Cookies – Worauf es ankommt!

I. Was sind Cookies?

Ein Cookie ist eine Textinformation, die im Browser des Endgeräts eines Internetnutzers gespeichert wird, um eine bestimmte Funktion zu erfüllen. Zum Beispiel Daten über das Verhalten des Nutzers zu erheben. Die Speicherung sichert die Funktionalität einer Webseite oder liefert dem Webseitenbetreiber wertvolle Informationen für die Vermarktung seiner Produkte. Beispielsweise merkt sich eine Website die Anmeldeinformationen oder die eingestellte Sprache, oder den Inhalt des Warenkorbs. Darüber hinaus kann auch das Nutzungsverhalten abseits der besuchten Website verfolgt (getrackt) werden (Webtracking).   Oder es kann ermittelt werden, wie lange die Besucher auf der Website verweilen oder welche Funktionen sie wie häufig nutzen. Basierend darauf kann den Nutzern Werbung gezeigt werden, aber auch die Website den Benutzerdefinitionen der Nutzer angepasst werden. Für Unternehmen ist dieses Verfahren äußerst relevant. Kann es doch auf simplem Weg herausfinden, was den einzelnen Nutzern gefällt und wie das Unternehmen seine Webseite optimieren kann. Dem Nutzer kann dann Werbung ausgespielt werden, die für ihn auch wirklich interessant ist. Oder die eigene Website kann so verbessert werden, dass der Weg, den der Nutzer wählt möglichst zum Kaufabschluss führt.

Cookies - Weber Legal Anwaltskanzlei

II. Wann kann ein Cookie-Einsatz rechtlich problematisch sein?

Die Tücke liegt wie immer im Detail: Hatte früher der Werbende das Entgelt für die Werbung oder Anpassung der Geschäftswege zu leisten, hat sich die „Bezahlung“ zu den Nutzern hin verschoben. Nicht in Geld, sondern in Daten mit denen sie die Nutzung von Websites „bezahlen“. Ist ein Nutzer überzeugt von den Inhalten und möchte dafür Daten preisgeben gibt es keine Schwierigkeiten.

 

Vielmehr geht es um Fälle, in denen die Website-Nutzung an die Entrichtung des „Daten-Entgelts“ gekoppelt ist, die Nutzer dies jedoch nicht investieren möchten. Dann kommt ein Verstoß gegen geltendes Recht in Betracht, die z. B. zu einer Abmahnung wegen Verstoß gegen die DSGVO führen können.

III. EuGH- und BGH-Entscheidung zu Cookies

Die europäische Datenschutzpolitik hat es sich zur Aufgabe gemacht, die Verbraucher vor unzulässigen Zugriffen auf ihre Daten zu schützen. Ähnlich der Praxis beim Geldausgeben, sollen Nutzer die Möglichkeit haben, selbst zu entscheiden, ob und welche Daten sie wieweit ausgeben möchten.

 

In einem gerichtlichen Verfahren ging es um eine Klage der Verbraucherzentrale Bundesverband (vzbv) gegen das Unternehmen „Planet49“, welches im Rahmen eines Gewinnspiels Daten für Werbezwecke Dritter sammelte. Bevor man das Gewinnspiel absenden konnte, erschienen den Teilnehmern zwei Kontrollkästchen. Jenes, sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden zu erklären, war vorangehakt. Die Nutzer konnten den Haken entfernen, wenn sie nicht einverstanden waren (sog. Opt-out).

 

Der EuGH urteilte darüber am 01.10.2019, dass diese Praxis unzulässig sei. Aus dem Urteil ergibt sich folgendes: Eine Einwilligung muss freiwillig, für den konkreten Fall, in informierter Weise aktiv und ohne jeden Zweifel erteilt werden (Art. 4 Nr. 11 DSGVO).

 

Die Nutzer müssen also das Häkchen selbst setzen (Opt-in). Auch sog. Einwilligungsbanner, die lediglich den Hinweis enthalten, dass die Nutzer sich bei Weiternutzung der Website mit der Cookie-Nutzung einverstanden erklären, stellen daher keine klare, zweifelsfreie und vor allem keine aktive Einwilligung dar. 

Art. 4 DSGVO Nr. 11 Einwilligung

 

„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;…“

IV. Wie unterscheiden sich die unbedingt-notwendigen Cookies von anderen Cookies?

1. Unbedingt notwendige Cookies

 

Eine Ausnahme von der Einwilligung gilt nur, wenn Cookies (technisch) unbedingt erforderlich sind. Die Beurteilung ist einzelfallabhängig, wird aber wohl angenommen, wenn dadurch die Funktion der Website gewährleistet werden soll. Darunter fallen z.B. Funktionen des Warenkorbs beim Online-Shopping. Außerdem wohl die Einstellungen, die die Nutzer hinsichtlich des Einsatzes von Cookies getroffen haben, ob sie also lediglich notwendigen Cookies zugestimmt haben oder auch den Einsatz von Marketing-Cookies akzeptieren. 

 

Eine ausdrückliche Einwilligung zu diesen notwendigen Cookies ist dann entbehrlich. Es kann also ein vorangehaktes Kästchen geben. 

2. Marketing-Cookies, Cookies für Nutzungsstatistiken

 

Cookies zur Marketing-Zwecken oder zur Erstellung von Statistiken über das Nutzerverhalten sind hingegen keine unbedingt erforderlichen Cookies.  Für ihren Einsatz muss die aktive und informierte Einwilligung der Nutzer mittels des Opt-in-Verfahrens eingeholt werden. Diese Cookies dürfen dann auch erst nach der Einwilligung aktiviert werden. 

V. Genügt der Website-Betreiber den rechtlichen Anforderungen durch die technische Umstellung von einem Opt-out (Häkchen gesetzt, zum Ausklicken) auf ein Opt-in (Häkchen aktiv setzen)?

Die Antwort lautet: Nein. Vielmehr sind an die Einwilligung mittels Opt-in weitere Anforderungen gestellt, damit sie wirksam ist.

 

Es geht vor allem darum, dass die Nutzer informiert sind, also wissen in was sie einwilligen und welche Wahl sie haben. Konkret geht es um die Umsetzung der Art. 13 und 14 DSGVO.

Artikel 13 DSGVO

 

„Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

 

(1)       Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

 

  1. a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

  2. b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

  3. c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

  4. d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

  5. e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

  6. f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2)       Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

  2. b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

  3. c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

  4. d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

  5. e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und

  6. f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3)       Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.“

Artikel 14 DSGVO

 

„Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

 

(1)       Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

 

  1. a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

  2. b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;

  3. c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

  4. d) die Kategorien personenbezogener Daten, die verarbeitet werden;

  5. e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

  6. f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

(2)       Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

  1. a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

  2. b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

  3. c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

  4. d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

  5. e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

  6. f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;

  7. g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3)       Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

  1. a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,

  2. b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,

  3. c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

(4)       Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(5)       Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

  1. a) die betroffene Person bereits über die Informationen verfügt,

  2. b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,

  3. c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder

  4. d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.“

Insbesondere sind die Zwecke, zu denen die Cookies verwendet werden, offenzulegen (technisch notwendig, Marketing, Statistiken, Externe Medien). Außerdem muss ersichtlich sein, wer die Daten erhebt und verarbeitet, das eigene Unternehmen, oder sog. Dritte (z.B. Dienstleister). Auch die Lebensdauer der Cookies, also wie lange sie aktiv bleiben, muss ersichtlich sein. 

 

Außerdem ist zu beachten, dass die Cookies wirklich erst ihre Arbeit aufnehmen dürfen, wenn eingewilligt wurde (ausgenommen der technisch notwendigen Cookies). Wenn die Website also aufgerufen wird, müssen die einwilligungspflichtigen Cookies zunächst inaktiv bleiben, bis die Einwilligung tatsächlich erteilt wird. 

 

Zur besseren Übersicht ist die Gruppierung in notwendige und nicht notwendige Cookies erlaubt, die Anbieter müssen jedoch einzeln aufgelistet werden.

I.VI. Gilt etwas anderes, wenn die erhobenen Daten unmittelbar pseudonymisiert werden, also nicht mehr personenbezogen sind?

Auch hier lautet die Antwort: Nein. Die Anforderungen an die Einwilligung (Opt-in), gelten sowohl für den Anwendungsbereich von personenbezogenen Daten (DSGVO) wie auch für die ePrivacy-Richtlinie und das Telemediengesetz (TMG). Das TMG hat zum Hauptziel die Durchsetzung und Sicherung des Rechts auf Privatsphäre und Datenschutz in der elektronischen Kommunikation. Sie bezweckt insbesondere den Schutz vor Online-Tracking, unerwünschter Werbung sowie unerlaubter Datenerhebung durch Dritte und ist auch als „Cookie-Richtlinie“ bekannt. Auch im Anwendungsbereich des TMG ist die Einwilligung (Opt-in) erforderlich.

 

Sowohl die ePrivacy-Richtlinie wie auch das TMG beziehen die Verarbeitung nicht-personenbezogener (d.h. pseudonymisierter oder anonymisierter) Daten ein. 

 

„Pseudonymisieren“ bedeutet gem. Art. 4 Nr. 5 DSGVO, dass die personenbezogenen Daten ohne eine zusätzliche Information (z.B. eine Identifikationsnummer) nicht mehr einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. Die zusätzliche Information muss dabei getrennt von den Daten aufbewahrt und vor unbefugten Zugriffen geschützt werden.

Art. 4 DSGVO Nr. 5 zu Pseudonymisierung

 

„Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlich Person zugewiesen werden;“

Daten zu „anonymisieren“ verlangt hingegen, dass die betroffene Person, zu der die Daten gehören, unter keinen Umständen (mehr) identifizierbar ist, es also überhaupt keine Rückschlüsse auf die dahinterstehende natürliche Person gibt.

 

In Folge des EuGH-Urteils hat der BGH am 28.05.20202020 (BGH, Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookies-II-Urteil) entschieden, dass auch die in § 15 III des deutschen Telemediengesetzes (TMG) normierte Widerspruchslösung bei pseudonym erhobenen Daten – konkret: ein vorangehaktes Kästchen, das ausgeklickt werden muss – im Lichte des Europarechts als Einwilligungserfordernis verstanden werden muss.

§ 15 TMG Absatz 3

 

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 (TMG) hinzuweisen.“

 

Was bedeutet das konkret? Auch, wenn es nicht um personenbezogene Daten geht, d.h. die Website-Betreiber die Nutzungsstatistiken pseudonymisieren oder gar anonymisieren, ein Rückschluss auf den Nutzer also nicht mehr möglich ist, muss eine wirksame Einwilligung (aktives Anklicken eines Kästchens – Opt-in) eingeholt werden. 

Etwas anderes gilt nur für die technisch unbedingt erforderlichen Cookies.

VII. Was haben Website/Webshop-Betreiber zu tun?

Checkliste

 

  1. Zunächst sollten die Betreiber prüfen, ob auf ihrer Website oder Webshop Cookies eingesetzt werden und falls ja, um welche Kategorie es sich handelt. Also notwendige Cookies (keine Einwilligung erforderlich) oder Marketing-/Statistik-Cookies (Einwilligung erforderlich).

  2. Auch wenn keine Einwilligung erforderlich sein sollte, weil es sich um notwendige Cookies handelt, sind die aus Art. 13, 14 DSGVO folgenden Informationspflichten über die Zwecke sowie Herkunft und Lebensdauer der Cookies zu beachten. Diese Informationen sollten in jedem Fall bereitgestellt werden.

  3. Für den Fall, dass eine wirksame Einwilligung erforderlich ist, muss ein Cookie-Banner erstellt werden, worin neben den Informationen über Zweck, Verwendung und Lebensdauer der Cookies auch eine Einwilligungsmöglichkeit bereitgestellt werden.

Daneben darf der Cookie-Banner das Impressum und die Datenschutzerklärung der Webseite/Webshop nicht verdecken und sollte einen Link zur den Datenschutzhinweisen enthalten. Hierfür gibt es unterschiedliche technische Lösungen, sog. Consent-Tools.
 

  1. Falls ein solches Consent-Tool bereits genutzt wird, sollte es auf die oben beschriebenen Anforderungen überprüft werden.

o          Ist der Zweck der Cookies benannt?

o          Sind wirklich nur notwendige Cookies vorangehakt?

o          Besteht die Möglichkeit eine individuelle Einwilligung (Opt-in) in Cookies zu geben?

o          Gibt es einen Link zur Datenschutzerklärung?

o          Ist ersichtlich, wo weitere Informationen zu Zwecken, Anbietern und Lebensdauer der Cookies bereitgehalten werden?

  1. Es bietet sich an, die verpflichtenden Informationen gem. Art. 13, 14 DSGVO für die wirksame Einwilligung nach Art. 4 Nr. 11 DSGVO unmittelbar im Consent-Tool bereitzustellen. Dies kann jedoch auch in der Datenschutzerklärung erfolgen.

  2. In jedem Fall ist sicherzustellen, dass die Informationen den Anforderungen aus Art. 13, 14 DSGVO genügen, insb. die Angaben zur Funktionsdauer und der Weiterverwendung durch Dritte (Dienstleister).