Haben Sie Fragen?
 0251 149891-0

Cookies rechtssicher einsetzen - so geht's!

RA Johannes Meibers, LL.M.

Die Diskussion rund um Cookies, Einwilligung etc. erfährt seit der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) immer mehr mediale Präsenz. Nicht zuletzt die immer häufiger aufpoppenden Cookie-Banner, die den Nutzer am ungestörten Surfen hindern, machen das Thema gefühlt omnipräsent.

Spätestens seit sich auch der Gerichtshof der Europäischen Union (EuGH, Urteil vom 01.10.2019 - C-673/17) und der Bundesgerichtshof (BGH, Urteil vom 28.05.2020 - I ZR 7/16) zu Fragen im Zusammenhang mit Cookies und Einwilligungen geäußert haben, ist es an der Zeit, dass sich Betreiber von Websites und Shops intensiv mit diesen Themen befassen.

Auf die dringendsten Fragen zum rechtssicheren Umgang mit Cookies geben wir hier die Antworten.

Was sind Cookies?

Cookies sind kleine Textdateien, die mittels Browser auf dem Endgerät des Nutzers einer Website oder eines Shops gespeichert werden können. Sie enthalten Informationen über den Besuch einer Website oder eines Shops, wie beispielsweise die Dauer des Besuchs oder die Eingaben des Nutzers. Beim erneuten Aufruf der Website oder des Shops durch den Nutzer, können diese Cookies wieder abgerufen und so auf die darin gespeicherten Informationen zurückgegriffen werden.

Cookies können durch die Betreiber von Websites und Shops (sogenannte first-party-cookies) und Dritte bzw. externe Dienste (sogenannte third-party-cookies) eingesetzt werden.

Auch wenn häufig nur von Cookies die Rede ist, gehen wir davon aus, dass die rechtlichen Vorgaben für den Einsatz von Cookies auch auf ähnliche Technologien zu übertragen sind. Gemeint sind damit insbesondere Tracking-Pixel, Web-Beacons etc.

Wann ist eine Einwilligung des Nutzers erforderlich?

Eine Einwilligung des Nutzers für den Einsatz von Cookies ist grundsätzlich dann erforderlich, wenn sogenannte nicht notwendige Cookies zum Einsatz kommen. Werden ausschließlich notwendige Cookies eingesetzt, ist eine Einwilligung des Nutzers nicht erforderlich.

Notwendig sind Cookies dann, wenn sie für den Besuch der Website oder des Shops (technisch) unbedingt erforderlich sind. In diesem Fall spricht man auch von essenziellen Cookies. Eine klare Abgrenzung, welche Cookies im Einzelnen notwendig sind und welche nicht, gibt es allerdings nicht. Juristisch ausgedrückt sind Cookies immer dann notwendig,

wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Legt man dies zugrunde, kann man guten Gewissens davon ausgehen, dass insbesondere Cookies als notwendig eingestuft werden können, die die folgenden Informationen eines Nutzers speichern:

  • Login-Status
  • Sprachauswahl
  • Cookie-Einwilligung
  • Warenkorb
  • Formulareingaben

Nicht notwendig sind im Umkehrschluss solche Cookies, die gerade nicht für den Besuch einer Website oder eines Shops unbedingt erforderlich sind. Typischerweise sind dies Cookies, die dazu dienen, Besucherströme auf einer Website oder einem Shops zu messen oder zu analysieren. Eingesetzt werden solche Cookies insbesondere von Dritten bzw. externen Diensten, die den Betreibern von Websites und Shops Analysefunktionen ermöglichen (Google Analytics etc.).

Insbesondere, wenn Cookies dazu eingesetzt werden, Profile über das Verhalten von Nutzern über eine Website oder einen Shop hinaus anzulegen, handelt es sich um nicht notwendige Cookies.

Ob ein Cookie notwendig ist oder nicht, entscheidet sich nicht aus Sicht des Betreibers der Website oder des Shops, sondern aus Sicht des Nutzers.
Wie kann die Einwilligung des Nutzers eingeholt werden?

Zum Einholen der Einwilligung des Nutzers für den Einsatz von Cookies haben sich inzwischen sogenannte Consent Tools etabliert. Diese werden auch als Opt-In-Banner oder Consent Manager bezeichnet. Dabei wird der Nutzer über die eingesetzten Cookies informiert und um seine Einwilligung gebeten. Auf unserer Website www.getlaw.de sieht das beispielsweise so aus:

Viele Content Management Systeme (WordPress, Contao, Drupal etc.) oder Website-Baukästen bringen von Haus aus eigene Consent Tools mit. Sofern die rechtlichen Anforderungen an den Umgang mit Cookies dabei erfüllt werden, können Betreiber von Websites und Shops beruhigt auf diese zurückgreifen.

Wir empfehlen unseren Mandanten in der Regel jedoch den Einsatz eines Consent Tools von externen Anbietern. Dies hat folgenden Grund:

Beim Einsatz von Cookies muss insbesondere über den Zweck der Verarbeitung, die Lebensdauer/Funktionsdauer des Cookies und ggf. Empfänger oder Kategorien der Empfänger der Daten informiert werden. Diese Informationen müssen ermittelt, dargestellt und aktuell gehalten werden. Insbesondere bei Cookies von Drittanbietern kann sich das als schwierig gestalten. Consent Tools von externen Anbietern nehmen den Betreibern von Websites und Shops diese Arbeit in der Regel ab. Sie erkennen die eingesetzten Cookies automatisch, bereiten die notwendigen Informationen entsprechend auf und halten diese aktuell.

Es gibt verschiedene Anbieter, die solche Consent Tools anbieten. Nach unserer Auffassung ist der Einsatz eines der folgenden Consent Tools derzeit die rechtlich sicherste Option:

Auf unserer Website www.getlaw.de setzen wir derzeit Cookiebot ein.

Was ist beim Einholen der Einwilligung des Nutzers zu beachten?

Der Nutzer muss seine Einwilligung ausdrücklich, also mit sogenanntem Opt-In, erteilen. Dies kann durch das Setzen eines Häkchens oder durch Klick auf einen Button geschehen.

Auf unserer Website www.getlaw.de kann der Nutzer seine Einwilligung beispielsweise durch einen Klick auf den Button "Alles zulassen" erteilen. Alternativ kann er den Umfang seiner Einwilligung durch Setzen verschiedener Häkchen in Checkboxen (Präferenzen, Statistiken und Marketing) selbst auswählen und anschließend per Klick auf den Button "Auswahl zulassen" seine entsprechende Einwilligung erteilen:

Unzulässig ist es, wenn bereits Checkboxen vorangekreuzt sind und der Nutzer diese abwählen muss, also ein sogenanntes Opt-Out. Ebenso ist es unzulässig, wenn Cookies bereits eingesetzt werden und der Nutzer dies durch Klick auf einen Button erst noch verhindern muss.

Eine Ausnahme hiervon gilt jedoch für notwendige Cookies, da für diese ohnehin keine Einwilligung erforderlich ist. Aus diesem Grund ist im Beispiel unserer Website www.getlaw.de die Checkbox "Notwendig" bereits verpflichtend vorangekreuzt.

Einwilligungsbedürftige Cookies dürfen erst zum Einsatz kommen, wenn der Nutzer hierzu ausdrücklich eingewilligt hat. Daher müssen diese Cookies in technischer Hinsicht so lange unterbunden werden, bis eine Einwilligung erteilt wurde.
Muss für jedes Cookie eine einzelne Einwilligung eingeholt werden?

Nein, nach unserer Auffassung ist das nicht notwendig. Zwar gibt es zu dieser Frage noch keine Rechtsprechung, aber es zeichnet sich ab, dass eine Unterteilung der einwilligungsbedürftigen Cookies in übergeordnete Kategorien zulässig ist. Diese Kategorien können beispielsweise wie folgt lauten:

  • Präferenzen
  • Statistiken
  • Marketing

Auf unserer Website www.getlaw.de kann der Nutzer seine Einwilligung entsprechend für mehrere Cookies in einer dieser Kategorien gesammelt erteilen:

Dem folgend halten wir es derzeit auch für zulässig, wenn der Nutzer seine Einwilligung etwa durch einen Klick auf den Button "Alles zulassen" gesammelt für alle Cookies erteilt.

Wo muss das Consent Tool platziert werden?

Es gibt derzeit keine rechtlichen Vorgaben dazu, wo genau das Consent Tool zum Einholen der Einwilligung platziert werden muss. Auf unserer Website www.getlaw.de haben wir uns beispielsweise dafür entschieden, ein Banner im oberen Bereich der Website einzublenden:

Das Consent Tool darf Links zu anderen rechtlich erforderlichen Informationen (Impressum, Datenschutzerklärung, allgemeine Geschäftsbedingungen, Widerrufsbelehrung etc.) nicht verdecken. Diese Informationen müssen weiterhin direkt zugänglich sein.
Wie muss der Text im Consent Tool lauten?

Der individuelle Wortlaut des Textes im Consent Tool hängt davon ab, wer, wie und in welchem Umfang Cookies einsetzt und Daten verarbeitet. Auf unserer Website www.getlaw.de haben wir uns für folgenden Wortlaut entschieden:

"Bitte wählen Sie aus, in welchem Umfang wir und externe Dienste Cookies und ähnliche Technologien verwenden und die so erhobenen Daten verarbeiten dürfen. Ihre Einwilligungen können Sie unter https://www.getlaw.de/cookie-hinweise/ widerrufen bzw. verwalten. Weitere Informationen hierzu finden Sie auch unter https://www.getlaw.de/datenschutz."

Durch diese Formulierung machen wir gegenüber dem Nutzer folgende wichtige Punkte deutlich:

  • Der Nutzer hat die Wahl, in welchem Umfang er seine Einwilligung erteilen möchte.
  • Sowohl wir als auch externe Dienste verarbeiten Daten.
  • Es werden Cookies und ähnliche Technologien eingesetzt.
  • Wir bitten nicht nur um eine Einwilligung für die Verwendung von Cookies und ähnlichen Technologien, sondern auch für die (anschließende) Verarbeitung der so erhobenen Daten.

Die dann folgenden Hinweise mit Links auf die Cookie-Hinweise und die Datenschutzerklärung sind obligatorisch, um dem Nutzer weiterführende Informationen zu geben.

Wie muss die Option zum Widerruf einer Einwilligung gestaltet werden?

Grundsätzlich gilt: Der Widerruf der Einwilligung muss für den Nutzer so einfach möglich sein, wie zuvor die Erteilung der Einwilligung. Aus diesem Grund haben wir auf unserer Website www.getlaw.de Möglichkeiten zum Ändern und Widerrufen von Einwilligungen vorgesehen. Diese befinden sich auf der Unterseite mit den Cookie-Hinweisen:

Die Option zum Widerruf der Einwilligung kann aber auch in der Datenschutzerklärung oder an einer anderen leicht auffindbaren Stelle auf der Website oder im Shop bereitgestellt werden.

Wie kann die Einwilligung des Nutzers im Zweifel nachgewiesen werden?

Den Nachweis der Einwilligung des Nutzers übernimmt in der Regel das Consent Tool. Bei dem auf unserer Website www.getlaw.de eingesetzten Consent Tool werden beispielsweise zum Nachweis der Einwilligung

  • der Umfang der Einwilligung des Nutzers,
  • eine individuelle ID und
  • der Zeitpunkt der Einwilligung

gespeichert:

Zudem wird ein entsprechendes Cookie auf dem Endgerät des Nutzers platziert:

Da es sich hierbei um ein notwendiges Cookie handelt, ist eine Einwilligung des Nutzers für dieses Cookie nicht erforderlich.

Beim Nachweis der Einwilligung des Nutzers handelt es sich um eine eigenständige Verarbeitungstätigkeit. Daher muss diese ebenfalls in der Datenschutzerklärung entsprechend erwähnt werden.
Welche Informationen müssen über die eingesetzten Cookies erteilt werden?

Zuletzt haben der Gerichtshof der Europäischen Union (EuGH, Urteil vom 01.10.2019 - C-673/17) und der Bundesgerichtshof (BGH, Urteil vom 28.05.2020 - I ZR 7/16) klargestellt, dass dem Nutzer umfangreiche Informationen über die eingesetzten Cookies erteilt werden müssen. Dies soll der Transparenz dienen und dem Nutzer ermöglichen, seine Einwilligung ausreichend informiert zu erteilen. Insbesondere die folgenden Informationen über die eingesetzten Cookies müssen dazu bereitgestellt werden:

  • Identität des Verantwortlichen
  • Zweck der Verarbeitung
  • Lebensdauer/Funktionsdauer des Cookies
  • Empfänger oder Kategorien der Empfänger der Daten

Diese Informationen müssen frühzeitig bereitgestellt werden. Auf unserer Website www.getlaw.de geben wir diese Informationen daher in Kurzform bereits beim ersten Aufruf der Website im Consent Tool:

Ausführliche Erläuterungen zu den eingesetzten Cookies und den damit im Zusammenhang stehenden Verarbeitungstätigkeiten folgen dann auf einer gesonderten Unterseite mit den Cookie-Hinweisen und in der Datenschutzerklärung.

Was droht bei Verstößen?

Verstöße gegen die rechtlichen Vorgaben im Umgang mit Cookies können empfindliche Sanktionen für Betreiber von Websites und Shops zur Folge haben. Es drohen beispielsweise Untersagungen durch die Datenschutz-Aufsichtsbehörden oder sogar Bußgelder.

Nachdem nun auch der Bundesgerichtshof (BGH, Urteil vom 28.05.2020 - I ZR 7/16) hierzu entschieden hat, muss davon ausgegangen werden, dass die Datenschutz-Aufsichtsbehörden verstärkt ein Augenmerk auf die Einhaltung der rechtlichen Vorgaben richten.

Zudem besteht auch beim falschen Umgang mit Cookies das Risiko von Abmahnungen durch Wettbewerber und Nutzer der Website oder des Shops oder sogar durch Verbraucher- & Wettbewerbsverbände.

Über den Autor

Johannes Meibers, LL.M. ist Rechtsanwalt und Fachanwalt für IT-Recht. Als externer Datenschutzbeauftragter unterstützt er zudem Unternehmen beim Aufbau eines professionellen Datenschutzmanagements. www.kanzlei-meibers.de

Zurück