Die Rechtslage zu Cookies und den Informationspflichten von Webseitenbetreibern ist mehr als verwirrend. Neueste Urteile schaffen etwas Klarheit. Trotzdem bleiben Unsicherheiten. Folgender Leitfaden gibt praktische Hinweise für die Gestaltung von Cookie-Bannern und Datenschutzerklärungen.
Stand: September 2020
Webseiten-Betreiber möchten das Verhalten ihrer Nutzer auswerten, um die Seiten sicher zu gestalten und die Inhalte zu optimieren. Allerdings ist es häufig dazu nötig, Daten über die Nutzer zum Beispiel in Cookies zu speichern und zu verarbeiten, wodurch Konflikte mit dem Datenschutz vorprogrammiert sind.
Welche Cookies gibt es?
Cookies sind Textinformationen, die beim Aufruf von Webseiten im HTTP-Header übertragen werden. Cookies werden vom Browser auf dem Gerät des Anwenders gespeichert und der aufgerufenen Domain zugeordnet. Beim nächsten Abruf einer Seite dieser Domain werden die gesetzten Cookies wieder an den Server übertragen. Auf diese Weise kann der Server einen Browser eindeutig wieder erkennen oder individuelle Einstellungen des Nutzers speichern.
Session-Cookies
Sogenannte Session-Cookies werden für die Dauer einer Browser-Sitzung gespeichert. Beim Beenden des Browsers werden diese Cookies automatisch gelöscht. Sie sind sinnvoll, um Bewegungen eines Nutzers innerhalb einer Webseite nachzuvollziehen oder dem Browser eine Nutzernummer zuzuordnen, wenn der Nutzer bei der Webseite eingeloggt ist.
Dauerhafte Cookies
Die Session-Cookies können auch für eine längere Zeit gespeichert werden, nachdem der Browser geschlossen wurde. Beim nächsten Aufruf erkennt der Server den Browser wieder. Der Server gibt dem Browser vor, wie lange das Cookie gespeichert werden soll.
Tracking-Cookies
Sowohl Session-Cookies als auch dauerhafte Cookies können dazu genutzt werden, das Verhalten des Nutzers nachzuvollziehen (zu „tracken“). Im Cookie wird eine eindeutige Nummer abgelegt, die auf dem Server bei jedem Aufruf zusammen mit der abgerufenen URL und weiteren Parametern geloggt wird. Aus diesen Daten lassen sich Bewegungsprofile erstellen.
Cookies von Drittanbietern
Webseiten binden häufig Anwendungen oder Code von Dritten ein. Typische Beispiele für solche Funktionen sind:
- Videos von Youtube
- Like-Buttons von Facebook
- Kommentare von Disqus
- Statistikanwendungen von Google Analytics
Technisch erfolgt die Einbindung in den HTML-Code der Webseite mittels Javascript, Frames oder Einbettungen. Bei diesen Einbindungen können die Drittanbieter wie Youtube, Facebook oder Disqus ihre Cookies verarbeiten. Damit können Nutzer wiedererkannt und ihr Verhalten über das gesamte Internet nachvollzogen werden. Aus datenschutzrechtlicher Sicht sind Drittanbieter-Cookies daher problematisch.
Cookie-Ähnliche Lösungen
Cookies sind die häufigste Art, die Nutzer innerhalb einer Session oder über längere Zeiträume wieder zu erkennen. Technisch kann derselbe Effekt über andere Lösungen erreicht werden. Beispiele sind: Tracking-Pixel, Webstorage-Dateien, Websessions, Fingerprinting. Der Einsatz dieser Techniken ist rechtlich grundsätzlich ähnlich wie Cookies zu beurteilen. Daher gelten die folgenden Ausführungen analog auch für diese. Die Cookie-Regeln gelten unabhängig von der eingesetzten technischen Lösung und können nicht durch andere Techniken umgangen werden.
Welche Regelungen gelten?
Je nachdem, ob der Webseitenbetreiber als Privater, Diensteanbieter, Telediensteanbieter Telemedienanbieter oder Rundfunkanbieter einzuordnen ist, gelten in Deutschland theoretisch verschiedene Gesetze. Im Regelfall jedoch kommen für eine Webseite folgende Regelungen zur Anwendung:
1) Art. 6 Datenschutzgrundverordnung
Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur unter bestimmten Bedingungen erlaubt. Soweit personenbezogene Daten mit Cookies verknüpft werden oder das individuelle Verhalten von Personen nachvollzogen wird, sind die Regelungen des Datenschutzes anwendbar.
Bei Cookies kommen zum einen die Erlaubnis der Besucher der Webseite und zum anderen das berechtigte Interesse des Webseitenbetreibers als rechtmäßiger Grund zur Datenverarbeitung in Frage. Die Datenschutzgrundverordnung gilt im Prinzip für alle Webseiten, unabhängig davon, ob sie kommerziell sind.
2) § 15 Abs. 3 Telemediengesetz
Bei der Erstellung von Nutzungsprofilen zum Zwecke der Marktforschung oder Werbung gilt zudem § 15 Abs. 3 TMG, der von kommerziellen Webseiten zu beachten ist. Überwiegend wird angenommen, dass die Schaltung von Werbung bereits ausreicht, um eine kommerzielle Tätigkeit zu bejahen.
Nach dieser Vorschrift dürfen Nutzungsprofile zu Marktforschungszwecken unter Verwendung von Pseudonymen erstellt werden. Der Bundesgerichtshof hat jüngst geklärt, dass die Erstellung von Nutzungsprofilen nur erlaubt ist, wenn der Nutzer zuvor eindeutig eingewilligt hat. Die Nutzung voreingestellter Zustimmungen (Opt-Out-Regelung) ist nicht rechtmäßig.
Diese Regelung ist für Cookies und ähnliche Instrumente bedeutsam, die für die Erstellung von Nutzungsprofilen zum Zwecke der Marktforschung oder Werbung genutzt werden können.
3) Die sogenannte Cookie-Richtlinie
Der Europäische Gesetzgeber hat im Jahr 2002 mit Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG eine besondere Regelung geschaffen, nach der der Zugriff auf Informationen, die in Endgeräten gespeichert werden, nur nach Aufklärung darüber erfolgen darf. Damit wollte der Gesetzgeber sicherstellen, dass die Privatsphäre der Nutzer vor Spyware oder ähnlichen Instrumenten geschützt wird. Ausgenommen sind nach Satz 2 technisch erforderliche Speicherungen.
Entscheidend für Cookies ist die Erwägung 25 der Richtlinie: „Solche Instrumente, z. B. so genannte “Cookies”, können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. “Cookies”, einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie 95/46/EG klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen.“
Diese Regelung gilt für alle dauerhaft gespeicherten Cookies, unabhängig davon, welche Informationen gespeichert werden. Hinweis: die Regelung der Richtlinie wurde nicht ausdrücklich in deutsches Recht umgesetzt. Sie ist jedoch bei der Auslegung von bestehenden Regeln zu beachten und daher im Zusammenhang mit den beiden anderen Regelwerken von Bedeutung.
Faustregeln für Cookies
Diese Faustregeln gelten für die meisten Webseiten. Im Einzelfall kann zwar mehr oder weniger gefordert sein, was von der wirtschaftlichen Tätigkeit des Webseitenbetreibers abhängt. Die Ausarbeitung von Spezialfällen würde diesen Artikel jedoch sprengen.
Gestaltungsoptionen für verschiedene Cookie-Typen
Was bedeuten die Faustregeln für die vier verschiedenen Cookie-Typen, die wir oben bestimmt haben?
Session-Cookies
Reine Session-Cookies, die keinen individuellen Bezug zu den Nutzern herstellen und nicht für Nutzungsprofile verwendet werden, können ohne Zustimmung eingesetzt werden. Es ist schon fraglich, ob der Webbrowser das Cookie überhaupt auf der Festplatte ablegt. Jedenfalls wird das Cookie nach der Sitzung wieder entfernt, was keine Speicherung im Sinne der Bestimmungen darstellen sollte.
Über den Einsatz des Cookies sollte in der Datenschutzerklärung informiert werden, damit der Nutzer aufgeklärt wird und gegebenenfalls die Löschung des Cookies überprüfen kann. Dies gilt insbesondere, wenn die Sitzungsdaten zusammen mit weiteren personenbezogenen Daten wie etwa der IP-Adresse erfasst werden.
Webseitenbetreiber sollten sich überlegen, ob sie überhaupt Session-Cookies benötigen. Elegant wäre es, ganz darauf zu verzichten. Für eine zuverlässige Nutzerstatistik könnten möglicherweise JavaScript-Lösungen helfen, die keine Informationen auf dem Endgerät speichern, sondern nur in der aktiven Webseite enthaltene Sitzungskennungen verwenden.
Wenn hingegen eine Personalisierung zum Beispiel durch eine Nutzerregistrierung vorgesehen ist, wird das Session-Cookie oft schon für alle Nutzer gesetzt (insbesondere ist die technisch bei PHP-Anwendungen wie WordPress kaum zu vermeiden). In diesen Fällen wird ein Einsatz von Session-Cookies als technisch erforderlich anzusehen sein.
Dauerhafte Cookies
Länger auf dem Endgerät gespeicherte Cookies mit Sitzungsinformationen sind sinnvoll, um Nutzer wiederzuerkennen und „Uniques“ statistisch richtig zu erfassen. Auch können Nutzer auf der Webseite dauerhaft eingeloggt bleiben oder im Kommentarbereich wiedererkannt werden. Warenkörbe in Shops bleiben gefüllt, auch wenn der Nutzer die Seite schließt.
Wichtig ist, in jedem Fall transparent über die Speicherung und die Dauer zu informieren, während man die notwendige Einwilligung des Nutzers einholt. Bei der Ablage des ersten Produkts im Warenkorb könnte beispielsweise in diesem Moment eine Abfrage (per Popup-Dialog) erfolgen, ob der Warenkorb dauerhaft für eine Woche gespeichert werden soll.
Beim Einloggen kann ein nicht voreingestelltes Ankreuzfeld die Auswahl ermöglichen, beispielsweise für zumindest zwei Wochen im Nutzerbereich eingeloggt zu bleiben. Auf die Datenschutzerklärung kann hierbei nochmals per Link hingewiesen werden.
Tipp: Aus Sicherheitsgründen sollte es vermieden werden, mehr als die Session-ID im Cookie abzulegen. Die damit verbundenen Daten sollten auf dem Server bleiben. Das Cookie sollte auf „SameSite“ gesetzt werden, so dass es nur von dem setzenden Server abgerufen werden kann. Zu den Einstellung siehe Mozilla-Security-Guide. Es sollte sichergestellt werden, dass beim ausloggen alle Daten im Cookie auf Null gesetzt werden und die Speicherfrist auf gestern.
Tracking Cookies
Problematisch sind Tracking-Cookies, die gespeichert bleiben und serverseitig mit Nutzerdaten verknüpft werden. Die Erstellung von Nutzerprofilen ist niemals für die Funktionsweise einer Webseite notwendig. Die oft eingesetzten Cookie-Banner sind hier nicht wirklich hilfreich, um ein Einverständnis der Nutzer einzuholen.
Zum einen werden die Nutzer oft nicht wirklich transparent aufgeklärt, dass und wie Bewegungsprofile einzelner Nutzer erstellt werden sollen. Zum anderen werden die Voreinstellungen so gewählt, dass der von den Bannern genervte Nutzer mit einem Klick auf einen optisch hervorgehobenen Button alles akzeptiert. Das wird kaum den Anforderungen einer wissentlichen Einwilligungen gerecht, die der Europäische Gerichtshof verlangt.
Wenn der Default-Button jedoch die Ablehnung aller Tracking-Cookies ist, kann man sich realistischer Weise den Cookie-Banner auch sparen. Wichtig ist in jedem Fall, dass das Cookie nur mit Zustimmung gesetzt wird und nicht schon beim Anzeigen des Banners. Dazu ist eine technisch aufwändige JavaScript-Lösung nötig. Man sollte sich hier nicht auf vorgefertigte Module oder Plugins verlassen, sondern die Wirksamkeit kontrollieren.
Der Einsatz solcher Tracking-Cookies sollte sich vermeiden lassen, außer man ist wirklich an einer umfassenden Marktforschung über die Grenzen der Webseite hinaus interessiert. Die einfachen Session-Cookies genügen in der Regel, um aggregierte Statistiken zu erstellen, die das durchschnittliche Nutzerverhalten innerhalb einer Webseite nachvollziehen.
Cookies von Drittanbietern
Um es kurz zu machen: Cookies, die von Drittanbietern gesetzt werden, um das Verhalten der Nutzer im Internet nachzuvollziehen, sollten durch Ihre Webseite nicht zugelassen werden. Nach der Rechtsprechung des Europäischen Gerichtshofs sind Sie für die Datenverarbeitung der Drittanbieter mit verantwortlich (EuGH, Urteil vom 29.7.2019, C-40/17 – Fashion ID).
Wenn externe Angebote eingebunden werden (Social Plugins, Analyse, Videos) muss man sicherstellen, dass der Anbieter entweder selbst keine Cookies setzt oder dessen Daten nicht für ein Nutzertracking benutzt. Bestimmte Webseiten-Statistik-Applikationen sichern dies zu (wie etwa Matomo). Anderenfalls ist für jeden Einzelfall (z.B. Videos von Youtube, Tracking von Google Analytics, Goolge Adsense) eine Zustimmung des Nutzers mit umfassender Aufklärung erforderlich.
Erschwerend kommt die jüngste Rechtsprechung des Europäischen Gerichtshofs hinzu. Danach ist das Privacy Shield-Abkommen mit den USA nicht europarechtskonform, weil der Datenschutzstandard der EU nicht eingehalten wird (EuGH, Urteil vom 16.7.2020, C-311/18 – Facebook/Schrems).
Damit ist wohl eine Auftragsvereinbarung zur Verarbeitung von europäischen Nutzerdaten mit einem US-Unternehmen nicht mehr machbar. Das Einverständnis des Webseitenbesuchers hilft dann nicht weiter, um die Übertragung der Daten in die USA rechtmäßig zu machen. Davon betroffen sind schon die IP-Adressen der Nutzer, die beim Einbetten von externen Plugins zwangsläufig mitübertragen werden. Auf die Verwendung von Cookies kommt es nicht mehr an.
Viele gängige Dienste sollten daher auf Ihrer Webseite möglichst nicht mehr eingebunden werden. Stellen Sie sicher, dass die Cookies und IP-Adressen der Nutzer in Europa bleiben. Dann können Sie mit deutlich auf die einzelnen Dienste hinweisenden Einwilligungen solche Dienste einbinden. Die Plugins dürfen aber erst nach der Einwilligung aktiviert werden.
Ausblick
Momentan wird die neue ePrivacy-Verordnung der EU erarbeitet, die möglicherweise in 2021 in Kraft treten wird. Damit könnte es für Cookies mehr Rechtssicherheit und hoffentlich Erleichterungen geben.
Bis dahin sind viele der nervigen Cookie-Banner entweder überflüssig oder schlimmstenfalls rechtswidrig. Datenschutzrechtlich gilt beim Einsatz von Cookies: weniger ist besser.
Zu merken ist: In jedem Fall ist beim Einsatz von Cookies eine Datenschutzerklärung nötig. Bei manchen Cookies ist zudem ein Einverständnis der Nutzer erforderlich.