In dem heutigen Blogartikel der Reihe „Datenschutz vs. Internet“ möchten wir uns mit dem allseits bekannten, aber unterschätzen Thema „Cookies“ beschäftigen.
Jeder Internetuser oder Betreiber einer Website kommt fast täglich mit dem Thema in Berührung: Bei dem Besuch einer neuen Website werden Sie über den Einsatz von Cookies informiert und meist um eine Einwilligung gebeten. Doch weshalb müssen Sie ihre Einwilligung geben? Wir werden in diesem Artikel darauf eingehen, welche besonderen Cookie-Vorschriften es gibt und ob die Cookie-Hinweise möglicherweise auch weggelassen werden könnten.
Überblick: Was sind Cookies?
Bevor wir mit den eigentlichen rechtlichen Inhalten beginnen, befassen wir uns kurz damit, was Cookies eigentlich sind. Grundsätzlich sind Cookies eine Art von Textdateien, die im Internetbrowser bzw. vom Internet Browser auf dem Computersystem des Nutzers gespeichert werden.
Rufen Sie als Nutzer eine Website auf, so kann ein Cookie auf ihrem Betriebssystem gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung Ihres Browsers beim erneuten Aufrufen der Website ermöglicht.
Es wird zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterschieden. Welche Unterschiede es hier genau gibt, können Sie gerne in unserem Blogeintrag Google Analytics und Co. nachschlagen.
Warum werden Cookies gesetzt?
Cookies werden in erster Linie gesetzt, um den Betrieb der Webseite zu verbessern und die Funktionen zu vereinfachen. Was bedeutet das konkret? Cookies ermöglichen es, bestimmte Entscheidungen der Nutzer zu speichern, um diese Daten dann an geeigneten Stellen wieder zu nutzen. So hilft ein Cookie z.B. beim Ausfüllen von Formularen, beim Merken von Suchbegriffen oder merkt sich den Inhalt von Warenkörben.
Cookies können aber auch genutzt werden, um das Verhalten der Nutzer zu analysieren und zu bewerten. Gerade Analysecookies und Trackingcookies sind in der Lage, bestimmte Informationen zu speichern und weiterzugeben, die Sie als Websitebetreiber nutzen können, um bestimmte Bewertungen durchzuführen (z.B. um gezielte und persönliche Werbung zu schalten).
Die wichtigste Frage: Sind Cookies erlaubt und DSGVO konform?
Diese Frage kann nicht pauschal beantwortet werden. Es kommt beim Setzen von Cookies immer darauf an, welche Cookies Sie setzen möchten und zu welchem Zweck dies erfolgt.
Grundsätzlich kann gesagt werden, dass technisch notwendige Cookies aufgrund des Vorhandenseins eines berechtigten Interesses gem. Art. 6 Abs. 1 Lit. f DSGVO genutzt werden dürfen.
Über die Nutzung technisch nicht notwendiger Cookies besteht weniger Einigkeit. Denn bei der Nutzung technisch nicht notwendiger Cookies wird sich der Verantwortliche oftmals nicht auf einer der Rechtsgrundlagen gem. Art. 6 Abs. 1 Lit. b bis f DSGVO berufen können.
In diesem Falle werden Textdateien auf dem Server gespeichert, die nicht für den Betrieb der Webseite erforderlich sind. Der Einsatz dieser Cookies war lange Zeit sehr umstritten, ist aber zum Glück im Laufe der letzten Jahre klar geregelt worden. Denn seit dem 28.05.2020 ist festgelegt worden, dass nur eine aktive Einwilligung des Betroffenen selbst als einzige Rechtsgrundlage (Art. 6 Abs. 1 Lit. a DSGVO) für das Setzen technisch nicht-notwendige Cookies herangezogen werden kann. Dies hat der BGH mit dem Urteil vom 28.05.2020 unter dem Aktenzeichen I ZR 7/16 entschieden und folgte damit dem Urteil vom EuGH vom 01.10.2019 unter dem Aktenzeichen C-673/17.
Was beinhalten diese Urteile? Dem Urteil zufolge ist das Setzen von Cookies, die für den Betrieb der Webseite nicht unbedingt notwendig sind, nur noch mit Einwilligung des Betroffenen zulässig.
Das Setzen von Cookies ist folglich nur dann erlaubt, wenn diese technisch notwendig sind und hier eine entsprechende Rechtsgrundlage vorliegt oder für technisch nicht notwendige Cookies eine Einwilligung vorliegt. Das ist auch der Grund, weshalb Sie und alle anderen Internetnutzer, auf fast jeder Website ein Cookie-Banner bestätigen müssen.
Dies werden Sie auch ab dem 01.12.2021 im Rahmen von § 9 Abs. 1 und § 13 TTDSG entnehmen können. Denn hiernach ist das Setzen von Cookies nur noch zu den dort genannten Zwecken erlaubt.
Unterliegen Sie als Website-Betreiber bestimmte Pflichten?
Insbesondere aufgrund des Transparentgrundsatzes gem. Art. 5 Abs. 1 Lit. a DSGVO i.V.m. Art. 13 Abs. 1 DSGVO unterliegen Sie als Website Betreiber stets einer Informationspflicht. Da Sie mit dem Setzen von Cookies Informationen über eine natürliche Person haben und diese auch identifizieren können, liegen personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO vor. So müssen Sie im Rahmen der Verarbeitung den Betroffenen hierüber auch informieren.
Aktuell erfolgt dies meist im Rahmen eines Cookie-Banners oder Bots. Allerdings ist es auch erforderlich, dass Sie ebenfalls in ihrer Datenschutzerklärung das Setzen von Cookies aufführen. Insbesondere nach den gängigen Verfahren, dass zunächst die Verarbeitung beschrieben wird, die Zwecke und Rechtsgrundlage genannt werden und evtl. Speicher- und Widerrufsmöglichkeiten dargelegt sind. Erst damit erfüllen Sie ihre vollen Informationspflichten.
Zu beachten gilt, dass ab dem 01.12.2021 Sie gem. § 25 TTDSG entsprechend auch eine sog. Einwilligungspflicht unterliegen, die voraussetzen, dass Sie die entsprechenden Informationen bereithalten. Das könnte etwa in Form einer Cookie-Erklärung auf der Webseite der Fall sein.
Wie können Sie Ihre Pflichten erfüllen (insbesondere Ihre Informationspflicht)?
1. Eine Cookie-Erklärung
2. Cookie-Banner oder Bot
Zusätzlich zu der Cookie-Erklärung ist es erforderlich, dass Sie ein Cookie-Banner bzw. Bot einsetzen. Besonders dann, wenn Sie technisch nicht-notwendige Cookies verwenden, hilft Ihnen dieses Tool bei der Einholung einer Einwilligung. Damit erfüllen Sie nicht nur die Grundvoraussetzungen eine Datenverarbeitung durchführen zu dürfen, sondern kommen auch Ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nach.
Anforderungen an der Einwilligung
Im Rahmen der Einwilligung sollten Sie einige Details beachten (Selbstverständlich gelten die Vorgaben gem. Art. 7 DSGVO vollumfänglich).
Sie sollten also darauf achten, dass Sie erst nach Erteilung einer Einwilligung Cookies setzen. Die Einwilligung selbst muss freiwillig erfolgen. Eine Verknüpfung zwischen der Nutzung bzw. einem Besuch ihrer Webseite und der Erteilung einer Einwilligung ist unzulässig. Jeder sollte in der Lage sein, Ihre Website zu besuchen, auch ohne eine Einwilligung.
Darüber hinaus ist es erforderlich, dass Sie datenschutzfreundliche Voreinstellungen vornehmen und die Buttons bzw. Kästchen durch aktives Handeln des Nutzers auf eine Einwilligung umgestellt werden. Was bedeutet das? Ganz einfach: Sie müssen es den Betroffenen ermöglichen, auch einzelnen Cookies zuzustimmen.
In der Vergangenheit haben Landesdatenschutzbeauftragte und einige Verbraucherschutzverbände reihenweise Websites untersucht. Der Fokus der Untersuchungen lag oft auf dem Einsatz von Cookies und einem korrekten Prozess zur Einwilligung in die Nutzung von Cookies.
Leider wurde im Rahmen dieser Untersuchungen festgestellt, dass viele Banner nicht die Anforderungen erfüllten. Oftmals lag der Fallstrick in der Gestaltung. Es ist nicht zulässig, die Banner so zu gestalten, dass es für den Betroffenen erschwert wird eine Einwilligung nicht zu erteilen.
So sind etwas Cookie-Ablehnungs-Buttons unzulässig, die erst erreichbar sind, nachdem der User auf die Einstellungen geklickt hat. Denn so erfolgt nur die Möglichkeit allen Cookies zuzustimmen und nicht nur Einzelne auszuwählen.
Ihre Buttons sollten so designed werden, dass auch die Farbwahl nicht irreführend ist. Wenn das „Zustimmen aller Cookies“ eine positive Farbe wie Grün aufweist und das „Ablehnen“ eine negative Farbe wie Rot, dürfte dies problematisch werden. Warum sollte das zum Problem werden? Mit einer Bestätigung und dem Klick auf „Zustimmen“, entscheiden Sie sich gegen den Schutz der personenbezogenen Daten – obwohl „grün“ Ihnen das Gegenteil suggeriert. Betroffene werden so in die Irre geführt. Es sollte aus unserer Sicht stets mit neutralen Farben gearbeitet werden und das Ablehnen von Cookies genauso einfach sein wie das Zustimmen.
Was lernen wir daraus?
Beim Setzen von Cookies ist stets zu unterscheiden, ob Sie notwendige Cookies setzen oder technisch nicht notwendige Cookies. Für technisch nicht notwendige Cookies müssen Sie als Website-Betreiber stets eine Einwilligung einholen. Im Rahmen ihres Cookie-Banners bzw. Bots sollten Betroffene nicht in die Irre geführt werden. Genau so einfach wie das Zustimmen von Cookies, sollte auch das Ablehnen sein.