Tips & Tricks

Reality Check – Wie verhält sich die Umsetzung der EU-Cookie-Richtlinie in Deutschland?

Was sind Cookies und welche Daten sammeln sie?

Cookies sind kleine Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten und erhöhen damit Benutzerfreundlichkeit. Zum Beispiel merkt sich Ihr Browser Log-in-Daten und Spracheinstellungen, die Sie als Benutzer dann nicht ständig aufs Neue eingeben müssen. Da gegenüber steht die Kritik, dass bestimmte  Cookies mit dem Datenschutz nicht vereinbar sind. So werden Cookies eingesetzt um Ihren Surfverhalten aufzuzeichnen, womit z.B. personalisierte Werbung möglich wird. Ins besondere Tracking- und Targeting-Cookies sind dieser Praktiken schuldig.

“Diese Website verwendet Cookies“ heißt es auf einer zunehmenden Anzahl von Websites. Webseitenbetreiber kommen damit ihrer Pflicht nach, ihren Benutzer aufzuklären über die Speicherung Benutzerrelevanter Daten. Laut Privacy Richtlinien ist das Speichern dieser Informationen aber nur erlaubt, wenn die Benutzer darin einwilligen. Ein Opt-in-Verfahren ist demnach – zumindest bei Tracking-Cookies – verpflichtet. Benutzer müssen aktiv zustimmen, bevor Cookies gesetzt werden dürfen.

Der Europäische Datenschutzausschuss EDSA und der EDSB

Der EDSA ist die unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Der EDSA besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB). Am 25. Mai 2018 bestätigte der EDSA die Leitlinien zur Datenschutz-Grundverordnung (DSVGO), die von der Artikel-29-Datenschutzgruppe ausgearbeitet wurden. 

Der EDSA ist befugt, für nationale Datenschutzbehörden verbindliche Beschlüsse zu erlassen und im Rahmen des Kohärenzverfahrens Beschlüsse zu grenzüberschreitenden Datenschutzfällen zu fassen.

Der EDSA erbringt keine individuellen Beratungsleistungen, sondern gibt allgemeine Leitlinien heraus, so wie die EU Cookie-Richtlinie.

Was sagt dieser Cookie-Richtlinie der EU

Die Cookie-Richtlinie verschreibt, dass Website Besucher in einer leicht verständlichen Form informiert werden müssen über den Einsatz von Cookies und der Daten Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind. Es handelt sich dann um Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.

Für die Anwendung aller anderen Cookies benötigen Website Betreiber jedoch eine Zustimmung der Website Besucher. Das handelt sich um Cookies, die technisch nicht notwendig sind für das Funktionieren des Internetangebots. Hierzu zählen vor allem Werbe-Cookies, die für Retargeting Ziele genutzt werden, aber auch Analyse- und Social-Media-Cookies. Für den Website-Besucher ist eine transparente Einverständniserklärung (Consent Banner) deshalb also ein sehr wichtiges Thema.

Inhalt der aktuellen EU-Cookie-Richtlinie

Die EU hat mit der Cookie-Richtlinie im Sinn die personenbezogenen Daten der Internetnutzer zu schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:

  1. Technisch notwendige Cookies: zur notwendigen Datenspeicherung gehören Cookies, die für die Funktionen einer Website zwingend erforderlich sind. Das heißt beim speichern von Log-in-Daten, des Warenkorbs oder der Sprachauswahl durch sogenannte Session-Cookies (die gelöscht werden wenn der Browser geschlossen wird).
  2. Technisch nicht notwendige Cookies: als nicht notwendige Cookies werden Textdateien angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen:
  • Tracking-Cookies
  • Targeting-Cookies
  • Analyse-Cookies
  • Cookies von Social-Media-Websites

Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also ohne vorherige Zustimmung durch des Website-Besuchers. Da gegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Die EU-Cookie-Richtlinie verlangt eine Opt-in-Lösung bei nicht notwendigen Cookies.

Opt-out und Opt-in

  • Opt-out: Cookies werden von Beginn an gesetzt  – die User können der Datenspeicherung erst nachträglich widersprechen.
  • Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst wenn der Website Besucher der Datenspeicherung zustimmt.

Ein Opt-in fragt um ein Vielfalt von Sachen. Website-Besucher müssen erstmal selbst das Häkchen zur Zustimmung setzen können. Die Einwilligung der Nutzer muss aktiv, freiwillig und nach vorheriger Informierung erfolgen. Auch müssen Website-Benutzer informiert werden über die verwendeten Cookies. Website-Betreiber sollen demnach Informationen liefern, wie lange die Website-Betreiber sollen demnach Informationen liefern, wie lange die Dateien gültig sind und zu welchem Zweck sie gespeichert werden. Und schließlich muss den Besuchern klar sein, wozu sie gerade zustimmen und zwar deutlich, und nicht in langen Rechtstexten versteckt (informiert). 
Durch das europaweite, von EDSA veranlassten, Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben sich viele Vorschriften rund um die Speicherung von sensiblen Nutzerdaten innerhalb der EU geändert. Doch was ist der aktuelle Stand der Deutschen Rechtsprechung?

BGH sagt Unbeschrankte Einwilligungspflicht!

Ein deutscher Sonderweg für Cookies gibt es ab jetzt nicht mehr. Der BGH sagt jetzt auch: unbeschränkte Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland ab 28.05.2020. Der BHG hat sich damit dem EuGH vollumfänglich angeschlossen und rechtsverbindlich eine Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland bestätigt.

Jahrelang hat es ein Rechtsstreit gegeben über die Einwilligungspflicht für Cookies, angefangen mit einer Gewinnspiel Werbekampagne von Anbieter Planet 49. Teilnehmer wurde ein vorab angekreuztes Checkbox präsentiert für Einwilligung in ein Cookie-Tracking über den Webanalysedienst Remintrex.

EU Richtlinien sagen dazu:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Benutzers gespeichert sind, nur gestattet ist, wenn der Benutzer auf Grundlagen von klaren und umfassenden Informationen, seine Einwilligung gegeben hat. 

Mit seinem Urteil hat der BGH dem zähen Rechtsstreit über die rechtliche Grundlage einer Cookie-Einwilligungspflicht in Deutschland ein Ende bereitet. Im Einklang mit dem Urteil des EuGH entschied der BGH , dass eine Cookie-Einwilligung durch ein vorangekreuzter Checkbox nicht wirksam abgefragt werden kann. Vielmehr sei ein aktives Setzen des Opt-In-Checkbox erforderlich. Es gilt jetzt rechtsverbindlich, dass die Cookie-Einwilligung durch eine aktive Nutzerhandlung erteilt werden muss. Erst nach deren Vorliegen dürfen die betroffenen Cookies gesetzt werden.

Während die Richtlinie eine Opt-In-Pflicht für technisch nicht notwendige Cookies vorsieht, ginge TMG aus vom Ausreichen eines bloßen Cookie-Opt-Outs (also ein Widerspruch). Eine Opt-Out-Lösung für Cookies, die nicht zwingend erforderlich sind, ist ab sofort offiziell unzulässig und rechtswidrig.

Die Konsequenzen für Deutsche Seitenbetreiber sind dass sie zwingend rechtskonforme Cookie-Lösungen implementieren müssen.  Eine solche Lösung muss technisch sicherstellen dass

  • für jede Cookie-basierte und nicht technisch erforderliche Anwendung eine individuelle Cookie-Einwilligung abgefragt wird
  • Cookies dieser Anwendungen erst dann gesetzt werden, wenn der Nutzer hierin jeweils individuell eingewilligt hat
  • Nutzer ihre Einwilligungen über entsprechende Optionen jederzeit wieder widerrufen können und dadurch die Cookie-Setzung wieder gestoppt wird

Seitenbetreiber, die bisher kein oder kein hinreichendes Cookie-Consent-Tool verwenden, müssen ein solches nun unbedingt unverzüglich einbinden. Ein deutscher Sonderweg für Cookies gibt es nicht mehr, die Einwilligungspflicht gilt nunmehr uneingeschränkt.

CookieMagic folgt allen skizzierten Entwicklungen genauestens und implementiert sofort alle neuen gesetzlichen Anforderungen in ihren erstfolgenden Software Freigaben.

Ihr CookieMagic Team

Back