Immer wieder gibt es neue Entscheidungen zum Cookie Hinweis auf Webseiten, wodurch viel Verwirrung entsteht. Muss ein Cookie Hinweis auf jede Webseite? Reicht ein Banner oder muss die Einwilligung explizit erfolgen? Wie sollte der Hinweis-Text gestaltet werden, sodass er rechtssicher ist? 

Wozu werden Cookies auf Webseiten verwendet?

“Cookies” speichern Nutzerdaten im Internet und sorgen dadurch für eine angenehme Navigation der Nutzer. Beispielsweise müssen Nutzerdaten nicht bei jedem neuen Aufruf der Seite neu eingegeben werden, sondern sind gespeichert. Andererseits werden sie auch von Webseitenbetreiber für die Direktwerbung eingesetzt. Allgemein gesagt sind “Cookies” Datenpakete mit deren Hilfe Websites Nutzerdaten (Artikel in einem Warenkorb, Spracheinstellungen, Log-in Daten)  lokal und serverseitig speichern, um einzelne Funktionen und Web Anwendungen wie Online Shops, soziale Netzwerke und Foren nutzerfreundlicher gestalten zu können. Neben den technisch notwendigen Cookies setzen Webseitenbetreiber meist technisch nicht notwendige Cookies zur Analyse des Surfverhaltens der Nutzer ein. Auf diese Weise können weitere Nutzerdaten übermittelt werden (eingegebene Suchbegriffe, Häufigkeit von Seitenaufrufen, Inanspruchnahme von Webseiten Funktionen).

Opt-Out Lösung gilt als nicht mehr datenschutzkonform

Bislang war es nach dem Telemediengesetz (§ 15 Abs. 3 TMG) möglich, für technisch nicht notwendige Cookies eine Pseudonymisierung der verarbeiteten personenbezogenen Daten vorzunehmen und den Nutzer über die Verwendung der Cookies und sein Widerspruchs- und Beseitigungsrecht zu informieren („Opt-Out-Lösung“). Jedoch ist seit der Geltung der DSGVO nicht mehr sicher, ob ein einfacher Hinweis auf die Opt-out Lösung noch die personenbezogenen Daten des Nutzers schützt. Denn schon die IP Adresse oder Online Kennung werden zwischenzeitlich als personenbezogen eingestuft, da sie Rückschlüsse auf den Nutzer zulassen können. 

Wir empfehlen: Ausdrückliche Einwilligung zu Cookies

Alle Tracking-Maßnahmen, zu denen auch die Cookies zählen, verfolgen das individuelle Verhalten der Nutzer und erstellen Nutzerprofile. In diesen Fällen verlangen Datenschützer eine datenschutzrechtliche Zustimmung jedes Nutzers. Obwohl die Aussage der DSK (Datenschützer des Bundes und der Länder) lediglich eine Empfehlung darstellt, ist sie dennoch derzeit der einzig rechtssichere Weg bei der Verwendung von Cookies. Denn die bisherige Praxis der Opt-Out Lösung wurde bereits als nicht mehr datenschutzkonform angesehen. Bei Verstößen steht es im Ermessen der Datenschutzbehörde u .U. hohe Geldbußen gegen das Unternehmen zu verhängen. Wir empfehlen daher die ausdrückliche Einwilligung zu Cookies bei den Nutzern einzuholen.

Cookie Banner reicht nicht aus: Einwilligung per ausdrücklicher Zustimmung

Art. 9 des ePrivacy Verordnung Entwurfs setzt die Nutzung von Cookies eine Zustimmung nach den Bedingungen der DSGVO voraus. Das bedeutet, dass künftig der Nutzer seine aktive Zustimmung zur Verwendung von Cookies beim Aufruf einer Webseite geben muss, z.B. durch Voreinstellungen im Browser. Ist die neue ePrivacy-Verordnung mal gültig, dürfen nur noch Cookies, die keine Auswirkungen auf die Privatsphäre des Nutzers haben, ohne seine Einwilligung gesetzt werden. Dazu zählen z. B. Cookies, die die Besucher einer Website zählen. Die große Herausforderung wird sein, den Nutzer bzw. Verbraucher zur Genehmigung der Cookies auf seinem Endgerät zu bewegen. Dabei muss dem Website-Besucher eine echte Auswahl angeboten werden, etwa durch Checkboxes in der Form “Ja, ich bin einverstanden” und “Nein, ich lehne das ab”. Es genügt beispielsweise nicht, wenn der Webseitenbetreiber lediglich die Möglichkeit mittels einer einzelnen Checkbox bietet, Cookies zu akzeptieren und der Nutzer andernfalls die Webseite nicht nutzen darf (sog. “wall”). In einem solchen Fall gilt die Zustimmung nicht als freiwillig erteilt und ist daher aus datenschutzrechtlicher Sicht unwirksam. Wichtig auch, dass der Webseitenbesucher vorab Informationen über die eingesetzten Cookies erhält, so dass er auch in der Lage ist, eine informierte Entscheidung mittels der Checkboxen zu machen.

Höchstrichterlich hat aber nunmehr bereits vorab der der Europäische Gerichtshof in Luxemburg mit Urteil vom 1. Oktober 2019  (Rechtssache C-673/17) entschieden, dass das Setzen von Werbe Cookies ohne die aktive Einwilligung des Internetnutzers unzulässig ist.

Was künftig daher rechtswidrig ist und auch schon vor der Entscheidung des EuGH als datenschutzrechtlich zweifelhaft galt, ist eine nachfolgende Formulierung oder eine Checkbox mit Hinweistext mit voreingestellten Häkchen: “Durch die Nutzung der Website erklären Sie sich mit der Verwendung von Cookies einverstanden”. Dies genügt einer Zustimmung nach der DSGVO nicht, denn danach wird eine “Erklärung oder sonstige eindeutig bestätigende Handlung” verlangt.