Bei der Verwendung von Cookies ist folgendes zu beachten:
- Was sind Cookies?
Bei Cookies handelt es sich um kleine Textdateien, die von einer Website, die der Nutzer besucht, auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Webseite auf, kann ein Cookie auf dem Rechner des Nutzers gespeichert werden. Dieses Cookie enthält eine charakteristische
Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Dies dient bspw. dazu, dass die Nutzung von Websites reibungslos abläuft.
Regelmäßig werden Cookies bei der Verwendung von Online-Marketing-Tools eingesetzt, aber auch bei Analyse-Tools, Plug-ins und von Affiliate-Netzwerken.
- Unter welchen Voraussetzungen darf ich Cookies verwenden?
Nach der ePrivacy-RL (Richtlinie 2002/58/EG, Änderung durch Richtlinie 2009/136/EG) steht die Nutzung von Cookies im Grundsatz unter der Voraussetzung, dass vor deren Setzen die Einwilligung des Seitenbesuchers eingeholt werden muss. Das bedeutet, sobald ein konkretes Tool Cookies setzt, braucht es vorher die aktive Einwilligung des Seitenbesuchers. Für notwendige Cookies gilt jedoch
eine Ausnahme (siehe Ziffer 5).
Der Europäische Gerichtshof (EuGH) hat zur Notwendigkeit der aktiven Einwilligung für das Setzen von Cookies am 01.10.2019 eine wegweisende Entscheidung getroffen. Der EuGH hat ausdrücklich festgestellt, dass vor dem Setzen von Cookies eine sachkundige und freie Einwilligung hierfür getroffen werden muss. Für eine wirksame Einwilligung bedarf es einer aktiven Handlung des Seitenbesuchers,
insbesondere genügt ein voreingestelltes Ankreuzkästchen dem Einwilligungserfordernis nicht.
Exkurs
Die Entscheidung des EuGH zur Auslegung des europäischen Rechts hat für die nationalen Gerichte Bindungswirkung, so dass der Bundesgerichtshof (BGH), bei welchem das vorliegende Verfahren anhängig ist, diese Feststellungen entsprechend im laufenden nationalen Verfahren umsetzen wird.
Dann werden die europäischen Vorgaben durch richterliche Rechtsfortbildung in das nationale Recht umgesetzt.
Verwendung von Cookies
- Wie muss die Einwilligung eingeholt werden?
Der betreffende Seitenbesucher muss auf der Grundlage von klaren und umfassenden Informationen seine aktive Einwilligung zum Setzen von Cookies geben.
Artikel 5 Absatz 3 der Richtlinie 2002/58/EG geändert durch RL 2009/136/EG vom 25.11.2009 verlangt von den Mitgliedstaaten, dass diese sicherstellen, „dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Die Einwilligung hat demnach freiwillig, informiert, konkret und durch eine eindeutig bestätigende Handlung des betroffenen Nutzers zu erfolgen.
Zum Einholen der Einwilligung auf Webseiten haben sich inzwischen sogenannte „Consent-Tools” etabliert. Hierzu haben wir einen Überblick über ausgewählte Consent Management-Tools erstellt.
Dabei kann durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website die Einwilligung der Nutzer eingeholt werden.
Die Einwilligung muss eingeholt werden bevor die Cookies gesetzt werden.
• Während das Cookie-Banner angezeigt wird, sind alle Skripte der Website, die Nutzerdaten erfassen, blockiert. Zustimmungsbedürftige Cookies dürfen noch nicht gesetzt werden.
• Der Zugriff auf Impressum und Datenschutzerklärung muss weiterhin möglich sein.
• Erst wenn der Nutzer seine Einwilligung durch eine aktive Handlung (bspw. durch Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche) gibt, dürfen die einwilligungsbedürftigen Datenverarbeitungen tatsächlich beginnen bzw. die Cookies gesetzt werden.
Zudem hat der betroffene Nutzer das Recht, die Einwilligung jederzeit zu widerrufen und muss darüber vor Abgabe der Einwilligung informiert werden. Die Ausübung des Widerrufs muss dabei in ebenso einfacher Weise möglich sein, wie die Erteilung der Einwilligung selbst.
Die erteilten Einwilligungen müssen protokolliert werden, so dass im Streitfall der Nachweis einer vorliegenden Einwilligung erbracht werden kann.
Ferner muss die informierte Einwilligung so formuliert sein, dass der Betroffene erkennt, für welchen konkreten Fall er in welche Datenverarbeitungen einwilligt.
• Nach Ansicht der Datenschutzbehörden soll das Cookie-Banner eine Übersicht aller einwilligungsbedürftigen
Verarbeitungsvorgänge vorhalten. Dabei sollen alle beteiligten Akteure
benannt und deren Funktion sowie die beabsichtigten Verarbeitungen ausreichend erklärt werden. Über ein Auswahlmenü sollen diese einzeln aktiviert werden können.
• Fragen zur konkreten Umsetzung, insbesondere wie detailliert und umfassend bereits in dem Cookie-Banner über alle Tools und deren Anbieter informiert werden sollte und wie dies technisch-gestalterisch umzusetzen ist, haben die Datenschutzbehörden allerdings offen gelassen.
Aber: Allen Seitenbesuchern, die keine Einwilligung erteilen, muss es gleichwohl weiterhin möglich sein, die Website zu besuchen, ohne dass Cookies gesetzt werden.
- Genügt ein Weitersurfen dem Einwilligungserfordernis?
Nach den Feststellungen des EuGH in seiner Entscheidung vom 01.10.2019 (siehe Ziffer 2) kann ein „Markieren eines Feldes auf einer Internet-Website” eine Einwilligung darstellen. Die Einwilligung kann nach dem EuGH „in jeder geeigneten Weise gegeben werden (...), durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt” (EuGH Urteil vom 01.10.2019 – C‑673/17). Entscheidend ist demnach ein aktives Handeln des Seitennutzers, so dass eine Einwilligung auch auf anderen Wegen als der Bestätigung mittels einer Checkbox abgegeben werden kann.
Entsprechend kommt daher die Frage auf, ob die Einwilligung auch durch ein aktives Nutzen der Seite (bspw. durch Weitersurfen) nach entsprechendem vorherigem Hinweis erteilt werden kann.
Das Weitersurfen kann insoweit eine aktive Handlung darstellen. Nicht abschließend geklärt ist jedoch, ob dies bereits als ausreichende Willenserklärung zum Setzen von Cookies gilt. Zumindest entspricht diese Lösung nicht der strengen Ansicht der Datenschutzkonferenz, so dass bei dieser Lösungsmöglichkeit Vorsicht geboten ist.
- Ausnahmen: notwendige Cookies
Nach Artikel 5 Absatz 3 der Richtlinie 2002/58/EG ist für die Verwendung von Cookies dann aber keine Einwilligung erforderlich,
1. „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ oder
2. „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.
Die benannten Ausnahmetatbestände haben nur einen sehr engen Auslegungsspielraum und bedürfen für den jeweiligen Einzelfall einer konkreten Prüfung. Als Faustformel gilt hier, wenn die Webseite ohne den Cookie ordnungsgemäß dargestellt werden kann, ist dieser kein technisch notwendiger
Cookie.
Gewisse Cookies sind damit vom Einwilligungserfordernis in Kenntnis der Sachlage ausgenommen, sofern sie nicht für weitere Zwecke verwendet werden. Hierbei handelt es sich nach der Stellungnahme der Artikel-29-Datenschutzgruppe zur Ausnahme von Cookies von der Einwilligungspflicht (00879/12/DE WP 194) insbesondere um folgende:
1. User-Input-Cookies (Session-ID) für die Dauer einer Sitzung oder in bestimmten Fällen persistente Cookies, deren Gültigkeitsdauer auf wenige Stunden beschränkt ist: Diese dienen dem temporären Speichern von Nutzereingaben beim Ausfüllen von mehrseitigen Online-Formularen oder als Warenkorb zum temporären Speichern der vom Nutzer durch Anklicken einer Schaltfläche (z. B. „In den Warenkorb“) ausgewählten Artikel. Diese Cookies sind erforderlich, um dem Nutzer den konkreten Dienst zur Verfügung zu stellen und sind mit einer konkreten Aktion des Nutzers verbunden.
2. Authentifizierungscookies für Dienste, bei denen eine Authentifizierung erforderlich ist, für die Dauer einer Sitzung: Diese Cookies dienen dazu, den Nutzer zu identifizieren, nachdem er sich angemeldet hat, so dass sich der Nutzer bei aufeinanderfolgenden Besuchen einer Website authentifizieren und auf Inhalte, für die eine Zugriffsberechtigung erforderlich ist, zugreifen kann.
3. nutzerorientierte Sicherheitscookies zur Erkennung von Authentifizierungsmissbrauch für eine begrenzte längere Dauer: Diese dienen der besseren Sicherheit des vom Nutzer ausdrücklich angeforderten Dienstes, wie beispielsweise Cookies, die wiederholt fehlgeschlagene Anmeldeversuche auf einer Website entdecken oder auf andere Weise das Login-System vor Missbrauch schützen.
4. Multimedia-Player-Sitzungscookies wie Flash-Player-Cookies für die Dauer einer Sitzung:
Diese dienen der Speicherung von technischen Daten, die zur Wiedergabe von Video- oder Audio-Inhalten, wie etwa Bildqualität, Verbindungsgeschwindigkeit des Netzwerks und Pufferungsparameter.
5. Lastverteilungs-Sitzungscookies für die Dauer der Sitzung: Diese betreffen die Verteilung von Webserveranfragen auf einem Serverpool. Mit dem Lastenverteilungs-Sitzungscookie kann eine konkrete Zuordnung eines Servers im Pool gewährleistet werden.
6. Persistente Cookies zur Anpassung der Benutzeroberfläche für die Dauer einer Sitzung (oder etwas länger): Typische Beispiele sind Cookies für Spracheinstellungen, mit welchen die vom Nutzer verwendete Sprache gespeichert werden kann oder Cookies für die Darstellung von Suchergebnissen, welche die Einstellungen des Nutzers für Online-Suchanfragen speichern.
- Welche Cookies sind von der Einwilligungspflicht nicht ausgenommen?
Insbesondere ist die Nutzung von Analyse- und Werbe-Tracking-Tools oder von Affiliate-Programmen, die Cookies setzen, grundsätzlich nur nach vorheriger aktiver Einwilligung des Seitenbesuchers zulässig. Die Datenschutzaufsichtsbehörden haben mittlerweile ihre bereits geäußerte Auffassung (Orientierungshilfe der Aufsichtsbehörden, Stand März 2019) bekräftigt, wonach bei der Einbindung von Tools wie bspw. Google Analytics zwingend eine Einwilligung des Seitenbesuchers einzuholen ist. Insbesondere führt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit aus, dass eine wirksame Einwilligung nicht mit der einfachen Informationen über sogenannte Cookie- Banner oder voraktivierte Kästchen eingeholt werden kann.
Ebenso sind Tracking-Cookies von Social Plug-ins erfasst. Werden die von den Social Plug-ins gesetzten Cookies für weitere Zwecke, wie verhaltensorientierte Werbung, Analysen oder Marktforschung genutzt, bedarf es einer entsprechenden Einwilligung durch den Nutzer. In diesen Fällen sind die verwendeten Cookies gerade nicht als für eine vom Nutzer ausdrücklich gewünschte Funktion unbedingt erforderlich.
Ebenso werden Webanalyse-Tools nicht von der Ausnahmeregelung erfasst. Diese werden vor allem von Websitebesitzern verwendet, um die Zahl der Einzelbesucher zu erfassen, die wichtigsten Suchbegriffe, die über Suchmaschinen zu einer Website führen, zu ermitteln oder Navigationsprobleme der Website aufzuspüren. Diese Tools sind für das Betreiben einer Website nicht unbedingt erforderlich, der Nutzer kann auch dann auf die Funktionen der Website zugreifen, wenn diese Cookies deaktiviert sind.
Zudem bedürfen Plug-ins, welche die Einbindung von Videos ermöglichen, dann der Einwilligung, sobald hierdurch Daten für Analyse- oder Werbezwecke an Drittanbieter übermittelt werden, wie bspw. bei der Einbindung von YouTube-Videos.
- Ist eine Anpassung der Datenschutzerklärung erforderlich?
Über alle Datenverarbeitungen auf der Website ist in der Datenschutzerklärung zu informieren. In jedem Falle obliegt dem Websitebetreiber eine entsprechende Hinweispflicht. Insbesondere für Tools und Cookies, die nun nur noch mit Einwilligung verwendet werden dürfen, muss in der Datenschutzerklärung auch über die Einwilligung als Rechtsgrundlage informiert werden.
Ebenso muss auch in der Datenschutzerklärung über die Verwendung von notwendigen Cookies informiert werden, obgleich es einer Einwilligung ausnahmsweise nicht bedarf.
Prüfen Sie deshalb unbedingt Ihre Datenschutzerklärung und passen Sie diese entsprechend an. Im Mitgliederbereich können Sie sich die passende Datenschutzerklärung für Ihre Internetpräsenz erstellen und in Ihrer Online-Präsenz einbinden. Sie können die verwendeten Tools auswählen und ob diese
erst nach Einwilligung eingesetzt werden.
www.haendlerbund.de
© Händlerbund e.V. (Stand: 17.12.2019)
Dieser Text ist urheberrechtlich geschützt. Eine Vervielfältigung oder Weitergabe an Dritte ist zulässig,
soweit hieran keine Änderungen vorgenommen werden und insbesondere der Urheberhinweis nicht entfernt wird.