Einsatz von Cookies … aber wie?

Hintergrund und Zielsetzung

Mit Einführung der DS-GVO schmücken seit einiger Zeit verschiedene so genannte Cookie-Banner viele Webseiten. Die Banner unterscheiden sich vielfältig. Bei den einen reicht es, nur einen Bestätigung-Button zu klicken, bei anderen wird zunächst fast die komplette Webseite verdeckt und es gibt zahllose Einstellmöglichkeiten, die man oft als Laie nicht mehr versteht.

Die Süddeutsche Zeitung hatte bereits im Mai 2020 in Ihrem Bericht „Die Sache mit dem Haken“ über das Urteil des Bundesgerichtshofes informiert, dass viele Cookie-Banner für ungültig erklärt. Hintergrund ist, dass Nutzer ihre Einwilligung zu Cookies aktiv geben müssen. Das erfüllen viele Cookie Banner nicht1.

Ziel dieses Artikels ist es, eine kurze Übersicht über die Anforderungen an Cookie-Banner und ihrem Einsatz zu geben.

Was sind Cookies?

„Ein Cookie (…) ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (…) jeweils zu einer besuchten Webseite (…) gespeichert werden kann.“2

Aber warum werden diese Textdateien geschrieben? Grundsätzlich geht es darum, dass für verschiedene Prozesse im Internet Informationen zwischengespeichert werden müssen. Wenn Sie beispielsweise auf einem Shop einen Artikel in einen Warenkorb legen, dann wird diese Information in einem Cookie gespeichert. Wenn Sie auf dem Shop weiter surfen und andere Angebote ansehen, geht durch diese Information durch die Zwischenspeicherung im Cookie nicht verloren. Weitere Beispiele für den Einsatz von Cookies können Cookies sein, welche die Sicherheit beim Einloggen erhöhen, Session-Cookies, welche die einzelnen Schritte eines Bestellvorgangs sichern oder Cookies, welche die gewählte Sprache einer Seite oder eine Währung speichern3.

Cookies lassen sich einteilen in Dauerhafte oder persistente Cookies und Session Cookies. Während die Session Cookie beim Schließen des Browsers immer gelöscht werden, verbleiben persistente Cookies oft Monate und Jahre auf Ihrem Computer.

Weiter können die Cookies in First Party Cookies, welche nur die Webseite auslesen darf, die sie selbst gesetzt hat und Third Party Cookies (Cookies von Drittanbietern), die z. B. von Werbebannern von Werbeagenturen gesetzt werden. Werden mehrere Webseiten mit dem selben Werbebanner-Cookie von einem Nutzer angesurft, kann die Werbeagentur aus diesem einen Cookie ein Profil über die besuchten Webseiten erstellen und Rückschlüsse auf das Surfverhalten einer Person ziehen. Diese Third Party Cookies werden von Datenschützer als problematisch angesehen4.

Damit z. B. Werbung dem Nutzer individuell angezeigt werden kann, können Cookies neben Informationen über die genutzte Hard- oder Software auch Daten, „(…) die einen Website-Besucher identifizierbar machen: IP-Adresse, E-Mail-Adresse, Name, Telefonnummer oder eine „unique user ID“5 enthalten.

Welche Cookies auf einer Webseite gesetzt werden, kann man z. B. auf der Seite https://webbkoll.dataskydd.net/de/ der schwedischen Nichtregierungsorganisation Dataskydd.net überprüfen.

Rechtsgrundlagen und Informationspflichten der DS-GVO

Grundsätzlich sieht die DS-GVO vor, dass personenbezogene Daten erst dann verarbeitet werden dürfen, wenn hierfür eine Rechtsgrundlage gegeben ist. Der Jurist nennt das Verbot mit Erlaubnisvorbehalt und bedeutet, dass etwas zunächst grundsätzlich verboten ist und dann ausdrücklich eine Erlaubnis vorliegen bzw. ausgesprochen werden muss, damit eine Verarbeitung zulässig ist6.

Das hat zur Folge, dass ein Cookie, der personenbezogene Daten speichert, erst dann gesetzt werden darf, wenn der User der Verarbeitung zugestimmt hat bzw. hierfür eine Rechtsgrundlage besteht.

In Artikel 6 „Rechtmäßigkeit der Verarbeitung“ der DS-GVO finden wir im ersten Absatz verschiedene Rechtsgrundlagen, die eine Verarbeitung von personenbezogenen Informationen ermöglichen. Hierzu gehört die Einwilligung7, welche für eine Vielzahl an Cookies erforderlich ist (z. B. Cookies, die zu Marketingzwecken gesetzt werden).

Die DS-GVO sieht bestimmte Anforderungen vor, um eine Einwilligung rechtswirksam erteilen zu können8. Auf diese vollumfänglich einzugehen, würde den Rahmen des Artikels sprengen. Allerdings möchte ich zumindest erwähnen, dass die DS-GVO für eine rechtsgültige Einwilligung eine „eindeutige bestätigende Handlung“ notwendig ist (auch elektronisch, z. B. durch Anklicken eines Kästchens). Des weiteren kann eine Einwilligung nur für einen bestimmten Zweck erfolgen9. Für eine rechtmäßige Verarbeitung personenbezogener Daten muss im Falle einer Einwilligung diese vorher und eindeutig erfolgen und darf nicht für verschiedene Zwecke eingeholt werden. Das bedeutet, dass konkludentes Handeln nicht ausreichend ist und für verschiedene Zwecke mehrere Einwilligungen einzuholen sind. Ein weiterer sehr wichtiger Punkt ist, dass eine einmal erteilte Einwilligung auch widerrufen werden können muss10.

Im vorherigen Kapitel habe ich die Session Cookies erwähnt, welche gelöscht werden, sobald der Nutzer seinen Browser schließt und somit die „Session“ beendet. Cookies, welche aus technischen Gründen notwendig sind, werden derzeit oft als „einwilligungsfrei“ angesehen. Für die Verwendung von Session-Cookies gibt es in der DS-GVO keine ausdrückliche Regelung. Jedoch kann von einer vorherigen Einwilligung durch den Nutzer abgesehen werden, wenn die Verarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ ist11. Auch die noch nicht in Kraft getretene ePrivacy-Verordnung, in der die Verwendung von Cookies konkretisiert wird, spricht ebenfalls von dieser Ausnahme im Rahmen eines „berechtigten Zwecks“12.

Abschließend zu diesem Kapitel möchte ich noch auf die Informationspflichten eingehen. Die DS-GVO sieht eine „Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person“ vor. Neben einer Reihe von Punkten müssen z. B. „(…) die Zwecke, für die personenbezogene Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung“ und „(…) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen (…)“ genannt werden13.

Anforderungen an Consent-Banner

Was bedeuten die bisherigen Erkenntnisse für die Umsetzung eines Consent- bzw. Cookie-Banners?

Zunächst muss geklärt werden, welche Daten mit den Cookies gespeichert werden und um welcher Art Cookie es sich handelt. Daraus ableiten kann man, ob eine Einwilligung notwendig ist oder das Stützen auf berechtigtes Interesse ausreichend ist. Bei einer Einwilligung ist zu beachten, dass das Cookie erst dann gesetzt werden darf, wenn der User zugestimmt hat. Eine so genannte opt-out-Regelung ist demnach nicht gesetzeskonform. Die Zustimmung muss auch eindeutig erfolgen und muss für den jeweiligen Zweck erteilt werden.

Ist eine Einwilligung notwendig, ist ein Cookie-Banner, der lediglich auf Cookies hinweist und der Nutzer keine Entscheidungsmöglichkeit hat (z. B. nur ein „OK“-Button), somit nicht ausreichend. Der Nutzer muss entweder akzeptieren oder ablehnen können. Solange der User sich nicht entschieden hat, darf kein Cookie gesetzt werden.

Der Webseitenbesucher muss für jeden Zweck separat zustimmen. Dies kann z. B. durch eine Auflistung der Dienste mit jeweils einer Checkbox erfolgen. Wichtig ist, dass die Vorbelegung der Checkboxen so gewählt ist, dass die jeweiligen Dienste zunächst abgewählt sind. Dies wird in der DS-GVO unter der Überschrift „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gefordert14.

Des weiteren ist es notwendig, dass der Nutzer bereits auf dem Cookie Banner vor seiner Entscheidung auf sein Widerrufsrecht, die Zwecke der Verarbeitung und die Rechtsgrundlage hingewiesen wird. Ebenso ist eine Verlinkung auf eine umfassende Datenschutzerklärung notwendig.

Zuletzt möchte ich noch darauf hinweise, dass bei Einsatz eines Cookie Banners immer geprüft werden muss, ob mit dem Anbieter ein AV Vertrag geschlossen werden muss. Dies ist z. B. bei kommerziellen Anbietern oft der Fall.

Zusammenfassung und Ausblick

Zusammenfassend lässt sich feststellen, dass die DS-GVO auf der einen Seite klare Regelungen vorgibt, diese aber in der praktischen Umsetzung immer wieder zu Herausforderungen führen. Der Grundgedanke der DS-GVO ist, dass der Nutzer selbst entscheiden können soll, ob und wie seine Daten verarbeitet werden. Hierfür ist er vorab ausreichend zu informieren.

Da die Gegebenheiten in der virtuellen Welt oft unterschiedlich zur realen Welt sind, ist es Ziel der ePrivacy Verordnung, zielgerichtetere Regeln für die elektronische Kommunikation zu schaffen. Sie ist somit eine Art Spezialgesetz, dass die DS-GVO ergänzen wird. Ziel der Verordnung wird u. a. Sein, die Vertraulichkeitsstufe der elektronischen Kommunikationsdaten der Endnutzer festzulegen. Darüber hinaus soll sie regeln, unter welchen Voraussetzungen Anbieter von elektronischen Kommunikationsnetzen Daten speichern dürfen.

Weitere Inhalte werden der Umgang mit ungebetener Kommunikation, Direktwerbung über elektronische Kommunikationsdienste und Informationspflichten zu Sicherheitsrisiken sein15.

Bisher ist die ePrivacy Verordnung allerdings noch nicht in Kraft getreten. Ursprünglich war geplant, dass dies gemeinsam mit der DS-GVO erfolgen soll. Allerdings konnten sich die EU-Mitgliedsstaaten bisher nicht auf eine gemeinsame Linie einigen.

Quellen

1Hauck und Muth, „BGH“, https://www.sueddeutsche.de/digital/cookies-bgh-internet-haken-1.4921013.

1) Hauck und Muth, „BGH“, https://www.sueddeutsche.de/digital/cookies-bgh-internet-haken-1.4921013.

2) „HTTP-Cookie“, https://de.wikipedia.org/wiki/HTTP-Cookie.

3) Solmecke, DSGVO für Website-Betreiber, 144.

4) „BSI für Bürger - Cookies und Fingerprinting“, https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/GefahrenRisiken/Cookies/cookies_node.html.

5) online, „DSGVO“, https://www.heise.de/newsticker/meldung/DSGVO-Rechtsgrundlagen-und-Funktionsweisen-von-Cookie-Hinweisen-4430026.html.

6) „Das Verbot mit Erlaubnisvorbehalt – Datenschutz 2020“, https://www.datenschutz.org/verbot-mit-erlaubnisvorbehalt/.

7) „Datenschutz-Grundverordnung“, Art. 6 Abs. 1 lit. a) https://dsgvo-gesetz.de/art-6-dsgvo/.

8) „Datenschutz-Grundverordnung“, Art. 7 https://dsgvo-gesetz.de/art-7-dsgvo/.

9) „Datenschutz-Grundverordnung“, ErwG 32 https://dsgvo-gesetz.de/erwaegungsgruende/nr-32/.

10) „Datenschutz-Grundverordnung“, Art. 7 Abs. 3 https://dsgvo-gesetz.de/art-7-dsgvo/.

11) „Datenschutz-Grundverordnung“, Art. 6 Abs. 1 lit f https://dsgvo-gesetz.de/art-6-dsgvo/.

12) „Session Cookie - was ist denn das?“, https://www.datenschutz.org/session-cookie/.

13) „Datenschutz-Grundverordnung“, Art. 13 Abs. 1 lit c und f https://dsgvo-gesetz.de/art-13-dsgvo/.

14) „Datenschutz-Grundverordnung“, Art. 25 https://dsgvo-gesetz.de/art-25-dsgvo/.

15) „ePrivacy-Verordnung: Der aktuelle Stand zur DSGVO-Erweiterung“, https://www.e-recht24.de/artikel/datenschutz/11329-e-privacy-verordnung-die-dsgvo-war-erst-der-anfang.html.