Seit Jahren müssen sich Websitebetreiber mit Cookies auseinandersetzen. Dabei treffen sie unweigerlich auf verschiedene Fragen: Welche darf man nutzen? Wann benötigt man eine Einwilligung? Braucht es ein Cookie-Banner? Wie wird es gestaltet? Wie muss man über Cookies informieren? Spätestens seit dem EuGH-Urteil zu 'Planet49'
wird die Beantwortung dieser Fragen immer wichtiger - auch angesichts eines weiteren bevorstehenden Urteils und einer geplanten Gesetzesänderung. Was bei der konkreten Umsetzung der rechtlichen und marketingrelevanten Anforderungen bei der Nutzung von Cookies jetzt und in Zukunft zu beachten ist:
Welche Cookies darf man nutzen?
Mithilfe von Cookies können Besucher wiedererkannt werden, indem Daten mit einem Kennwert auf dem eigenen Gerät gespeichert werden. Diese Cookies haben dann einen Personenbezug und benötigen zu ihrer Nutzung eine Rechtsgrundlage. Dies gilt auch für ähnliche Technologien wie Tracking-Tools, mit denen ein Besucher und sein Verhalten erkannt wird.
First Party-Cookies und technisch erforderliche / notwendige Cookies
Setzt und verwaltet man selbst Cookies auf der eigenen Website, die keine Daten an Dritte weitergeben, handelt es sich um sogenannte First-Party-Cookies. Sie dienen meist grundlegenden Websitefunktionen oder Präferenzen des Nutzers. Sind die Cookies für den Websitebetrieb (technisch) erforderlich, spricht man von notwendigen Cookies. Sie werden etwa für die Anmeldefunktion oder den Warenkorb einer Website benötigt.
Third-Party-Cookies und Weitergabe an Dritte
Cookies, die von anderen Unternehmen und Seiten erzeugt und verwaltet werden und Daten an diese übermitteln, werden Third-Party-Cookies genannt. Das sind etwa Cookies, die von Werbetreibenden zu Marketingzwecken, zur Schaltung personalisierter Werbung oder zur (seitenübergreifenden) Nutzungsanalyse verwendet werden. Mithilfe dieser Cookies können beispielsweise Nutzerprofile erstellt werden.
Rechtsanwältin Kathrin Schürmann
Bild: Schürmann Rosenthal Dreyer
Benötigt man immer eine Einwilligung?
In Deutschland wurde die EPrivacy-Richtlinie, welche eine Einwilligung für alle nicht notwendigen Cookies vorsieht, bisher nicht richtig im Telemediengesetz (TMG) umgesetzt. Aus diesem Grund war die Nutzung von Cookies sehr umstritten. Nach überwiegender Ansicht finden sich die Rechtsgrundlagen für die Nutzung von Cookies mit Personenbezug aktuell (noch) in der DSGVO, wozu insbesondere die Einwilligung und das berechtigte Interesse zählen. Welche Rechtsgrundlage man wählt, hängt maßgeblich vom konkreten Cookie, dem Zweck, der Art und dem Umfang der Datenverarbeitung ab.
Notwendige und First-Party-Cookies können häufig auf ein berechtigtes Interesse gestützt werden. Für Third-Party-Cookies und Tracking-Technologien hingegen wird in der Regel eine Einwilligung erforderlich sein, weil durch sie eine umfangreiche Datenverarbeitung und Weitergabe der Daten an Dritte stattfindet.
In Voraussicht auf die zukünftige Rechtslage kann man bereits jetzt empfehlen, sich auf die Einwilligung als zentrale Rechtsgrundlage einzustellen. In diese Richtung gehen alle bisherigen Entscheidungen. Am 28. Mai 2020 wird ein Urteil des BGH zu Cookies erwartet, der dies nach dem EuGH-Urteil zu "Planet49" wohl erneut bekräftigen wird. Auch der Gesetzgeber ist nicht untätig: Er möchte das TMG ändern und die Einwilligungspflicht für nicht notwendige Cookies in Deutschland normieren. Und schließlich betonen auch die Datenschutzbehörden regelmäßig, wie eng sie den Anwendungsbereich des berechtigten Interesses auslegen. Viele Aufsichtsbehörden machten zuletzt sogar deutlich, dass sie den Einsatz von Google Analytics nur mit Einwilligung für zulässig erachten.
Checkliste für die Kategorisierung von Cookies
- Speichert der Cookie Daten mit einem Personenbezug?
- Für welchen Zweck wird der Cookie eingesetzt?
- Ist der Cookie technisch für den Betrieb der Website erforderlich, etwa für das Login?
- Wird der Cookie von Dritten gesetzt, etwa für seitenübergreifende Nutzungsanalyse?
- Werden Daten an Dritte weitergegeben?
Braucht man ein Cookie-Banner? Wie muss man über Cookies informieren?
Basisinformationen im Banner
Grundsätzlich braucht jede Website, die Cookies verwendet, ein Cookie-Banner. Dieses muss die Basisinformationen über die verwendeten Cookies bereithalten. Dazu zählen die Arten der genutzten Cookies und ihre Zwecke, also wofür mithilfe der Cookies Besucherdaten verarbeitet werden. Für weitergehende Informationen sollte etwa auf die Datenschutzerklärung verlinkt werden. Besonders wichtig wird das Banner jedoch, wenn darüber eine Einwilligung eingeholt wird. Dann muss es darüber informieren, dass die Einwilligung freiwillig und jederzeit widerrufbar ist.
Zusätzliche Informationen in der Datenschutzerklärung
Neben diesen Informationen muss in der Datenschutzerklärung detailliert über Cookies aufgeklärt werden. Dabei gelten dieselben Informationspflichten wie auch bei anderen Datenverarbeitungen nach der DSGVO. Hervorzuheben ist jedoch, dass bei Cookies insbesondere über die Speicherdauer der einzelnen Cookies und die Weitergabe an Dritte und die Empfänger der Daten informiert werden muss.
Checkliste für die Informationspflichten
- Wird über die Arten und Zwecke (z. B. Nutzungsanalyse, Personalisierung, Marketing) der Cookies informiert?
- Verweist das Banner zu Detailinformationen (z. B. Link zu Datenschutzerklärung)?
- Wird mitgeteilt, wenn die Daten an Dritte weitergegeben werden?
- Stellt das Banner klar, dass eine Einwilligung freiwillig und widerrufbar ist?
- Wird über die Speicherdauer der Cookies informiert?
Wie gestaltet man ein Cookie-Banner?
Bei der konkreten Gestaltung eines Cookie-Banners mit Einwilligung besteht durchaus Spielraum, um den Bedürfnissen des Marketings und des Websitebetreibers gerecht zu werden.
Einwilligung: Die freie Wahl ermöglichen
Damit die Zustimmung freiwillig ist, muss die Möglichkeit bestehen, die Nutzung der Cookies zu erlauben oder sie abzulehnen. Das könnte beispielsweise so aussehen: Den Button zur Zustimmung aller Cookies könnte man farbig gestalten, um ihn hervorzuheben. Daneben könnte man einen Button anbieten, der die individuelle Auswahl der Kategorien von Cookies ermöglicht, denen man zustimmen möchte. Dort wäre auch, wenn man keine Auswahl trifft, das Ablehnen aller Cookies möglich. Es sollte bei der konkreten Ausgestaltung darauf geachtet werden, dass der Besucher die freie Wahl zwischen Zustimmen und Ablehnen behält und es ihm nicht unnötig kompliziert gemacht wird.
Technische Voraussetzungen
Auf technischer Ebene muss man dafür sorgen, dass die (ausgewählten) Cookies erst gesetzt werden, wenn der Besucher zugestimmt hat. Davor dürfen nur die notwendigen Cookies genutzt werden. Das bedeutet: auch wenn der Nutzer keine Entscheidung trifft, dürfen keine optionalen Cookies verwendet werden. Darüber hinaus darf das Cookie-Banner nicht die Links zum Impressum oder zur Datenschutzerklärung verdecken.
Textlänge
Außerdem muss man bei der Gestaltung des Banners darauf achten, dass man die unterschiedlichen Endgeräte der Besucher berücksichtigt. Zu lange Texte im Banner ermüden schnell und nerven erst recht, wenn sie den halben Bildschirm, etwa auf einem Smartphone, einnehmen. Darum gilt es, einen gelungenen Kompromiss aus nötigen Informationen im Text und der Textlänge zu finden.
Checkliste zur Ausgestaltung des Cookie-Banners
- Können sich die Nutzer frei zwischen Zustimmen und Ablehnen entscheiden?
- Werden die optionalen Cookies erst gesetzt, nachdem der Nutzer zugestimmt hat?
- Bleiben trotz des Cookie-Banners Impressum und Datenschutzerklärung erreichbar?
- Hat das Cookie-Banner eine angemessene Textlänge auf unterschiedlichen Endgeräten?
Bereit für die Zukunft?
Wer sich jetzt bereits auf die künftige Rechtslage vorbereitet und eine rechtskonforme Lösung zur Nutzung von Cookies mit Einwilligung entwickelt, muss sich nicht um das bevorstehende Urteil des BGH oder die Änderung des TMG sorgen. Die Einwilligung zur Nutzung von Cookies kann rechtskonform sein und zugleich die Interessen von Marketing und Websitebetreiber angemessen berücksichtigen. Ist Ihre Website bereit für die Zukunft? Falls nicht, dann ist es höchste Zeit, das zu ändern!
Zur Autorin: Kathrin Schürmann ist Rechtsanwältin und Partnerin bei der Tech-Kanzlei Schürmann Rosenthal Dreyer
und spezialisiert auf das digitale Business. Ihre Schwerpunkte sind Datenschutz & Wettbewerbsrecht, ihr Fokus unter anderem KI, Big Data und Kundenbindung.