Holger Stridde World Wide

Aktive Einwilligung für Cookies erforderlich – Was ist notwendig?

WICHTIG:
Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.

Wer eine Webseite betreibt und die Medien verfolgt wird sich in diesem Jahr mehr als einmal gefragt haben wie spätestens das Urteil des Europäischen Gerichtshofs (EuGH) zu bewerten ist. Mit dem Urteil wurde die Entscheidung getroffen, dass eine aktive Einwilligung des Users erforderlich ist, bevor Cookies gesetzt werden deren Einsatz nicht zwingend erforderlich ist.

Was ist passiert

Die EU-DSGVO ist bereits seit dem 25.05.2018 anzuwenden. Die E-Privacy Verordnung, welche die Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) in der Fassung von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie) und das Telemediengesetz (TMG) ablösen soll, lässt weiter auf sich warten.

Am 01.20.2019 hat der EuGH die Entscheidung getroffen, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Dies ist unabhängig von der EU-DSGVO, da es nicht relevant ist, ob es sich bei den abgerufenen Daten um personenbezogene Daten handelt oder nicht.

Diese Entscheidung war für mich mich näher mit diesem Thema zu beschäftigen und einen Artikel zu schreiben der wenig technisch ist. Jedoch finde ich eine solide Basis als Hintergrund wichtig um darauf aufbauend eine technische Betrachtung durchführen zu können und damit zur Auswahl von Tools zu gelangen. Wer sich nur für die Tool interessiert sollte direkt zum Artikel wechseln.

Einwilligung erfordert aktive Zustimmung des Nutzers

Auch wenn der oben genannte Fall speziell ist und mehrere Punkte dazu geführt haben, dass die Entscheidung getroffen wurde, dass  die „vorangekreuzte“ Einwilligung ungültig ist.

Wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.

Randnotiz 52 In der Rechtssache C‑673/17

Daraus ergibt sich für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analyse zwecken), dass eine Einwilligung des Nutzers erforderlich sei.

In dem Urteil festgestellt wurde, dass die deutschen Gesetze zum Cookie-Einverständnis nicht dem europäischen Recht entsprechen. Deutschland war der Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz von 2007 (TMG) bereits mit EU-Recht konform umgesetzt seien. Das widerspricht der Tatsache, dass das TMG – im Gegensatz zur Forderung der EU-Cookie-Richtlinie – mit einer Widerspruchslösung (Opt-Out-Lösung) für Nutzer einverstanden war. § 15 Abs.3 Telemediengesetz (TMG) besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.  

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Telemediengesetz (TMG) § 15 Nutzungsdaten, Absatz 3

Davon ausgehend, dass die E-Privacy Verordnung in den nächsten Jahren kommen wird und die EU-Cookie Richtlinie nicht in nationales Recht umgewandelt worden ist, bleibt eine Situation der Unsicherheit bestehen. Wer sicher gehen will orientiert sich an der EU-Cookie Richtlinie.

Begrifflichkeiten

Wenn ich als Webseitenbetreiber nun die Gerichtsentscheidung eng auslege und damit die Cookie-Richtlinie näher betrachte und mich daran orientieren möchte, so sind vorab noch einige Begrifflichkeit zu klären.

Was sind technisch notwendige Cookies und was sind technisch nicht notwendige Cookies?

In der Entscheidung wird zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterschieden. Hierauf nimmt der EuGH im Urteil Bezug, vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

EU-Richtlinie 2009/136/EG vgl. Randnotiz 10 In der Rechtssache C‑673/17

Technisch notwendige Cookies

Technische Cookies sind Cookies, welche unbedingt für die Erbringung des Dienstes notwendig sind. Die umfasst zum Beispiel Präferenz-Cookies, Session-Cookies, Cookies für das Loadbalanceing, Cookies für LogIns oder Warenkörbe, … All diese Cookies können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.

Ein praktische Beispiel ist eine E-Commerce Webseite bei der ein Cookie zur Abbildung des Warenkorbs erstellt wird. Das Cookie enthält die Artikel, welche ein User bei der Nutzung der Seite während einer Session einlädt.

Technisch nicht notwendige Cookies

Darüber hinausgehende Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen, benötigen die informierte Einwilligung des Nutzers. Dies sind zum Beispiel Tracking und Werbe-Cookies von Drittanbietern.

Um es an dieser Stelle noch einmal explizit hervorzuheben: Technisch nicht notwendige Cookies dürfen also nicht gesetzt werden, bevor der User nicht explizit seine Einwilligung dazu gegeben hat.

Eine kleiner Schlenker an dieser Stelle. Eine Einwilligung kann natürlich nicht nur über ein Cookie-Banner oder einen Consent-Tool eingeholt werden. Auf Plattformen wie Facebook oder bei Abo Diensten kann die Einwilligung auch direkt bei der Registrierung oder dem Vertragsschluss eingeholt werden. Dies mag dann auch die Verarbeitung nicht anonymisierten Daten erlauben.

Benötige ich eine Einwilligung für technisch notwendige Cookies?

Dies ist eine häufig gestellte Frage, die ich an dieser Stelle direkt mitverantworten möchte. Aus der oben genannten Vorschrift ist zu lesen, dass die Anforderungen einer informierten Einwilligung für technisch notwendige Cookies nicht gelten. Da Nutzer somit in die Verwendung technisch notwendiger Cookies nach geltendem Recht nicht einzuwilligen brauchen, erübrigt sich für derartige Cookies auch die Erwähnung in einem Cookie-Banner oder Consent Manager. Hier muss keine Einwilligungs- oder sonstige Akzeptanzmöglichkeit gewährt werden.

Aktive und informierte Einwilligung des Nutzers

Die aktive Einwilligung ist meines Erachtens der spannendste Begriff den es zu klären gilt. Leider ist es gleichzeitig der Begriff zu dem ich keine Quelle gefunden habe, die mir eine eindeutige Interpretation ermöglicht. Auf vielen Seiten wir die aktive Einwilligung mit Opt-In gleichgesetzt. Ob dieser Opt-In jedoch aktiv durch setzen eine Hakens in einer Box, das drücken eines Buttons oder implizit durch die weitere Nutzung der Webseite geschieht bleibt für mich offen. Sicher ist nur, eine vorausgefüllte Check Box welcher der Nutzer widersprechen muss ist keine Einwilligung.

Das Wort „informiert“ lässt sich hingegen wieder leicht interpretieren. Hier hilft uns zunächst die EU-DSGVO weiter. Die DSGVO verlangt, dass in der Datenschutzerklärung die Rechtsgrundlagen für die Verwendung von Cookies genannt werden.

Weiter führt uns dann die Cookie-Richtlinie. Sie verlangt, dass den Nutzern eine klare und verständliche Information bereitgestellt wird.

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers spei­chern oder auf bereits gespeicherte Informationen zugrei­fen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereit­ gestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Ein­räumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Diens­tes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verar­beitung im Einklang mit den entsprechenden Bestimmun­gen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksa­mer gestaltet werden.

Cookie-Richtlinie Randzeichen 66

Die weiterhin Spielraum darüber wie detailliert die Informationen sein müssen. Als Minimum nehme ich an, dass die Cookies in Kategorien eingeteilt werden und deren jeweiliger Zweck erläutert ist. Wer sicher gehen will informiert über Art, Funktionsweise und Lebensdauer der Cookies sowie über die Identität der verarbeitenden Dienstleiser.

Anforderungen an Cookie Banner bzw. Cookie Consent Tools

Um die vom EuGH formulierten Anforderungen zukünftig umzusetzen, reichen einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, als Einwilligung nicht aus. Solange die E-Privacy Verordnung jedoch nicht in kraft getreten ist und die Cookie-Richtlinie nicht in nationales Recht umgewandelt wurde, bleibt weiterhin Unklarheit und Interpretationsspielraum. Folgendes können wir aus dem bisher gesagten festhalten:

Zusammenfassung

Status Quo

Nachweinen Exkurs durch die Gesetzestexte nun noch einige praktische Beispiele wie verschiedene Anbieter aktuell die Richtlinien umsetzen. Die Auswahl der Beispiele ist eine willkürliche Zusammenstellung meinerseits von mir bekannten Anbietern. Von diesen Anbietern nehme ich an, dass sie aufgrund ihre Größe oder dem Schwerpunkt ihres Geschäfts eine tragbare Interpretation der Handhabung von Cookies haben sollten.

Amazon

Bei dem Blick auf den stark frequentierte Online Händler Amazon wird ein Hinweistext angezeigt. Ein klick ist nicht notwendig. Ob der User überhaupt diesen Hinweis entdeckt bevor er auf der Seite weiter liest, darüber lässt sich streiten. Allerdings dürfte es sich bei allen unten Gesetzen Cookies um Cookies der Kategorie technisch notwendige Cookies handeln. Nach dem Login in das Amazon Konto erhöht sich die Anzahl der gesetzten Cookies weiter. Eine funktionale Auflistung der Cookies von Amazon findet sich hier.

Cookie Hinweis und initial gesetzte Cookies bei Amazon

Bundesministerium für Familie, Senioren, Frauen und Jugend

Hier einmal die Webseite eines Ministeriums. Als Bürger sollte man doch davon ausgehen können, dass der eigene Staat und damit auch die Ministerien und Behörden mit gutem Beispiel voran gehen. Auf den ersten Blick zeigt Chrome in den Entwickler Tools hier nur zwei Cookies an und dies sind beides Session Cookies. Spätestens jedoch wenn ich weiter klicke, ohne auf „Einverstanden“ zu klicken, werden weitere Cookies gesetzt. Darunter drei Cookies des eingesetzte E-Tracker: _et_coid (Domain .bmfsfj.de), _et_coid (Domain www.etracker.de) und isSdEnabled. Laut Hersteller sind die ersten beiden Cookies nur, um zu sehen ob Cookies gesetzt werden können und letzteres, um sich zu merken ob die Scrooltiefe gemessen wird (E-Tracker). Positiv ist zu vermerken, dass das Banner direkt Auskunft darüber gibt zu welchem Zweck Daten erfasst werden ohne in die Datenschutzhinweise gehen zu müssen.

Datenschutz.org

Die Seite Datenschutz.org geht auf den ersten Blick mit am restriktivsten bei der Umsetzung der Cookie Richtlinie um. Der User wird gezwungen eine Auswahl zu treffen. Im Text wird er darüber informiert, welche Cookies genau gesetzt werden, wenn er „Ok“ drückt. Nur über die Auswahl „Individuelle Datenschutzeinstellungen“ hat der User die Möglichkeit nur der Verwendung von technisch notwendigen Cookies zuzustimmen.

Keinerlei Cookies werden vor der Auswahl gesetzt
Durch ein „Alle akzeptieren“ wird der User gebeten möglichst vollumfänglich den Einsatz von Cookies zu erlauben. Nur wer hier speichern drück erhält nur die technisch notwendigen Cookies.

Fazit

Die Rechtslage ist kompliziert und die Umsetzung bewegen sich entsprechend in der gesamten Bandbreite der Auslegung. Natürlich möchte kein Unternehmen aufgrund der Gesetzgebung Hürden einbauen, welche Kunden verschrecken. Die im letzten Beispiel dargestellte Variante mit einem expliziten einholen der Einwilligung durch einen Klick erscheint mir mir am geschicktesten um den Spagat zu meistern. Der Kunde muss einmal eine Entscheidung treffen, wobei diese auch sein kann die Seite zu verlassen. Aufgrund der Anordnung der Verzweigungen in der Abfrage dürfte die Wahrscheinlichkeit hoch sein, ein Tracking durchführen zu dürfen und Daten zu erhalten.

Der Artikel sollte ausreichend die Kriterien beleuchten, welche für eine Tool-Auswahl, in meinem Fall für WordPress, notwendig ist.

Weitere Interessante Quellen zu diesem Thema:

Die mobile Version verlassen