Cookies

Die Umsetzung der EU-Cookie-Richtlinie in Deutschland

„Diese Website verwendet Cookies“ – beim Besuch von Webseiten stoßen Internetnutzer immer häufiger auf solche Hinweise zum Datenschutz. Webseitenbetreiber kommen damit ihrer Pflicht nach, über die Speicherung nutzerrelevanter Daten aufzuklären. Laut der E-Privacy-Richtlinie der EU – allgemein bekannt als „Cookie-Richtlinie“ – ist das Speichern dieser Informationen allerdings nur erlaubt, wenn die User darin einwilligen. Ein sogenanntes Opt-in-Verfahren ist demnach – zumindest bei Tracking-Cookies – obligatorisch. Das hat auch der Europäische Gerichtshof in einem neuerlichen Urteil bestätigt: Nutzer müssen aktiv zustimmen, bevor Cookies gesetzt werden dürfen.

Durch das europaweite Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben sich viele Vorschriften rund um die Speicherung von sensiblen Nutzerdaten innerhalb der EU geändert. Eigentlich sollte die neue e-Privacy-Verordnung, deren Entwurf die EU am 10. Januar 2017 offiziell vorstellte, zeitgleich rechtskräftig werden. Sie ist speziell im Anwendungsbereich von Cookies als detaillierte Ergänzung zur DSGVO geplant, allerdings steht die Entwicklung derzeit still. Das Parlament konnte sich bisher nicht auf einen Entwurf einigen und ein Inkrafttreten ist daher in naher Zukunft nicht abzusehen. Deshalb bleibt die EU-Cookie-Richtlinie weiterhin in Kraft. Doch was ist der aktuelle Stand der Rechtsprechung?

Inhaltsverzeichnis 

  1. BGH-Urteil: Nicht-technische Cookies sind zustimmungspflichtig
  2. Was sind Cookies und welche Daten sammeln sie?
  3. Das besagt die Cookie-Richtlinie der EU
  4. Inhalte der aktuellen EU-Cookie-Richtlinie
  5. Wie Deutschland mit den Vorgaben der EU-Cookie-Richtlinie umgeht
  6. Das wird sich mit der e-Privacy-Verordnung ändern
  7. Cookies und Datenschutz: Was bringt die Zukunft?

BGH-Urteil: Nicht-technische Cookies sind zustimmungspflichtig

In Deutschland hatte die Verbraucherzentrale gegen eine Glückspiel-Website geklagt, auf der die Frage nach dem Setzen von Cookies zwar gestellt, das entsprechende Antwortkästchen aber bereits angekreuzt war. Nutzer mussten also, wollten sie der Speicherung von Cookies entgegenwirken, diese Zustimmung widerrufen – ein Opt-out. Der Europäische Gerichtshof, der hierüber zu entscheiden hatte, hat sich für den Datenschutz ausgesprochen. Es soll ein Opt-in stattfinden. Nutzer müssen also selbst das Häkchen zur Zustimmung setzen können. Außerdem stellte das Gericht erneut fest, dass Nutzer über die verwendeten Cookies informiert werden müssen. Website-Betreiber sollen demnach Informationen liefern, wie lange die Dateien gültig sind und zu welchem Zweck sie gespeichert werden.

Nach einer Revision hat 2020 auch der Bundesgerichtshof sein Urteil zu der Problematik gefällt und den Glücksspielbetreiber für schuldig erklärt:

 Zitat

„Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.“ – Bundesgerichtshof.

Aus dem Gerichtsurteil lässt sich ablesen, dass die Einwilligung der Nutzer aktiv, freiwillig und nach vorheriger Informierung erfolgen muss. Das bedeutet zunächst, dass die Besucher einer Website das Häkchen für die Zustimmung selbst setzen müssen (aktiv). Gleichzeitig darf durch eine fehlende Zustimmung der Besuch der Website nicht unterbunden werden (freiwillig). Und schließlich muss den Besuchern klar sein, wozu sie gerade zustimmen – und zwar deutlich, und nicht in langen Rechtstexten versteckt (informiert). Damit geht nun auch die Justiz gegen sogenannte Dark Patterns vor, bei denen möglichst unklares Webdesign verwendet wird, um Nutzern eine bestimmte Tätigkeit (zum Beispiel die Einwilligung zu Werbe-Cookies) aufzudrängen.

 Hinweis

Das Urteil des Bundesgerichtshofes bezieht sich auf Cookies, die zu Werbezwecken oder zur Markforschung eingesetzt werden. Cookies, die für den technischen Betrieb der Website notwendig sind (beispielsweise für digitale Warenkörbe), sind von der Rechtsprechung nicht betroffen.

Was sind Cookies und welche Daten sammeln sie?

Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten zum Besuch von Websites und erhöhen damit deren Benutzerfreundlichkeit: Zum Beispiel merkt sich Ihr Browser Log-in-Daten und Spracheinstellungen, die Sie dann nicht ständig aufs Neue eingeben müssen. Dem nützlichen Aspekt gegenüber steht die Kritik, dass Cookies mit dem Datenschutz oft nicht vereinbar seien. So werden viele Cookies eingesetzt, um bestimmte Aspekte des Surfverhaltens aufzuzeichnen, worüber z. B. personalisierte Werbung im Browser möglich wird. Vor allem Tracking- und Targeting-Cookies sind Datenschützern häufig ein Dorn im Auge.

Ein Cookie enthält normalerweise eine Angabe über die Lebensdauer der Textdatei sowie eine zufällig generierte Nummer, über die Ihr Computer wiedererkannt wird. In der Regel erfolgt die Datenspeicherung von Cookies anonymisiert. Personenbezogene Daten können nur dann gesammelt werden, wenn die entsprechende Seite ein Log-in erfordert.

 Fakt

Die in einer Textdatei hinterlegten Daten kann allein der Webserver auslesen, der das Cookie gesetzt hat.

Das besagt die Cookie-Richtlinie der EU

In der Europäischen Union soll die Richtlinie 2009/136/EG den Schutz personenbezogener Daten bei Website-Besuchen gewährleisten und stärken. Die 2009 erlassene EU-Cookie-Richtlinie sollte spätestens im Jahr 2011 von allen Mitgliedsstaaten umgesetzt werden – was so allerdings nicht geschah.

Die Cookie-Richtlinie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.

Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Das betrifft alle Cookies, die technisch nicht notwendig für das Funktionieren des Internetangebots sind. Vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Die EU-Richtlinie gibt allerdings nicht vor, wie die genannten Auflagen genau umzusetzen sind. Vor allem hinsichtlich der Einverständniserklärung durch Website-Besucher herrscht Ungewissheit.

Inhalte der aktuellen EU-Cookie-Richtlinie

Die Europäische Union möchte mit der Cookie-Richtlinie die personenbezogenen Daten der Internetnutzer stärker schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:

  1. Technisch notwendige Cookies: Zur notwendigen Datenspeicherung gehören Cookies, die für die Funktionen einer Website zwingend erforderlich sind. Das meint etwa das Speichern von Log-in-Daten, des Warenkorbs oder der Sprachauswahl durch sogenannte Session-Cookies (die beim Schließen des Browsers gelöscht werden).
     
  2. Technisch nicht notwendige Cookies: Als nicht notwendige Cookies werden dagegen Textdateien angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen folgende:
  • Tracking-Cookies, die Daten wie z. B. den Standort von Internetnutzern sammeln
  • Targeting-Cookies, die Werbeanzeigen an den Internetnutzer anpassen
  • Analyse-Cookies, die über das Verhalten von Internetnutzern auf einer Website aufklären
  • Social-Media-Cookies, die eine Website mit Plattformen wie Facebook, Twitter und Co. verknüpfen

Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.

Das ist der Unterschied zwischen Opt-out und Opt-in:

  • Opt-out: Cookies werden von Beginn an gesetzt – die User können der Datenspeicherung erst nachträglich widersprechen.
     
  • Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst, wenn der Nutzer der Datenspeicherung zustimmt.

 Hinweis

Das Urteil des Europäischen Gerichtshofs hat diese klare Unterscheidung ins Wanken gebracht: Laut EuGH gilt die Opt-in-Pflicht auch für nicht personenbezogene Cookies. Ob nun also auch technisch relevanten Cookies zugestimmt werden muss, wird derzeit noch diskutiert.

Wie Deutschland mit den Vorgaben der EU-Cookie-Richtlinie umgeht

In Deutschland wurde die Cookie-Richtlinie bislang nicht eigens mit einem neuen Gesetz umgesetzt. Der Grund: Die Bundesregierung sieht die Richtlinie bereits mit dem deutschen Telemediengesetz (TMG) als erfüllt an. Jedoch deckt das TMG die Forderungen der EU-Richtlinie nicht umfassend ab. Denn viele verstehen die Cookie-Richtlinie der EU als Anordnung einer Opt-in-Pflicht, wogegen das TMG allein eine Opt-out-Variante vorschreibt. Datenschützer kritisieren deshalb die schwache Umsetzung der EU-Richtlinie.

 Fakt

Der Bundesgerichtshof stellte allerdings in seinem Urteil vom Mai 2020 fest, dass das TMG und die EU-Cookies-Richtlinie doch konform seien, und das deutsche Gesetz ebenfalls ein Opt-in verlangen würde. Deutsche Websitebetreiber sollten sich demnach nicht an die alte Auslegung des TMG klammern.

2020 ist ein neues Gesetz ins Gespräch gekommen, das im Dezember 2021 in Kraft getreten ist: Das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) bündelt alle datenschutzrelevanten Gesetze aus Telemediengesetz und Telekommunikationsgesetz, greift das BGH-Urteil auf und setzt gleichzeitig die e-Privacy-Richtline (2002/58/EG) in nationales Recht um. In puncto Cookies ist vor allem der erste Abschnitt des Paragraphs § 25 „Schutz der Privatsphäre bei Endeinrichtungen“ von Interesse:

 Zitat

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“ – Bundesministerium der Justiz

Es ist somit nun vorgeschrieben, dass das Sichern und Zugreifen auf Daten von Internetnutzern erst gestattet ist, wenn diese DSGVO-konform zugestimmt haben. Als Ausnahme gelten Situationen, in denen die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz oder die Einrichtung eines erbetenen Telemediendienstes vorgenommen wird.

Das wird sich mit der e-Privacy-Verordnung ändern

Bisherige Entwürfe der ePrivacy-Verordnung sahen ein Verbot von technisch nicht notwendigen Cookies generell vor, mit der Ausnahme, dass Nutzer deren Verwendung vorher zustimmen. Der Erstentwurf sprach dabei lediglich von Webanwendungen. Die Version vom 22. März 2018 schließt jede Art der maschinengestützten Kommunikation ein, also beispielsweise Apps, E-Mail und die Erhebung von Metadaten bei VoIP-Telefonaten. Das betrifft auch die Kommunikation zwischen zwei Maschinen, sogenannte M2M-Kommunikation.

Die ePrivacy-Verordnung sollte auch internationale Anbieter von Kommunikationsservices interessieren. Denn die Verordnung schreibt vor, dass die Regelungen Anwendung finden, sobald sich ein Endgerät innerhalb der EU-Grenzen befindet. Dabei ist es unerheblich, wo die Datenverarbeitung eines angesteuerten Dienstes stattfindet.

Der Datenschutz in den USA ist beispielsweise weniger streng ausgelegt. Da der Anwendungsbereich der ePrivacy-Verordnung gilt, sobald ein Endgerät in Europa auf Kommunikationsdienste zugreift, werden amerikanische Unternehmen überlegen müssen, ob Sie Ihre Angebote in Bezug auf Cookies für Europa lokalisieren und somit weniger zielgerichtete Werbung schalten können oder ob sie Kunden möglicherweise mit einer „Bezahlschranke“ konfrontieren.

Der Erstentwurf der ePrivacy-Verordnung verlangte, dass in den Browser-Einstellungen vom Hersteller generell die höchste Privatsphärenstufe voreingestellt sein sollte. In dieser akzeptiert der Browser keine Cookies von Dritten. Somit würden die aktuell viel genutzten Cookie-Banner wegfallen, da sich User bei jeder Software-Installation aktiv dafür entscheiden müssten, Cookies zu akzeptieren. Diese Vorgabe basierte auf dem Prinzip „Privacy by Design“, das bereits in der DSGVO festgeschrieben ist. Ein neuerer Entwurf lockerte allerdings die Regelungen für die Browsereinstellungen. Dies lässt User wieder von Domain zu Domain entscheiden, ob Sie Cookies zulassen.

Das sogenannte Koppelungsverbot schreibt vor, dass die Nutzung einer Website nicht davon abhängig gemacht werden darf, ob User der Verwendung von Cookies zustimmen. Es gibt jedoch berechtigte Zwecke, die notwendige Cookies voraussetzen können. Muss sich ein User beispielsweise beim Onlinebanking authentifizieren oder möchte er den Warenkorb eines Onlineshops nutzen, sind häufig Cookies notwendig. Informieren Website-Betreiber die User klar verständlich über den Zweck, können Einverständnis und Nutzung gekoppelt werden.

Cookies und Datenschutz: Was bringt die Zukunft?

Website-Betreiber sollten die weiteren Entwicklungen rund um die Umsetzung der EU-Cookie-Richtlinie aufmerksam verfolgen – denn die Rechtslage wird sich mit der ePrivacy-Verordnung definitiv ändern, auch wenn noch nicht ganz klar ist, wie streng diese ausfallen wird. Die Datenschutz-Grundverordnung der EU enthält weitere Bestimmungen für die Sicherheit von personenbezogenen Nutzerdaten. Solange die ePrivacy-Verordnung noch nicht rechtskräftig ist, fallen Cookies zumindest unter den Einflussbereich der in Kapitel 1 der DSGVO definierten personenbezogenen Daten – sofern sie Daten erfassen, die einen User auf irgendeine Weise (Kennnummer, Userprofil etc.) identifizierbar machen.

In den letzten Jahren mussten sich deutsche Websites lediglich dann stärker an der Cookie-Richtlinie orientieren, wenn sie beispielsweise Waren ins EU-Ausland über einen Onlineshop verkauften und entsprechende Zielmärkte das EU-Recht strenger auslegten. Die Cookie-Richtlinie in der EU hatte zudem Einfluss auf das sogenannte Retargeting, bei dem Onlinemarketing-Experten versuchen, mithilfe von Tracking-Cookies Käufer zu weiteren Transaktionen zu bewegen.

Doch seit Inkrafttreten der Datenschutz-Grundverordnung in die Gesetzgebung gelten auch hierzulande strengere Regeln für die Verarbeitung personenbezogener Daten. Diese Regelungen genau umzusetzen, wird Website-Betreibern zudem ein gutes Stück Arbeit ersparen, wenn später die „neue Cookie-Richtlinie“ in Form der e-Privacy-Verordnung rechtsgültig wird.

Quelle: ionos.de