von Rechtsanwalt Nick Akinci
Ein immer noch hoch umstrittenes Thema ist der Einsatz von Cookies auf Websites. Bei der Verwendung von Cookies ist das Datenschutzrecht, insbesondere die Regelungen der europäischen Datenschutzgrundverordnung (DSGVO), zu beachten, weshalb die rechtskonforme Gestaltung der Website mitunter schwierig ist. Ob, welche und wie Sie Cookies einsetzen sollten, erfahren Sie in diesem Artikel.
Was sind Cookies und was ist das Problem?
Jeder hat schon einmal von Ihnen gehört. Doch was genau sind eigentlich Cookies? Dabei handelt es sich um kleine Text-Dateien die beim Surfen über den Browser auf dem jeweiligen Endgerät des Website-Besuchers gespeichert werden, damit diese oder andere Websites den Besucher später wiedererkennen.
Die Problematik bei Cookies ergibt sich daraus, dass diese regelmäßig die IP-Adresse des Website-Besuchers speichern. Rechtlich gesehen handelt es sich dabei um die Verarbeitung personenbezogener Daten, sodass die gesetzlichen Bestimmungen des Datenschutzrechts beachtet werden müssen. Denn die IP-Adresse lässt, zumindest theoretisch, einen Rückschluss auf die Person zu, die die Website besucht hat.
Welche Arten von Cookies gibt es?
Aufgrund der vielfältigen Anwendungsmöglichkeiten gibt es verschiedene Arten von Cookies, die jeweils unterschiedliche Informationen enthalten und sich z. B. in ihrer Speicherdauer und ihrer Herkunft unterscheiden. Vorliegend sollen Cookies in die folgenden drei Kategorien aufgeteilt werden, um insbesondere die Unterschiede im Hinblick auf die datenschutzrechtlichen Anforderungen herauszustellen.
Temporäre Session-Cookies
Ein temporärer Session-Cookie dient in der Regel ausschließlich der Benutzerfreundlichkeit der Website, indem er bspw. Formulareingaben oder Spracheinstellungen des jeweiligen Nutzers speichert. Dadurch wird gewährleistet, dass der Nutzer die Eingaben/ Einstellungen nicht erneut eingeben muss, solange er sich auf der betreffenden Website befindet. Ein Session-Cookie wird nach dem Verlassen der Website automatisch wieder gelöscht.
Permanente First-Party-Cookies
Ein permanenter First-Party-Cookie wird ebenso wie ein Session-Cookie von der besuchten Website gesetzt; verbleibt jedoch auch nach Verlassen der Website auf dem Endgerät des Besuchers. Besucht nun der Nutzer erneut diese Website, so wird er von dieser wiedererkannt. So kann sich z.B. ein Internet-Shop daran „erinnern“ was man bereits in den Warenkorb gelegt hat oder ein soziales Netzwerk unter welchem Namen man eingeloggt war.
Permanente Third-Party-Cookies
Permanente Third-Party-Cookies sind dauerhaft auf dem Endgerät gespeicherte Cookies, die nicht von der besuchten Website, sondern von Dritten, zumeist Werbetreibenden, gesetzt werden. Sog. Tracking-Tools nutzen Third-Party-Cookies, um das Surf-Verhalten eines Internetnutzers zu verfolgen und so – mitunter umfangreiche – Nutzungsprofile zu erstellen. Diese Nutzungsprofile können dann z. B. zur Auslieferung personalisierter Werbung auf sozialen Netzwerken genutzt werden.
Bisherige Rechtslage
Vor Wirksamwerden der Bestimmungen der DSGVO am 25. Mai 2018 war bereits umstritten, ob die Verwendung von Cookies eine ausdrückliche Einwilligung des Website-Besuchers (sog. Opt-In-Lösung) voraussetzt oder es ausreichend ist, dass die Nutzer der Website der Verwendung von Cookies – nach entsprechendem Hinweis – nicht widersprechen (sog. Opt-Out-Lösung).
Zwar legte der Wortlaut von Art. 5 Abs. 3 der europäischen Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) in der Fassung von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie), welcher gegenüber der alten Fassung der Richtlinie nun erstmals von einer „Einwilligung“ sprach, die Notwendigkeit eines Opt-In nahe. Jedoch war die Rechtslage aufgrund der (unzureichenden) Umsetzung durch den deutschen Gesetzgeber undurchsichtig und umstritten. Nach der entsprechenden deutschen Regelung in § 15 Abs. 3 des Telemediengesetzes (TMG) war es – unabhängig davon um was für eine Art von Cookie es sich handelt – ausreichend, dass die Nutzer der Website der Verwendung von Cookies – nach entsprechendem Hinweis – nicht widersprechen (Opt-Out). Die Europäische Kommission ließ im Einklang mit der Ansicht der deutschen Bundesregierung verlauten, dass die europäische Richtlinie im deutschen Recht bereits ausreichend umgesetzt sei. Nach alter Rechtslage war es daher juristisch gut vertretbar auf eine ausdrückliche Einwilligung der Website-Besucher zu verzichten. Zwar müssen nationale Regelungen „im Lichte“ der zugrunde liegenden europäischen Richtlinie ausgelegt werden, wenn diese ansonsten mit der Richtlinie nicht in Einklang zu bringen sind. Jedoch erscheint eine Auslegung der TMG-Regelung, nach der ein Opt-In notwendig wäre, angesichts des eindeutigen Wortlauts kaum möglich.
Von einem „echten“ Opt-In kann indes auch nur gesprochen werden, wenn Cookies erst gesetzt werden, nachdem der Nutzer der Verwendung aktiv – beispielsweise durch Anklicken eines entsprechenden Buttons – zugestimmt hat.
Neue Rechtslage
Nach dem Inkrafttreten der Regelungen der DSGVO, ist unter Juristen stark umstritten, ob die (alten) Regelungen des TMG daneben (noch) Anwendung finden.
Eine parallele Anwendbarkeit der Regelungen des TMG als Umsetzungsnorm der Cookie-Richtlinie aus dem Jahre 2009 ließe sich ausschließlich aus Art. 95 DSGVO herleiten. Dem umständlichen Wortlaut von Art. 95 EU-DSGVO ließe sich zwar eine parallele Anwendbarkeit – wenn auch nicht eindeutig – sicher entnehmen. Gegen eine Anwendbarkeit des § 15 Abs. 3 TMG spricht jedoch, dass die EU-DSGVO vollumfänglich und abschließend den Datenschutz regelt (sog. Vollharmonisierung). Diese Position vertritt zudem die Datenschutzkonferenz (DSK), also der Zusammenschluss aller Aufsichtsbehörden der Länder und des Bundes. Die DSK erklärte kurz vor dem Anwendungsbeginn der DSGVO im Mai 2015, dass nach ihrer Ansicht § 15 TMG nicht mehr anwendbar sei. Dies erläuterte die DSK ausführlich mit der Veröffentlichung „Orientierungshilfe für Anbieter von Telemedien“ im April 2019. In dieser Stellungnahme wurde die Position damit begründet, dass es sich bei Tracking stets um Datenverarbeitungen handele, welche der, regelmäßig Website-übergreifenden, Nachverfolgung von individuellem Nutzerverhalten diene.
Im Ergebnis sollten unseres Erachtens daher – bis zum Inkrafttreten der geplanten, neuen ePrivacy-Richtlinie – die Regelungen der DSGVO angewendet werden.
Wie können Cookies rechtskonform genutzt werden?
Nach der DSGVO muss für jede Verarbeitung von personenbezogenen Daten eine entsprechende Rechtsgrundlage existieren. Diese sind in Art. 6 DSGVO abschließend aufgeführt. Für den Einsatz von Cookies kommt einerseits Art. 6 Abs. 1 S. 1 Buchst. f) DSGVO als Rechtsgrundlage in Betracht, wonach die Verarbeitung von personenbezogenen Daten auf berechtigte Interessen des Verarbeitenden gestützt werden dürfen, sofern nicht die Interessen der Betroffenen überwiegen. Besteht ein überwiegendes Interesse des Website-Betreibers nicht. So kommt als Rechtsgrundlage für eine Verwendung von Cookies nur die Einholung einer Einwilligung der Nutzer gemäß Art. 6 Abs. 1 S. 1 Buchst. a) EU-DSGVO in Betracht. Anders als das TMG sieht die DSGVO jedoch ein Opt-Out nicht als ausreichende Einwilligung an.
Temporäre Session Cookies
Der Einsatz von Session-Cookies dürfte jedenfalls ohne die Einholung einer Einwilligung der Website-Besucher rechtskonform sein. Ein überwiegendes Interesse der Website-Besucher, welches den Interessen des Website-Betreibers entgegensteht, ist hier nicht erkennbar. Session-Cookies sind für die meisten Websites unumgänglich, um dem Benutzer gewisse Funktionen zur Verfügung zu stellen. Darüber hinaus hat auch der Nutzer selbst ein Interesse an deren Einsatz, da die Nutzung der meisten Websites ohne den Einsatz von Session-Cookies kaum praktikabel ist.
Permanente First-Party-Cookies
Ähnlich dürfte es sich bei permanenten First-Party-Cookies verhalten, solange diese ausschließlich für Website-Funktionen eingesetzt werden, die die Benutzerfreundlichkeit der Website steigern. Zwar muss die längere, oftmals unbegrenzte, Speicherdauer bei der Interessenabwägung entsprechend berücksichtigt werden. Jedoch dürfte die Waage weiterhin zugunsten des Website-Betreibers ausschlagen, da es auch im Interesse des Nutzers liegt, dass dieser bei einem erneuten Besuch der Website von dieser wiedererkannt wird.
Schon schwieriger wird die Beurteilung der Rechtslage, wenn First-Party-Cookies zu Tracking-Zwecken eingesetzt werden. Der Einsatz von First-Party-Cookies zu Tracking-Zwecken ist jedoch nur eingeschränkt möglich, da nur Aktivitäten auf der Website, die der Cookie setzt, getrackt werden können. Der Website-Betreiber kann über den Cookie bspw. verfolgen, über welche Links oder seiteninternen Anzeigen der Besucher zu einer bestimmten Unterseite gelangt ist oder wie lange der Nutzer auf dieser Unterseite verweilt.
Auch bei dieser Variante der Cookie-Nutzung müssen natürlich die Interessen der Nutzer gegen die Interessen des Seiten-Betreibers abgewogen werden, sofern keine Einwilligung für das Setzen von Cookies eingeholt wird. Hinsichtlich der Nutzung von Cookies zu Trackingzwecken, ist zu berücksichtigen, dass die Website-Besucher selbst in der Regel kein oder nur ein geringes Interesse an deren Verwendung haben. Mitunter dient jedoch auch das Analyse- und Reichweiten-Tracking zumindest den (mutmaßlichen) Interessen der Nutzer und Besucher. Durch die gezielte Analyse der Verwendung der Website durch den einzelnen Nutzer kann das Angebot der Website auf diesen zugeschnitten und so verbessert werden. Darüber hinaus werden bei der reinen Nutzungsanalyse, im Gegensatz zum Einsatz von Werbe-Cookies, selten umfassende Nutzerprofile erstellt. Vielmehr werden regelmäßig nur anonymisierte Nutzerstatistiken erstellt. Somit wird das Recht auf informationelle Selbstbestimmung des einzelnen Nutzers kaum tangiert, weshalb auch bezüglich der Tracking-Cookies zur Analyse des Nutzerverhaltens die berechtigten Interessen des Website-Betreibers im Ergebnis überwiegen dürften.
Permanente Third-Party-Cookies
Besonders umstritten ist der Einsatz von persistenten Third-Party-Cookies, da diese oftmals detaillierte Website-übergreifende Nutzerprofile beinhalten. Dies ermöglicht es Suchmaschinen oder sozialen Netzwerken personalisierte Werbung auszuliefern, die den vermeidlichen Interessen der Nutzer entsprechen. Händler und Anbieter von Dienstleistungen profitieren davon, da Ihre Werbung in der Regel solchen Nutzern angezeigt wird, die potentiell daran Interesse haben könnten.
Wenn Third-Party-Cookies zur Schaltung personalisierter Werbung eingesetzt werden, dürfte eine Interessenabwägung regelmäßig zugunsten der Nutzer ausfallen. Das Interesse der Werbenden am Verkauf Ihrer Produkte bzw. das Interesse der Werbeplattformen an der Monetarisierung Ihrer Services ist rein wirtschaftlicher Natur. Der Nutzer hat hiervon erstmal nichts und fühlt sich im Zweifel sogar von immer wiederkehrenden Werbebannern belästigt. Viel wichtiger ist in diesem Zusammenhang aber noch, dass die Erstellung eines detaillierten Nutzerprofils zu einem deutlich höheren Eingriff in die Privatsphäre des Nutzers führt. Im Ergebnis muss man daher davon ausgehen, dass der Einsatz von Third-Party-Cookies für Tracking- und Werbezwecke nicht auf berechtigte Interessen gestützt werden kann.
Cookie-Einwilligung, aber wie?
Kommt man zu dem Ergebnis, dass die Nutzung von Cookies nicht auf berechtigte Interessen gestützt werden kann oder dies zumindest unsicher ist, sollte auf die Einwilligung der Nutzer zurückgegriffen werden.
Von einer „echten“ Einwilligung kann aber nur dann gesprochen werden, wenn der Nutzer diese aktiv erteilt. Dieser muss also im Wege des sog. Opt-In, z.B. durch das Anklicken einer Schaltfläche, einwilligen, dass Cookies auf seinem Endgerät gespeichert werden dürfen. Dabei muss der Nutzer auch darüber informiert werden, zu welchen Zwecken die Cookies eingesetzt werden. Bevor der Nutzer seine Einwilligung erteilt hat, dürfen keine Cookies gesetzt werden.
Darüber hinaus muss dem Nutzer auch die Möglichkeit eingeräumt werden, der Nutzung von Cookies jederzeit zu widersprechen.
Hinzu kommt, dass nach der Auslegung der DSK, der Nutzer überdies auch die Möglichkeit haben muss, in die verschiedenen Möglichkeiten der Datenverarbeitung unabhängig voneinander einzuwilligen. Der Betreiber müsste demnach jedes verwendete Cookie einzeln aufführen und die Möglichkeit bieten diesbezüglich die Zustimmung zu geben oder eben zu verweigern. Diesen sehr hohen Anforderungen an den rechtskonformen Einsatz von Cookies werden derzeit die wenigsten Website-Betreiber gerecht. Ein Großteil der derzeit verwendeten Cookie-Hinweise dürfte daher nach Ansicht der DSK nicht rechtskonform sein.
Was passiert bei rechtswidrigem Cookie-Einsatz?
Wenn der Einsatz von Cookies gegen die Regelungen der DSGVO verstößt ist mitunter mit empfindlichen Strafen zu rechnen. Es drohen z.B. Bußgelder durch die zuständige Behörde, den Datenschutzbeauftragten des jeweiligen Bundeslandes. Die DSGVO sieht diesbezüglich Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Konzernumsatzes vor, je nachdem, was höher ist.
Aber auch Abmahnungen sind ein Thema, das nicht zu vernachlässigen ist. Zwar ist die große „Abmahnwelle“, die von vielen prophezeit wurde, bisher ausgeblieben. Es liegen jedoch bereits vereinzelt Gerichtsurteile vor, in denen die Auffassung vertreten wird, dass z.B. ein fehlerhafte Datenschutzerklärung auf der Website nach wettbewerbsrechtlichen Vorschriften abmahnbar ist. Hinzu kommt, dass nicht rechtskonform eingesetzte Cookies im Internet leicht aufzuspüren sind.
Fazit und Handlungsempfehlung
Der Einsatz von Cookies sollte in jedem Fall gut überlegt sein. Je nach Einsatzzweck und -art sollte man sich professionell beraten lassen, ob und in welcher Form der Einsatz von Cookies rechtskonform möglich ist. Insbesondere beim Einsatz von Cookies zu Werbezwecken setzt man sich einem hohen Haftungsrisiko aus und sollte daher stets einen Rechtsanwalt konsultieren.
Für weitergehende Rechtsberatung steht Ihnen die Kanzlei Heidrich Rechtsanwälte gerne zur Verfügung: 0511 374 98 150.