Von Matthias Weber
Das Scheitern der E-Privacy-Verordnung und dem neuen Urteil des EuGHs in Verbindung mit den bisherigen Regelungen zum Thema „Cookies“ macht es für Nutzer aber auch für Webseitenanbieter schwierig und auch unübersichtlich, wie Cookies nun datenschutzkonform auf einer Webseite eingebunden werden können. Der folgende Artikel soll darüber aufklären, wie die aktuelle Rechtslage aussieht und was alles getan werden muss, um mit seinen Cookies auf der „sicheren Seite zu sein“ und ein datenschutzkonformes Tracking betreiben zu können.
Bereits nach dem bisherigen Recht, insbesondere der aktualisierten Fassung der E-Privacy-Richtline (2009/136/EG) besser bekannt als „Cookie-Richtlinie“ und dem deutschen Telemediengesetz, durften Cookies (kleine Textdateien, die der Browser beim Aufrufen einer Webseite auf dem jeweiligen Computer des Seitenbesuchers ablegt), nur nach vorheriger und leicht verständlicher Zustimmung des Nutzers gespeichert werden. Eine Ausnahme bildeten die Cookies, welche für den technisch Betrieb der Seite notwendig waren. Diese durften auch ungefragt gesetzt werden.
Die Rechtslage wurde mehr oder weniger „ignoriert“. Üblich in Deutschland waren Cookie-Banner, die lediglich einen Hinweis darauf enthielten, dass die Webseite Cookies verwendet, was mit OK bestätigt werden konnte. Das hat sich mittlerweile geändert.
Wie ist der Stand zur E-Privacy Verordnung?
Mit dem Wirksamwerden der EU-DSGVO am 25.05.2018 sollte auch gleichzeitig die neue E-Privacy-Verordnung in Kraft treten, welche wiederum die bis dahin geltende E-Privacy-Richtline („Cookie-Richtlinie“) ablösen sollte. Bei der E-Privacy Verordnung geht es um den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation.
Die E-Privacy-Verordnung sah vor, dass generell nicht für eine Webseite notwendige Cookies verboten werden, es sei denn, der jeweilige Nutzer stimmt der Nutzung von Cookies explizit und aktiv zu. Dazu sollten alle Webseiten von vorneherein so programmiert und gestaltet werden, dass der Nutzer aktiv Häkchen zur Einwilligung der Cookies setzen und diese Einstellung dann speichern sollte. Dabei handelt es sich um das sogenannte „Opt-in-Verfahren“.
Dies bedeutet im Umkehrschluss, dass wenn ein Nutzer keine Häkchen für die Aktivierung von Cookies setzt, nur die technisch notwendigen Cookies eingesetzt werden dürfen. Diese datenschutzfreundliche Voreinstellung wird auch „Privacy by Design“ genannt. Die meisten Cookies, die für das Marketing interessant und relevant sind, benötigen jedoch eine Zustimmung des Nutzers, der die Webseite besucht.
Allerdings wurde die E-Privacy-Verordnung nach langen und zähen Verhandlungen am 03.12.2019 „für tot erklärt“, was bedeutet, dass die Verordnung so nicht kommen wird. Weitere Informationen zum Scheitern der E-Privacy Verordnung finden Sie hier.
Aktuelle Rechtslage rund um Cookies
Der Europäische Gerichtshof (EuGH) hat im Oktober 2019 (Urteil vom 01.10.2019, Az. C-673/17) insoweit für Klarheit gesorgt, dass er die bisherigen Regelungen der „Cookie-Richtlinie“ bestätigt hat. Also alles was vorher schon eigentlich vorgeschrieben war und von den meisten Unternehmen nicht korrekt umgesetzt wurde. Darüberhinaus hat er noch weitere Aussagen getroffen:
- Es darf kein Cookie ohne ausdrückliche Einwilligung des Nutzers gesetzt werden. Ausnahmen bilden weiterhin essentielle Cookies, die für die Funktionalität der Seite notwendig sind.
- Sorgen Sie für eine protokollierte, digitale Speicherung der Einwilligung des Nutzers bei der Aktivierung von Cookies auf Webseiten. Die Notwendigkeit ergibt sich sowohl aus der E-Privacy- bzw. Cookie Richtlinie als auch der EU-DSGVO. Diese beiden Vorschriften sind diesbezüglich einheitlich auszulegen.
- Die Seitenbetreiber müssen den Nutzer unter anderem darüber aufklären, wie lange die Funktionsdauer der Cookies ist und ob Dritte Zugriff auf diese Cookies haben.
- Für die Anwendbarkeit von Art. 5 Abs. 3 der E-Privacy-Richtlinie ist es irrelevant, ob die aktivierten Cookies personenbezogene Daten erheben oder nicht. Sie gilt in beiden Fällen.
Aktuell interessant ist zudem, dass der Bundesgerichtshof (BGH) am 30.01.2020 die mündliche Verhandlung in einem Rechtsschreit (Az. I ZR 7/16) fortgesetzt hat, bei dem es um die Frage geht, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des jeweiligen Nutzers zu stellen sind. Zum jetzigen Zeitpunkt ist jedoch noch kein Urteil gefallen.
Kein Cookie ohne Einwilligung: Wer Ärger vermeiden will – und das empfehlen wir auf jeden Fall – setzt die Vorgaben besser um.
Wie können die Vorgaben technisch umgesetzt werden?
Cookie Einwilligung aktiv einholen
Sobald ein Nutzer eine Webseite das erste Mal aufruft, sollte er möglichst vollständig und transparent über Cookies aufgeklärt werden. Üblicherweise wird das durch einen Cookie Banner oder Cookie-Consent-Tool gelöst. Hier gibt es jede Menge Anbieter im Markt, die entsprechende, einfach zu konfigurierende Lösungen anbieten.
Neben dem Einholen der Einwilligung müssen Sie diese auch verwalten und rechtskonform dokumentieren können, um im Falle des Falles diese auch nachweisen zu können.
Dabei sollten die auf der Seite implementierten Cookies in mehreren verschiedenen Kategorien eingeteilt werden können. Wichtig ist in jedem Fall, dass Nutzer gewünschte Haken selbst setzen und das Feld nicht vorbelegt ist.
Es gibt lediglich eine Kategorie, in der vorausgefüllte Opt-Ins zulässig sind, die auch nicht entfernt werden können – technisch notwendige Cookies. Als technisch notwendige und nicht einwilligungspflichtige Cookies gelten solche Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.
Arten von Cookies und Cookie-Kategorien
Grundsätzlich kann man zwischen notwendigen Cookies, Funktionscookies, Leistungs- und Performance Cookies und Werbecookies unterscheiden.
Jeder Consent-Lösungsanbieter bietet unterschiedliche Cookie-Kategorien an, die der Webseitenbetreiber für seine Bedürfnisse weiter konfigurieren kann. Die folgenden Cookie-Kategorien spielen grundsätzlich eine große Rolle:
Notwendige, essentielle Cookies: all solche Cookies, die für den ordnungsgemäßen Betrieb einer Webseite und deren Funktionen erforderlich sind (beispielsweise Session-Cookies, die bestimmte Einstellungen speichern wie Warenkorbfunktion, Sprache, Log-In-Daten).
Statistik-Cookies: Statistik-Cookies helfen Webseiten-Betreibern zu verstehen, wie Besucher mit ihrer Webseite interagieren, indem Informationen anonym gesammelt und gemeldet werden. Beispielhaft dafür sind diverse Cookies von Google, wie Google Analytics.
Marketing-Cookies: Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht von Marketing-Cookies ist es dem Nutzer Anzeigen zu zeigen, die relevant und ansprechend sind. Dazu gehören auch wieder diverse Cookies von Google, Facebook oder YouTube.
WICHTIG: Achten Sie unbedingt darauf, dass solange der Besucher keine Häkchen gesetzt hat auch noch KEIN Tracking stattfindet, sondern erst ab diesem Zeitpunkt, ab dem der Besucher seine Häkchen gesetzt und bestätigt hat.
Vollständige Transparenz schaffen
- auf welche Verarbeitungssituation sich die Einwilligung bezieht (z. B. Speichern, Nutzen)
- für welche personenbezogene Daten die Einwilligung gelten soll (z. B. Name, E-Mail Adresse, Ip-Adresse)
- welche konkret zu (internen) bezeichnenden Empfänger gelten soll (z. B. wenn verschiedene Abteilungen die Daten bekommen; Marketing, Vertrieb)
- welche konkreten Datenverarbeitungen jeder einzelne Empfänger mit der Einwilligung abdecken möchte (z. B. Webseitentracking)
- Bei Verarbeitung durch Dritte muss diesbezüglich bei den externen Empfängern extra eingewilligt werden
Einwilligung muss immer freiwillig erfolgen und protokolliert werden
Ganz wichtig ist, dass die Einwilligung freiwillig erfolgen muss. Das bedeutet, dass der Betroffene, also der Webseiten-Besucher, eine echte und freie Wahl haben muss, den Cookies einzuwilligen oder auch nicht, ohne dass ihm dadurch Nachteile entstehen.
Sollten auf einer Webseite mehrere einwilligungspflichtige Dienste implementiert sein, so ist für jeden einzelnen Dienst eine separate Einwilligung notwendig. Eine Generaleinwilligung für alle Dienste wäre zumindest diskussionswürdig.
Die erteilten Einwilligungen müssen gespeichert bzw. protokolliert werden, um im Zweifel nachweisen zu können, dass der Besucher tatsächlich eingewilligt hat. Deshalb sollten die Einwilligungen mit Zeitstempel und IP-Zuordnung gespeichert werden. Auch das leisten die marktüblichen Tools.
Auf einfachen Widerruf der Einwilligung achten
Die Einwilligung muss jederzeit widerrufbar sein. Das heißt, dass der Widerruf einer Einwilligung genauso leicht umzusetzen sein muss, wie die vorherige Einwilligung. Sollte die Einwilligung zum Beispiel per Checkbox eingeholt werden, so muss der Widerruf ebenso über eine „1-Klick-Möglichkeit“ angeboten werden. Selbstredend muss der Besucher vorher über sein Widerrufsrecht aufgeklärt werden. Wenn ein Besucher seinen Widerruf geltend macht, müssen ab Widerruf alle Cookies, in welche er zunächst eingewilligt hat, unverzüglich gestoppt und alle betroffenen Daten gelöscht werden.
Wichtig: Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung.
Fazit:
Ein pauschales Cookie-Banner mit der Erklärung „wir verwenden Cookies“ mit einem OK-Button versehen reicht bei weitem nicht aus. Der User muss aktiv seine gewünschten Häckchen setzen können, eine Vorbelegung ist nicht erlaubt.
Zudem muss darauf geachtet werden, dass in der Datenschutzerklärung der jeweiligen Webseite transparent und leicht verständlich über den Umfang der Verarbeitung personenbezogener Daten, die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, den Zweck der Datenverarbeitung, die Dauer der Speicherung und über die Widerspruchs- und Beseitigungsmöglichkeit informiert wird.
Nur wenn diese Punkte alle erfüllt werden, lassen sich Cookies datenschutzkonform einsetzen.