Immer wie­der gibt es neue Ent­schei­dun­gen zum Coo­kie Hin­weis auf Web­sei­ten, wodurch viel Ver­wir­rung ent­steht. Muss ein Coo­kie Hin­weis auf jede Web­sei­te? Reicht ein Ban­ner oder muss die Ein­wil­li­gung expli­zit erfol­gen? Wie soll­te der Hin­weis-Text gestal­tet wer­den, sodass er rechts­si­cher ist? 

Wozu wer­den Coo­kies auf Web­sei­ten ver­wen­det?

“Coo­kies” spei­chern Nut­zer­da­ten im Inter­net und sor­gen dadurch für eine ange­neh­me Navi­ga­ti­on der Nut­zer. Bei­spiels­wei­se müs­sen Nut­zer­da­ten nicht bei jedem neu­en Auf­ruf der Sei­te neu ein­ge­ge­ben wer­den, son­dern sind gespei­chert. Ande­rer­seits wer­den sie auch von Web­sei­ten­be­trei­ber für die Direkt­wer­bung ein­ge­setzt. All­ge­mein gesagt sind “Coo­kies” Daten­pa­ke­te mit deren Hil­fe Web­sites Nut­zer­da­ten (Arti­kel in einem Waren­korb, Sprach­ein­stel­lun­gen, Log-in Daten)  lokal und ser­ver­sei­tig spei­chern, um ein­zel­ne Funk­tio­nen und Web Anwen­dun­gen wie Online Shops, sozia­le Netz­wer­ke und Foren nut­zer­freund­li­cher gestal­ten zu kön­nen. Neben den tech­nisch not­wen­di­gen Coo­kies set­zen Web­sei­ten­be­trei­ber meist tech­nisch nicht not­wen­di­ge Coo­kies zur Ana­ly­se des Surf­ver­hal­tens der Nut­zer ein. Auf die­se Wei­se kön­nen wei­te­re Nut­zer­da­ten über­mit­telt wer­den (ein­ge­ge­be­ne Such­be­grif­fe, Häu­fig­keit von Sei­ten­auf­ru­fen, Inan­spruch­nah­me von Web­sei­ten Funk­tio­nen).

Opt-Out Lösung gilt als nicht mehr daten­schutz­kon­form

Bis­lang war es nach dem Tele­me­di­en­ge­setz (§ 15 Abs. 3 TMG) mög­lich, für tech­nisch nicht not­wen­di­ge Coo­kies eine Pseud­ony­mi­sie­rung der ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten vor­zu­neh­men und den Nut­zer über die Ver­wen­dung der Coo­kies und sein Wider­spruchs- und Besei­ti­gungs­recht zu infor­mie­ren („Opt-Out-Lösung“). Jedoch ist seit der Gel­tung der DSGVO nicht mehr sicher, ob ein ein­fa­cher Hin­weis auf die Opt-out Lösung noch die per­so­nen­be­zo­ge­nen Daten des Nut­zers schützt. Denn schon die IP Adres­se oder Online Ken­nung wer­den zwi­schen­zeit­lich als per­so­nen­be­zo­gen ein­ge­stuft, da sie Rück­schlüs­se auf den Nut­zer zulas­sen kön­nen. 

Wir emp­feh­len: Aus­drück­li­che Ein­wil­li­gung zu Coo­kies

Alle Tracking-Maß­nah­men, zu denen auch die Coo­kies zäh­len, ver­fol­gen das indi­vi­du­el­le Ver­hal­ten der Nut­zer und erstel­len Nut­zer­pro­fi­le. In die­sen Fäl­len ver­lan­gen Daten­schüt­zer eine daten­schutz­recht­li­che Zustim­mung jedes Nut­zers. Obwohl die Aus­sa­ge der DSK (Daten­schüt­zer des Bun­des und der Län­der) ledig­lich eine Emp­feh­lung dar­stellt, ist sie den­noch der­zeit der ein­zig rechts­si­che­re Weg bei der Ver­wen­dung von Coo­kies. Denn die bis­he­ri­ge Pra­xis der Opt-Out Lösung wur­de bereits als nicht mehr daten­schutz­kon­form ange­se­hen. Bei Ver­stö­ßen steht es im Ermes­sen der Daten­schutz­be­hör­de u .U. hohe Geld­bu­ßen gegen das Unter­neh­men zu ver­hän­gen. Wir emp­feh­len daher die aus­drück­li­che Ein­wil­li­gung zu Coo­kies bei den Nut­zern ein­zu­ho­len.

Coo­kie Ban­ner reicht nicht aus: Ein­wil­li­gung per aus­drück­li­cher Zustim­mung

Art. 9 des ePri­va­cy Ver­ord­nung Ent­wurfs setzt die Nut­zung von Coo­kies eine Zustim­mung nach den Bedin­gun­gen der DSGVO vor­aus. Das bedeu­tet, dass künf­tig der Nut­zer sei­ne akti­ve Zustim­mung zur Ver­wen­dung von Coo­kies beim Auf­ruf einer Web­sei­te geben muss, z.B. durch Vor­ein­stel­lun­gen im Brow­ser. Ist die neue ePri­va­cy-Ver­ord­nung mal gül­tig, dür­fen nur noch Coo­kies, die kei­ne Aus­wir­kun­gen auf die Pri­vat­sphä­re des Nut­zers haben, ohne sei­ne Ein­wil­li­gung gesetzt wer­den. Dazu zäh­len z. B. Coo­kies, die die Besu­cher einer Web­site zäh­len. Die gro­ße Her­aus­for­de­rung wird sein, den Nut­zer bzw. Ver­brau­cher zur Geneh­mi­gung der Coo­kies auf sei­nem End­ge­rät zu bewe­gen. Dabei muss dem Web­site-Besu­cher eine ech­te Aus­wahl ange­bo­ten wer­den, etwa durch Check­bo­xes in der Form “Ja, ich bin ein­ver­stan­den” und “Nein, ich leh­ne das ab”. Es genügt bei­spiels­wei­se nicht, wenn der Web­sei­ten­be­trei­ber ledig­lich die Mög­lich­keit mit­tels einer ein­zel­nen Check­box bie­tet, Coo­kies zu akzep­tie­ren und der Nut­zer andern­falls die Web­sei­te nicht nut­zen darf (sog. “wall”). In einem sol­chen Fall gilt die Zustim­mung nicht als frei­wil­lig erteilt und ist daher aus daten­schutz­recht­li­cher Sicht unwirk­sam. Wich­tig auch, dass der Web­sei­ten­be­su­cher vor­ab Infor­ma­tio­nen über die ein­ge­setz­ten Coo­kies erhält, so dass er auch in der Lage ist, eine infor­mier­te Ent­schei­dung mit­tels der Check­bo­xen zu machen.

Höchst­rich­ter­lich hat aber nun­mehr bereits vor­ab der der Euro­päi­sche Gerichts­hof in Luxem­burg mit Urteil vom 1. Okto­ber 2019  (Rechts­sa­che C‑673/17) ent­schie­den, dass das Set­zen von Wer­be Coo­kies ohne die akti­ve Ein­wil­li­gung des Inter­net­nut­zers unzu­läs­sig ist.

Was künf­tig daher rechts­wid­rig ist und auch schon vor der Ent­schei­dung des EuGH als daten­schutz­recht­lich zwei­fel­haft galt, ist eine nach­fol­gen­de For­mu­lie­rung oder eine Check­box mit Hin­weis­text mit vor­ein­ge­stell­ten Häk­chen: “Durch die Nut­zung der Web­site erklä­ren Sie sich mit der Ver­wen­dung von Coo­kies ein­ver­stan­den”. Dies genügt einer Zustim­mung nach der DSGVO nicht, denn danach wird eine “Erklä­rung oder sons­ti­ge ein­deu­tig bestä­ti­gen­de Hand­lung” ver­langt.