ „verarbeitet“ werden .

Mit Cookies kann man personenbezogene Daten verarbeiten, muss es aber nicht.

Setzt der Anbieter beim Webseitenbesucher z.B. einen Cookie, der lediglich eine zufällige Kennzahl enthält und ruft der Nutzer immer wieder einzelne Seiten des Anbieters auf, so könnte der Anbieter zum Beispiel nachverfolgen, wie sich ein Besucher durch seinen Webpräsenz bewegt (welche Seiten er aufruft), wie lange er dort bleibt und ob er in ein paar Tagen wieder kommen. Er kann auch Daten zum Endgerät sammeln, etwa der Bildschirmauflösung oder dem Betriebssystem. Diese Daten werden nicht im Endgerät des Nutzers, sondern auf Servern des Anbieters gespeichert. Die Daten im Cookie dienen nur dazu, den einzelnen Nutzer wiederzuerkennen. 

Ob es sich bei den Daten zum Besuchsverhalten um eine Verarbeitung „personenbezogener Daten“ handelt hängt davon ab, ob der Webseitenbetreiber den Nutzer identifizieren kann (nicht: ob er es tatsächlich tut). Personenbezogene Daten liegen nämlich schon dann von, wenn diese mit einigem Aufwand personenbeziehbar sind.

Da der Webseitenbetreiber häufig auch die IP-Adresse des Nutzers speichert oder dies könnte, könnte er ggf. über diese an die Identität des Nutzer gelangen, z.B.: Nutzer postet Beleidigungen auf Webseite, Webseitenbetreiber stellt Strafanzeige, Ermittlungsbehörden erfragen Anschlussdaten bei Telekom, Webseitenbetreiber nimmt Akteneinsicht und erhält über diese Zugang zur Information des Anschlussinhabers. Der EuGH hat in anderer Entscheidung diese „Kette“ für einen Personenbezug ausreichen lassen, jedenfalls wenn die IP-Adresse auch zur Missbrauchsbekämpfung erhoben wird.

Wenn der Webseitenbetreiber irgendwo auf seiner Seite ein Kontaktformular oder eine Newsletter-Bestellmöglichkeit anbietet, könnte der er die dort eingegebenen Namen oder E-Mail-Adresse ebenfalls mit den Daten verknüpfen, die er anhand des Cookies erhoben hat (Seitenbesuche). Auch so wäre eine Personenbeziehbarkeit in einzelnen Fällen möglich. Es genügt dabei, dass eine Verknüpfung recht leicht möglich wäre, selbst wenn diese tatsächlich nicht erfolgt und vom Webseitenbetreiber auch nicht beabsichtigt ist. Auch genügt es wenn nur ganz wenige Seitenbesucher identifizierbar wären. 

Lange Rede kurzer Sinn: Meist muss man davon ausgehen, dass die mittels Cookies erlangten Informationen und die im Cookie gespeicherten Informationen selbst personenbeziehbar sind und damit die Anforderungen der DSGVO unterliegen.

Neben den Cookie Anforderungen sind also meist auch die DSGVO Anforderungen zu beachten. 

Die DSGVO verlangt zunächst, dass die Datenverarbeitung erläutert wird (Art. 13, 14, 21 DSGVO), z.B. welche Daten für welche Zwecke erhoben, an wen weitergegeben und wann gelöscht werden (Datenschutzhinweise).

Nach Art. 6 der Datenschutzgrundverordnung darf zudem eine „Verarbeitung“ von „personenbezogene Daten“ nur erfolgen, wenn eine Rechtsgrundlage dies erlaubt. Rechtsgrundlage kann eine Einwilligung sein (Opt-In) oder eine Interessenabwägung. Bei der Interessenabwägung erfolgt die Verarbeitung ohne aktive Zustimmung, der Nutzer wird lediglich informiert und erhält ggf. (nicht zwingend) die Möglichkeit zu widersprechen (Opt-Out). 

Wann eine Einwilligung im Online-Bereich erforderlich ist haben die deutschen Datenschutzbehörden in einer Orientierungshilfe erläutert. Diese ist lang, kompliziert und enthält im Ergebnis keine sehr klaren Aussagen. Zudem erfolgte die Orientierungshilfe vor dem Planet49-Urteil. Möglicherweise übertragen die Datenschutzbehörden die Wertungen aus der Cookie-Richtlinie ins Datenschutzrecht, so dass eine Einwilligung immer als nötig angesehen wird, sofern die Datenverarbeitung im Zusammenhang mit einem Cookie steht der nicht „unbedingt erforderlich“ ist. Wenn man für einen Cookie eine Einwilligung benötig, macht es deshalb Sinn, sich im Zweifel auch für die damit im Zusammenhang stehende Datenverarbeitung eine Datenschutz-Einwilligung abgeben zu lassen. 

Für Juristen: Auf die Regelung in § 15 Abs. 3 TMG dürfte man sich nicht beziehen können, so auch zutreffend die Datenschutzbehörden in besagter Orientierungshilfe.

Die Linie der Datenschutzbehörden kann man in Bezug auf die Erfassung und Auswertung des Besucherverhaltens auf der Webseite („Tracking“) grob so umreißen: 

• Werden Daten über besuchte Seiten und grundlegende Endgerätedaten (z.B. Auflösung, Betriebssystem) vom Seitenbetreiber selbst zur Seitenoptimierung benötigt, genügt ein Opt-Out (keine Einwilligung nötig). Gleiches gilt, wenn hierfür ein technischer Dienstleister als reiner Auftragsverarbeiter eingesetzt wird. Der Dienstleister darf die Daten aber nicht für eigenen Zwecke nutzen (z.B. Produktoptimierung, etc.).  
• Einer Einwilligung bedürfen zudem wohl Verarbeitungen, bei denen es um Werbung oder die Optimierung von Werbekampagnen geht (Remarketing). 

4. Wie geht man vor?

a) Erfassung aller Cookies

• Technische Kennung des Cookies (z.B. „session_id“)
• Erläuterung des Nutzungszwecks (z.B. „Sessionverwaltung“, „Login/Authentifizierung im Kundenmenu“, „Datensicherheit“, „Load Balancing“, „Speicherung der gewünschten Schriftgröße“)
• Beschreibung des Inhalts, der im Cookie gespeichert wird (z.B. „gewählte Sprache“, „Session-ID“, „Name, E-Mail und Anschrift des Nutzers“)
• Lebensdauer des Cookies, z.B. „bis Schließen des Browser-Fensters“, „90 Tage“, „unendlich“
• Angabe, ob der Cookie von der Domain gesetzt wird, die in der URL-Zeile des Browser angezeigt wird (First Party Cookie) oder von einer anderen Domain (Third Party Cookie). Bei Third Party Cookie, Angabe der Domain, die den Cookie setzt, d.h. wer ist für das Third Party Cookie verantwortlich?
• Erläuterungen und Besonderheiten, z.B. „kein klassischer Cookie, sondern Speicherung im HTML5 Local Storage“. 

b) Bewertung des Cookies: Ist der Cookie „unbedingt erforderlich“, um den vom Nutzer ausdrücklich gewünschten Dienst zu erbringen?

Grobe Daumenregel: Webseite Funktioniert bei ehrlicher Betrachtung eigentlich auch ohne den Cookie, dann ist er nicht erforderlich und bedarf einer Einwilligung.

Diese Cookies bedürfen keiner Einwilligung:

• Cookies um Nutzer-Login zu ermöglichen
• Cookies um den Warenkorb zu verwalten
• “Eingerollt bleiben“, oder “An mich Erinnern” Cookies, wenn der Nutzer diese Funktionalität explizit möchte und angefordert hat. 

Diese Cookies bedürfen wohl keiner Einwilligung (aber unsicher):

• Analyse der Webseitenbesucher durch den Anbieter selbst oder einen Auftragsverarbeiter, der die Daten nicht für eigene Zwecke nutzt, sofern keine geräteübergreifende oder Webseitenübergreifende Auswertung des Surfverhaltens erfolgt

Diese Cookies benötigen wohl eine Einwilligung:

• Cookies zur Geräteübergreifend oder Webseitenübergreifend Nutzerverfolgung
• Cookies für Zwecke der gezielten interessensbezogenen Werbung/Remarketing, 

Wenn die Lebensdauer des Cookies die Dauer der Browsersitzung bzw. einige wenige Stunden überteigt (persistente Cookies) ist das auch ein Indiz, dass das Cookie nicht unbedingt erforderlich ist. Gleiches gilt bei Third Party Cookies.

Wenn sensible Daten im Spiel sind (z.B. Gesundheitsdaten), der Nutzer auf den Besuch der Webseite angewiesen ist (z.B. Stadtverwaltung, öffentlicher Versorger, Monopolist) oder Kinder typischerweise das Angebot nutzen, sind besonders strenge Maßstäbe anzulegen.

c) Für Einwilligungspflichtige Cookies eine Einwilligung geben lassen

Siehe dazu sogleich.

d) Alle Cookies in einer Cookie-Policy erläutern

Wie holt man sich die Einwilligung für Cookies ein?

Beim erstmaligen Seitenaufruf erscheint eine Box „Cookie Banner“. Darin wird erläutert, welche einwilligungspflichtigen Cookies gesetzt werden sollen. Hierbei kann man eine verkürzte Beschreibung vornehmen und für Details auf eine “Cookie-Policy” verlinken. In der Cookie Policy sind dann alle oben genannten Angaben aufzunehmen und zu erläutern, welche Cookies nur mit Einwilligung gesetzt werden und welche „erforderlich“ sind.

Cookies werden nur gesetzt, wenn der Nutzer aktiv eine bestätigende Handlung vorgenommen hat (z.B. setzen eines Häkchens, Klicken eines Buttons).

Für verschiedene Cookies sind gesonderte Erklärungen (Häkchen) nötig. Meines Erachtens kann man aber Einwilligungen für mehrere Cookies zusammenfassen, wenn der Nutzungszweck der Cookies ähnlich ist, z.B. Statistik-Cookies, Einstellungscookies, Marketing-Werbe-Cookies.

In folgenden Fällen dürfen keine Cookies gesetzt:

• Der Nutzer ignoriert das Banner, surft einfach weiter ohne damit zu interagieren.
• Der Nutzer schließt das Banner (“X” oder “Schließen” Button)
• Der Nutzer lehnt die Einwilligung ab.

Das Banner sollte nicht so platziert sein, dass es den Seiteninhalt vollständig verdeckt oder den Nutzer zu einer Entscheidung zwingt, d.h. der Nutzer sollte das Banner ignorieren können. Hintergrund ist, dass die Datenschutzgrundverordnung keine “Unterbrechung” des Dienstes durch die Einwilligung erlaubt (vgl. Erwägungsgrund 32 Satz 6 DSGVO). Bei Cookie-Einwilligungen sind nämlich auch die Anforderungen der DSGVO an Einwilligungen zu beachten.

Eine Verweigerung der Cookie Einwilligung darf nicht dazu führen, dass das Informationsangebot der Webseite nicht mehr abrufbar ist, da sonst ggf. die Einwilligung als unfreiwillig anzusehen ist und unwirksam ist (gilt vorallem in den oben genannten Sonderfällen)

Ob der Nutzer eingewilligt hat oder nicht, darf und sollte in einem Cookie gespeichert werden (ohne ID).

Bei erteilter Einwilligung: Die Einwilligung sollte nach 6-12 Monaten verfallen und der Nutzer sollte dann erneut um Einwilligung gefragt werden (Empfehlung).

Hat der Nutzer keine Einwilligung erteilt kann er nach 6-12 Monaten nochmal gefragt werden, ob er die Einwilligung erteilen will.

Wenn der Nutzer Einwilligungen erteilt hat, muss er in der Lage sein diese zu widerrufen, und zwar genauso leicht wie er die Einwilligung erteilt hat. Über die „Cookie-Policy“ muss der Nutzer seine bisher erteilen Einwilligungen einsehen und diese widerrufen können.

5) Und der Datenschutz?

Soweit anhand Cookies personenbezogene Daten wegarbeitete werden, muss parallel geprüft werden, ob für die Datenverarbeitung eine Einwilligung benötigt wird, oder die Verarbeitung auf eine Interessenabwägung gestützt wird.

Die Datenverarbeitung ist in “Datenschutzhinweisen” zu erläutern, wobei alle nach Art. 13, 14 DSGVO erforderliche Informationen zu geben sind.  Zu informieren ist mithin über:

• Verarbeiteten Daten
• Zwecke der Verarbeitung
• Speicherdauer
• Datenempfänger
• Datenübermittlungen in nicht-EU Länder
• Rechtsgrundlage (Einwilligung oder Interessenabwägung)
• Verantwortliches Unternehmen (ist im Werbeumfeld nicht immer leicht, denn hier ist ggf. der Werbenetzbetreiber Verantwortlicher oder Mitverantwortlicher)

Holt man eine Cookie-Einwilligung ein, kann man damit die Datenschutz-Einwilligung verbinden. Es gelten dann die gleichen Grundsätze wie beim Cookie Banner. Die Datenschutzhinweise und die “Cookie-Policy” kann man auch in einem Dokument verbinden. 

6) Ausblick

Eigentlich sollte das Thema Cookies in einer ePrivacy Verordnung neben der DSGVO geregelt werden. Lobbyismus verhindert seit drei Jahren eine Einigung auf politischer Ebene in der EU (Rat). Möglicherweise steht man aber aktuell (Winter 2019) vor einer Einigung. Aber selbst dann dürfte sich der weitere Gesetzgebungsprozess bis Ende 2020 hinziehen. Wie bei der DSGVO greift dann voraussichtlich eine Übergangsfrist von zwei Jahren, sodass die neuen Regle nicht vor Ende 2022 gelten.