DSGVO: Der Einsatz von Cookies
Seit 25.05.2018 gelten in Deutschland das neue Bundesdatenschutzgesetz und die Datenschutzgrundverordnung (DSGVO). Mit den neuen Regelungen ergaben sich in vielen Bereichen offene Fragen und rechtliche Grauzonen.
Die häufigsten Anfragen meiner Mandantschaft im Bereich des Datenschutzrechts beziehen sich dabei auf den eigenen Internetauftritt und die rechtliche Bewertung bei der Verwendung von Cookies. Häufige Fragen sind dabei:
1. Dürfen wir für unseren Internetauftritt Cookies nutzen?
2. Wie können wir Cookies rechtskonform nutzen?
3. Dürfen wir unter Verwendung von Cookies Online-Marketingtools Dritter nutzen?
4. Benötigen wir ein sog. Cookie-Banner?
5. Benötigen wir eine Einwilligung für Cookies?
Angesichts der großen Nachfrage möchte ich die Rechtslage zum Thema „Cookies“ gerne zusammenfassend darstellen. Ich werde, um die Sach- und Rechtslage verständlich darzustellen, auf vertiefte Informationen zu EuGH-Urteilen und Normen verzichten. Der Artikel soll also lediglich einen Überblick über die Rechtslage bilden.
1. Definitionen / Allgemeines
Was versteht man überhaupt unter „ Cookies“?
Als Cookies werden u.a. kleine Datensätze verstanden, die beim Öffnen einer Internetseite vom Webserver auf dem Rechner des Nutzers abgelegt werden. Sie werden mit einer erneuten Verbindung an den Cookie-setzenden Webserver zurückgesendet, um den Nutzer und seine Einstellungen wiederzuerkennen. Cookies können unterschiedliche Speicherzeiten haben. Es gibt Cookies, die nur für die Dauer des Besuchs einer Internetseite gespeichert werden (sog. Session-Cookies), und Cookies, die über längere Zeiträume, bspw. Jahre gespeichert werden (sog. Persistent Cookies).
Im Laufe der Jahre sammelt der Rechner des Nutzers mit Unter also tausende von Cookies.
Die Art, wie der eigene Computer mit Cookies umgehen soll, kann durch technische Einstellungen bestimmt werden. Möchte der Nutzer keine Cookies auf dem eigenen Rechner erlauben, kann die Speicherung durch eine Änderung der Einstellungen des Browsers unterbunden werden. Bedauerlicherweise setzen viele Internetauftritte Cookies vor (bspw. um Warenkörbe anzuzeigen, etc.). Unterbindet man also das Setzen von Cookies gänzlich, können einige Internetauftritte nicht mehr korrekt angezeigt werden.
Darüber hinaus wird unterschieden zwischen Cookies der Internetseite, die gerade besucht wird (sog. First-Party-Cookies) und Cookies von Dritten (bspw. Facebook, Google, etc.; sog. Third-Party-Cookies). Bei First-Party-Cookies wird der Nutzer nur von der besuchten Webseite wiedererkannt, nicht aber über mehrere Domains hinweg.
Darüber hinaus werden anhand des Verwendungszwecks unterschieden:
- technisch notwendige Cookies (bspw. zur Identifikation des Warenkorbes)
- Performance Cookies (bspw. zur Messung von Ladezeiten)
- funktionale Cookies (die nicht zwingend notwendig sind, aber die Nutzerfreundlichkeit unterstützen)
- Werbe-Cookies (die dem Nutzer basierend auf dessen Surfverhalten Werbung anzeigen)
2. Was galt bisher?
Schon vor der DSGVO wurde die Rechtslage zur Verwendung von Cookies (Einwilligung ja / nein) kontrovers diskutiert. Ursache für „das Chaos“ waren widersprüchliche gesetzliche Regelungen bzw. Diskrepanzen zwischen EU-Recht und nationalem Recht.
So sah die sog. Cookie-Richtlinie in Art. 5 Abs. 3 eindeutig vor, dass vor der Verwendung von Cookies eine Einwilligung eingeholt werden muss (sog. Opt-In Verfahren), es sei denn der alleinige Zweck war die Durchführung der Übertragung einer Nachricht oder technisch unbedingt erforderlich war, um den Dienst zur Verfügung zu stellen. Die Richtlinie galt aber nicht unmittelbar in allen EU-Ländern, sondern musste in nationales Recht umgesetzt werden. Deutschland hat dies nicht getan. Deutschland stellte sich vielmehr auf den Standpunkt, dass eine Umsetzung nicht nötig sei, da die Rechtslage im Einklang mit der Richtlinie stünde. Darüber konnte man sich letztendlich nur wundern, denn vor Inkrafttreten der DSGVO galt unzweifelhaft § 15 Abs. 3 Telemediengesetz. Danach musste der Nutzer allerdings nur über die Verwendung von Cookies informiert werden. Darüber hinaus genügte ein Hinweis über ein Widerspruchsrecht des Nutzers gegen die Verwendung von Cookies (sog. Opt-Out-Verfahren). Eine ausdrückliche Einwilligung forderte das Telemediengesetz also gerade –um Unterschied zur Cookie-Richtlinie- nicht.
3. Welche Änderungen hat die DSGVO gebracht?
Laut DSGVO dürfen personenbezogene Daten nur verarbeitet (also erhoben, gespeichert, übermittelt, etc.) werden, wenn das Gesetz dies erlaubt. Gesetzliche Erlaubnistatbestände sind u.a.
- Einwilligung der betroffenen Person
- die Verarbeitung der Daten ist für vorvertragliche / vertragliche Maßnahmen erforderlich
- die Verarbeitung ist gesetzlich erlaubt (bspw. aus steuerrechtlichen Gründen)
- der Webseitenbetreiber hat ein berechtigtes Interesse an der Datenverarbeitung und die Rechte wiegen schwerer als die Rechte der betroffenen Person
Die Aufzählung ist nicht abschließend.
Was hat dies nun mit Cookies zu tun?
Cookies dienen u.a. dazu den Nutzer wiederzuerkennen. Sie weisen dem Nutzer in der Regel eine bestimmte Identität –bestehend aus Buchstaben und Ziffern – zu und stellen damit ein personenbezogenes Datum dar.
Werden von Unternehmen Cookies verwendet, die also einen Rückschluss auf den Nutzer (u.a. über eine IP-Adresse) zulassen, greift die DSGVO und die Verarbeitung dieser Daten ist nur erlaubt, wenn ein gesetzlicher Erlaubnistatbestand (siehe oben) greift.
Gilt die Ausnahme des § 15 Abs. 3 TMG noch?
Diese Frage ist derzeit unklar und heiß umstritten. Problematisch ist insoweit schon, dass sich Art. 5 Abs. 3 Cookie-Richtlinie auf jede Person bezieht, die Informationen auf Endgeräte überträgt. Die Regelung aus dem Telemediengesetz hingegen bezieht sich auf die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste, ist also enger gefasst.
Zusammenfassend ist derzeit unklar, ob § 15 Abs. 3 TMG überhaupt noch anwendbar ist. Verlassen sollten sich Diensteanbieter darauf lieber nicht.
Geht man also davon aus, dass die Grundsätze der DSGVO gelten, eröffnen sich weitere Fragen:
4. Dürfen laut DSGVO Cookies verwendet werden?
Die Frage, ob Sie bei dem Nutzer, der Ihre Internetseite besucht, ohne ausdrückliche Einwilligung des Nutzers Cookies setzen dürfen, kann leider nur mit einer für Juristen typischen Antwort beantwortet werden, nämlich „das kommt darauf an“.
Zu klären ist zunächst, um was für ein Cookie es sich handelt und zu welchen Zwecken das Cookie gesetzt wird.
4.1. Cookies des Webseitenbetreibers (First-Party-Cookies)
Handelt es sich um Cookies, die der Webseitenbetreiber nutzt, beschränkt sich das Problem darauf, ob der Webseitenbetreiber selbst das Cookie ohne Einwilligung nutzen darf. Die Problematik der Datenübermittlung an Dritte stellt sich in diesem Fall nicht, was die Sache etwas vereinfacht.
Um die Fragen nach dem Erfordernis einer Einwilligung beantworten zu können, muss jedoch einzelfallbezogen geprüft werden, zu welchem Zweck das Cookie gesetzt wird.
4.1.1. Technisch notwendige Cookies
Kann bspw. ein Warenkorb nur unter Verwendung von technisch notwendigen Cookies angezeigt, ist die Nutzung des Cookies ohne Einwilligung unbedenklich, wenn keine Einbindung von Elementen Dritter erfolgt. Erlaubnistatbestände sind insoweit Art. 6 Abs. 1 lit. b) (vorvertragliche / vertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Betreibers).
Ist geklärt, ob das Cookie gesetzt werden darf, muss geprüft werden, ob die weiteren Datenschutzgrundsätze der DSGVO eingehalten werden. Zu denken ist hier insbesondere an den Grundsatz der Datenminimierung (= Datenerhebung ist dem Zweck angemessen und auf das notwendige Maß beschränkt) und den Grundsatz der Speicherbegrenzung (= Speicherung der Daten nur so lange, wie es für den Zweck, der erreicht werden soll, erforderlich ist).
Das Setzen technisch notwendiger Cookies kann also ggfs. dennoch rechtswidrig sein, wenn ein Datenverarbeitungsexzess betrieben wird. Um bei dem Beispiel des Warenkorbs zu bleiben:
Es ist nicht erforderlich diesbezügliche Cookies dauerhaft für mehrere Jahre auf dem Rechner des Nutzers abzulegen.
Bei der Verwendung von Kundenkontos (Registrierung von Nutzern) ist die längerfristige Speicherung hingegen erlaubt, da der Kunde auch nach Kauf über das Login wiedererkannt werden muss.
4.1.2. Technisch nicht notwendige Cookies
Im Bereich der Cookies, die technisch nicht zwingend erforderlich sind, wird die rechtliche Beurteilung „kniffeliger“.
Einzelfallbezogen muss sich der Webseitenbetreiber fragen:
1. Wozu wird das Cookie gesetzt? (Zweck)
2. Welche Daten werden gespeichert? (Maß der Verarbeitung / Datenminimierung)
3. Wie lange werden die Daten gespeichert? (Speicherbegrenzung)
Als Rechtsgrundlage dürfte hier in vielen Fällen nur noch das berechtigte Interesse des Webseitenbetreibers im Sinne von Art. 6 Abs. 1 lit. f DSGVO oder eben die Einwilligung des Nutzers, Art. 6 Abs. 1 lit. a DSGVO greifen.
Unter Abwägung aller Voraussetzungen sollte sich der Webseitenbetreiber fragen, inwieweit in die Rechte des Nutzers eingegriffen wird und ob seine Interessen überwiegen. Das Ergebnis dieser Prüfung hängt davon ab, welche Daten wozu und wie lange gespeichert werden, ob der Nutzer mit dieser Verwendung der Daten rechnen durfte und nicht unangemessen in die Rechte des Betroffenen eingegriffen wird. Laut Landesbeauftragte für den Datenschutz in Niedersachsen sind im Rahmen der Interessenabwägung folgende Punkte zu berücksichtigen:
- Erwartung der betroffenen Person / Vorhersehbarkeit / Transparenz
- Interventionsmöglichkeiten der betroffenen Person
- Verkettung von Daten
- Beteiligte Akteure
- Dauer der Beobachtung
- Kreis der Betroffenen
- Datenkategorien
- Umfang der Datenverarbeitung
Analyse-Cookies, die datenschutzfreundlich konzipiert sind, dürften eher ohne Einwilligung zu rechtfertigen sein als beispielsweise Cookies, die ausschließlich Werbezwecken dienen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg vertritt die Auffassung, dass Werkzeuge zur Reichweitenanalyse ohne Einwilligung des Nutzers verwendet werden dürfen, wenn dafür nicht auf die Dienste externer Dritter zurückgegriffen wird (bspw. Google Analytics). Alternativen zu Diensten Dritter sind bspw. Logfile-Analysen des Webseitenbetreibers oder lokal installierte Analysewerkzeuge ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg.
Laut Erwägungsgründen der DSGVO kann Werbung zwar ein berechtigtes Interesse des Webseitenbetreibers darstellen, die Anforderungen an ein berechtigtes Interesse dürften hier aber deutlich höher sein. Auch die dt. Datenschutzbehörden sehen dies eher restriktiv. Sie vertreten insbesondere die Auffassung, dass auch der Betreiber einer Website nicht beliebig personenbezogene Daten des Nutzers ohne Einwilligung zu Werbezwecken zusammenführen darf.
4.2. Cookies von eingebundenen Diensten (Facebook, Google, etc.)- Third-Party-Cookies
Noch problematischer wird das Setzen von Cookies, wenn es sich um sog. Third-Party-Cookies handelt, die das Nutzerverhalten über Website- und Geräte-Grenzen hinweg verfolgen und zusammenfassen. Dies gilt insbesondere bei der Einbindung von Social-Media-Plugins und Werbenetzwerken.
Problematisch ist in dieser Konstellation, dass personenbezogene Daten (wie bspw. die IP-Adresse des Nutzers) von Dritten verwendet, ausgewertet und häufig für übergreifende Nutzerprofile verwendet werden.
Auch hier muss einzelfallbezogen geprüft werden, zu welchem Zweck das Cookie gesetzt wird, welche Daten erhoben werden und wer die Daten bekommt. Die dt. Aufsichtsbehörden zeigen die Tendenz danach zu fragen, ob es mildere Mittel gab, den Zweck zu erreichen. So wäre bspw. die Verwendung von Analysetools, bei denen die Daten lokal auf dem Server des Webseitenbetreibers gespeichert werden, gegenüber Analysetools, bei denen die Daten von Dritten (wie Google) gespeichert werden, zu bevorzugen.
Soweit Cookies Dritter zu Werbezwecken (Remarketing) gesetzt werden, vertreten die dt. Aufsichtsbehörden die Auffassung, dass eine ausdrückliche Einwilligung des Nutzers eingeholt werden muss.
Die Landesbeauftragte für den Datenschutz in Niedersachen erteilt der Einbindung von Remarketing-Technologien von Google ohne Einwilligung eine klare Absage, weil der Nutzer üblicherweise nicht erwarte, dass die Informationen, welche Internetseite er besucht, an Google weitergegeben werde. Vor dem Hintergrund, dass Google die Daten zudem zu eigenen Zwecken verwende, seien die Folgen und Risiken für den Nutzer nicht einschätzbar. Dies betreffe insbesondere das Risiko bei Nutzung anderer Geräte wieder erkannt und von Werbeanzeigen „verfolgt“ zu werden. Darüber hinaus gäbe es für den Nutzer kaum Interventionsmöglichkeiten und die Verkettung von Informationen erfolge nicht nur intern, sondern über Kooperationspartner und Werbekunden.
Besondere Brisanz erfährt die Thematik zusätzlich, wenn der Cookie-Anbieter außerhalb der EU sitzt, da die Datenübermittlung in Drittländer laut DSGVO an besondere Voraussetzungen geknüpft ist.
Rechtsprechung zu dieser Rechtsauffassung gibt es allerdings (noch) nicht.
Im Ergebnis stellt das Setzen von sog. Third-Party-Cookies (insbesondere zu Werbezwecken) ein erhebliches Risiko dar, das letztendlich nur durch Einholung einer informierten und ausdrücklichen Einwilligung ausgeräumt werden kann. Indiz für ein Einwilligungs-Erfordernis ist der Umstand, dass eine Internetseite auch ohne das verwendete Cookie fehlerfrei angezeigt werden kann. In diesem Fall dürfte es grundsätzlich an dem Erfordernis des verwendeten Cookies fehlen.
Unabhängig von der Frage, ob und auf welcher Rechtsgrundlage Cookies gesetzt werden dürfen, sollte der Webseitenbetreiber darüber hinaus nicht seine ihm obliegenden Informationspflichten vergessen. Über die Verwendung von Cookies (ach technisch notwendigen Cookies) ist also auf der Internetseite zu informieren.
4.3. Benötige ich ein Cookie-Banner?
Die in der Praxis genutzten Cookie-Banner sind in der Regel aus datenschutzrechtlichen Aspekten überflüssig. Ist die Verwendung von Cookies ohne Einwilligung des Nutzers erlaubt, weil ein berechtigtes Interesse oder eine andere Rechtsgrundlage greift, kann auch im Rahmen der Datenschutzerklärung /dem Datenschutzhinweis über die Datenverarbeitung informiert werden. Ein Banner / Pop –up ist in diesem Fall schlicht überflüssig und eher lästig.
Wird eine Einwilligung in die Datenverarbeitung benötigt, kann über ein Cookie-Banner die Einwilligung eingeholt werden. Sinn macht dies aber nur, wenn erst nach erteilter Einwilligung Daten verarbeitet werden. Greifen die Cookies schon beim Aufruf der Internetseite Daten ab, macht ein Cookie-Banner keinen Sinn mehr.
Der einzige Grund, warum derzeit nahezu jede Internetseite Cookie-Banner vorhält, ist wohl eher dem Umstand geschuldet, dass Unternehmen wie Google Cookie-Banner und Einwilligungserklärungen über die Nutzungsbedingungen / AGB ihrer Tools vom Verwender fordern. Die Pflicht ergibt sich damit also aus dem Vertragsverhältnis zwischen Webseitenbetreiber und genutztem Dienst.
Datenschutzrechtlich macht ein Einwilligungs-Banner allerdings keinen Sinn, wenn schon vor der erteilten Einwilligung Daten übermittelt oder gespeichert werden.
4.4. Was sagt der EuGH zu Cookies?
Der EuGH hat einigen Fragen bereits Stellung genommen. Zur Frage, ob Cookies Dritter (zu Analyse- und / oder Werbezwecken) auf ein berechtigtes Interesse oder nur auf eine Einwilligung gestützt werden können, hat er jedoch keine Stellung genommen und müsste ohnehin einzelfallbezogen geklärt werden. Geklärt ist derzeit nur, dass
- eine vorangekreuzte Checkbox keine wirksame Einwilligung im Sinne der DSGVO ist, weil die Einwilligung ein aktives Tun des Nutzers voraussetzt;
- der Nutzer bei der Verwendung von Cookies über die Identität des Verantwortlichen, die Zwecke der Datenverarbeitung, die Empfänger der Daten, die Funktionsdauer der Cookies und Zugriffe Dritter auf Cookies informiert werden muss.
4.5. Fazit
Rechtssicherheit gibt es nur im Hinblick auf zwingend erforderliche Cookies. Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. b und f DGSVO.
Im Übrigen muss eine einzelfallbezogene Prüfung stattfinden. Je geringer die Eingriffsintensität (bspw. durch Pseudonymisierung , Transparenz, Erforderlichkeit zur Erreichung des Zwecks etc.) desto eher kann ein berechtigtes Interesse begründet werden.
Bei Remarketing-Maßnahmen ist derzeit von dem Erfordernis einer Einwilligung auszugehen. Die Frage, ob ein berechtigtes Interesse vorliegt, ist aber unter Berücksichtigung aller einzelfallbezogenen Umstände zu prüfen.
4.6. Handlungsempfehlung
Aufgrund der Vorgenannten Probleme möchte ich folgende Handlungsempfehlungen geben:
1. Analysieren Sie die von Ihnen verwendeten Cookies.
2. Prüfen Sie welche Cookies wirklich notwendig sind. Löschen Sie nicht notwendige Cookies.
3. Sorgen Sie dafür, dass nur die erforderlichen pb. Daten über das Cookie erhoben werden.
4. Löschen Sie diese Daten, wenn der Verwendungszweck entfallen ist und keine Rechtsgrundlage zur Speicherung der Daten greift.
5. Nutzen Sie nach Möglichkeit zu Analysezwecken lokal installierte Analysewerkzeuge (bspw. Matomo).
6. Wählen Sie bei derartigen Werkzeugen datenschutzfreundliche Voreinstellungen.
7. Holen Sie bei der Verwendung von nicht notwendigen Cookies, insbesondere bei der Einbindung Dritter, eine informierte und transparente Einwilligung des Nutzers ein.
8. Prüfen Sie bei der Einbindung Dritter, ob ein Auftragsverarbeitungsvertrag oder ein sog. Joint-Controller-Vertrag zu schließen ist.
9. Ermöglichen Sie dem Nutzer den Widerspruch gegen die Datenverarbeitung (Opt-Out).
10. Ermöglichen Sie dem Nutzer den Widerruf von erteilten Einwilligungen.
11. Informieren Sie ausführlich und leicht verständlich über die Datenverarbeitung (insbesondere auch im Hinblick auf First- und Third-Party-Cookies).
Veröffentlicht am 15. November 2019
Rechtsanwältin Nina Hiddemann
Fachanwältin für IT-Recht aus Köln, schreibt an dieser Stelle regelmäßig über Themen aus den Bereichen Urheberrecht, Vertragsrecht und IT-Recht.