Der ultimative Cookie-Ratgeber – Praxistipps, TDDDG- & DSGVO-Checkliste
Mit dem § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TDDDG) trat Ende 2021 eine eine strenge Einwilligungspflicht für Cookies in kraft.
Wenn Sie Cookies einsetzen, sollten Sie in jedem Fall prüfen, ob Ihre Cookie-Banner rechtlich einwandfrei sind.
Denn nicht nur Aufsichtsbehörden, sondern u.a. auch Verbraucherschutzvereine oder Mitbewerber können gegen unzulässige Cookie-Banner vorgehen und Nutzer können zudem Schadensersatz geltend machen.
Der folgende Ratgeber wird Ihnen daher helfen, die rechtlichen Hintergründe am Beispiel von z.B. Matomo, Google Analytics, VG-Wort-Zählpixeln, Affiliate-Tracking oder dem Facebook-Pixel nachvollziehen zu können.
Ferner erhalten Sie Beispiele für sichere und weniger sichere Umsetzungen von Cookie-Einwilligungen als auch Einschätzungen zu praktischen Risiken sowie eine Beispielformulierung für die Einleitung im Cookie-Banner. Zum Abschluss des Beitrags finden Sie eine praktische Checkliste mit den wichtigsten Punkten.
Hinweis zu Rechtsansichten: Bei diesem Thema ist es unumgänglich, dass viele unterschiedliche Rechtsansichten existieren. Dieser Beitrag richtet sich an PraktikerInnen und orientiert sich daher an den für sie relevanten Ansichten. Falls Sie Aspekte oder Meinungen ergänzen möchten oder anderer Ansicht sind, freuen wir uns über Ihre Kommentare.
Hinweis zur Aktualität: Der Artikel wird laufend aktualisiert, zuletzt mit Hinweisen zu der neuen “Cookie-Banner-Verordnung” der Bundesregierung.
Inhalt des Beitrags:
Rechtliche Grundlagen der Nutzung von Cookies
In dem ersten Abschnitt erfahren Sie, warum beim Einsatz von Cookies und Trackingverfahren zwei unterschiedliche Gesetze zu beachten sind und wann Sie Nutzer vor deren Einsatz um eine Einwilligung bitten müssen.
Digitale Privatsphäre und Datenschutz
Die Unklarheiten beginnen bereits mit der Frage, welches Recht einschlägig ist. Denn neben dem Datenschutz müssen auch die Regeln der sogenannten “ePrivacy” beachtet werden:
- Datenschutz (DSGVO) – Der Datenschutz dient dem Schutz von personenbezogenen Daten (wodurch unter anderen Zielen vor allem die Freiheit der Menschen und Schutz vor Überwachung gewährleistet werden sollen). Der Datenschutz ist vor allem in der DSGVO geregelt.
- ePrivacy: Die ePrivacy dient nicht (zumindest nicht primär) dem Schutz von personenbezogenen Daten. Der Schutzgegenstand ist viel mehr die Integrität von Endgeräten, also deren Schutz vor Fremdzugriff. Genauso wie ein Haus vor unbefugtem Zutritt gesetzlich geschützt wird, wird das “digitale Haus”, also das Smartphone, der Desktopcomputer oder das Smart Home vor unbefugten Zugriffen geschützt. Die Regelungen der ePrivacy finden sich in nationalen Gesetzen, werden jedoch von der EU vorgegeben.
Die Verwirrung wird umso größer, wenn es um die Frage geht, welches dieser Gesetze zu prüfen ist.
Das strengere Gesetz gewinnt
Es ist unter Juristen umstritten, in welchem Verhältnis die Regelungen der ePrivacy und des Datenschutzes zueinanderstehen. Überwiegend wird von dem Vorrang der ePrivacy ausgegangen.
In der Praxis wird diese Unterscheidung jedoch häufig nicht von Bedeutung sein. Denn zum einem ist ePrivacy, wie nachfolgend erläutert wird, streng und verlangt für das Schreiben und Auslesen von Cookies sehr häufig eine Einwilligung der Nutzer.
Wird eine ePrivacy-Einwilligung erteilt, dann kann im gleichen Zuge auch eine datenschutzrechtliche Einwilligung eingeholt werden (vorausgesetzt die Nutzer werden ausreichend informiert). Falls die ePrivacy-Regeln keine Einwilligung verlangen, dann wird auch nach der DSGVO keine Einwilligung erforderlich werden.
D.h. das Ergebnis richtet sich nach der ePrivacy, da die ePrivacy das strengere Gesetz ist. Aus diesem Grund (und der Übersicht wegen) wird sich die nachfolgende Prüfung auf die Regelungen der ePrivacy konzentrieren.
Maßgeblichkeit der DSGVO: Die ePrivacy regelt den Vorgang des Speicherns und des Lesens von Informationen auf Endgeräten (§ 25 Abs. 1 S. 1 TDDDG). Damit sind primär die Vorgänge der Datenerhebung und Speicherung umfasst. Die darüberhinausgehende Verarbeitung personenbezogenen Daten, z.B. die Bildung von Nutzerprofilen auf Servern von Werbenetzwerken, wird von der ePrivacy dagegen nicht erfasst. Diese Verarbeitung unterliegt aber der DSGVO, die praktisch jeden Umgang mit personenbezogenen Daten regelt (Art. 4 Nr. 2 DSGVO). D.h. die Einwilligungserklärung der Nutzer, die in einem “Cookie-Banner” eingeholt wird, muss auch für die folgende Verarbeitung ihrer Daten nach der DSGVO gelten. Das auch sofern nach der DSGVO eine Einwilligung erforderlich ist, was zumindest in Fällen des Profilings zu Zwecken des Onlinemarketings, von den Aufsichtsbehörden vertreten wird.
Strenge Einwilligungspflicht
Laut § 25 Abs. 1 S. 1 TDDDG bedarf die Speicherung von und der Zugriff auf Informationen auf den Endeinrichtungen der Nutzer, deren Einwilligung (Hervorhebungen der relevanten Passagen durch Verfasser):
§ 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen
Abs. 1: Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. […]
Eine “Endeinrichtung” ist praktisch jedes Gerät, das am Internet angeschlossen wird (allgemein spricht man vom “Endgerät”). Nur die Speicherung von Informationen in geschlossenen Netzwerken ist einwilligungsfrei (z.B. wenn Geräte nur im Firmennetzwerk verbunden sind, wobei dann immer noch die DSGVO zu beachten ist).
Diese Einwilligungspflicht gilt unabhängig davon, ob die auf den Endgeräten gespeicherten oder aus diesen ausgelesenen Informationen personenbezogen oder anonym sind. Damit wird praktisch der gesamte Datenstrom, der auf Endgeräten ein und ausgeht und damit jeder nutzerbezogener Datenverkehr erfasst.
Aufhebung der bisherigen Regelungen: Mit der Geltung des § 25 TDDDG verliert die bisherige Regelung im § 15 Abs. 3 DDG ihre Wirkung.
Einwilligungspflicht umfasst den ganzen Datenverkehr
Das Schreiben von Informationen und Zugriff auf diese liegen unproblematisch vor, wenn dauerhaft oder vorübergehend im Speicher des Geräts Informationen geschrieben oder gelesen werden. Dazu können u.a. folgende Verfahren gehören, für die rechtlich dasselbe wie für Cookies gilt:
- Cookies: Cookies sind kleine Textdateien, auf die Browser und Server zugreifen können. Umfasst sind Session-Cookies, Persistente Cookies, First-Party oder Third-Party-Cookies. Das Gesetz unterscheidet nicht, wie lange die Informationen gespeichert werden noch woher sie kommen.
- Web Storage: Das “Web Storage” mit seinen Unterarten “Local Storage” und “Session Storge” ist eine Weiterentwicklung der klassischen Cookies mit größerer Kapazität.
- Web-Beacons: Es handelt sich um kleine 1×1-Pixel-große Grafiken, die auf unterschiedliche Art und Weise in Webseiten oder sogar in E-Mails eingebunden werden können. So kann z.B. der Versender der E-Mail erkennen, ob diese geöffnet (und die Grafik damit abgerufen) wurde.
- Lokale Software: Neben der internetgestützten Diensten, kann auch lokal auf den Geräten der Nutzer laufende Software z.B. statistische Informationen anlegen, die an den Softwareanbieter übersandt werden und z.B. die Optimierung der Sicherheit oder Effizienz der Software verbessen. Auch hierbei werden Informationen auf Endgeräten geschrieben und aus diesen ausgelesen.
Im Ergebnis wird deutlich, dass praktisch alle Arten von Cookies und zumindest kurzfristiger Zwischenspeicherung von Informationen grundsätzlich einer Einwilligung der Nutzer bedürfen.
Werbenetzwerke versuchen daher mit Hilfe sogenannter “digitalen Fingerabdrücke“, keine Daten auf den Endgeräten zu speichern und so der Einwilligungspflicht zu entgehen.
Einwilligungspflicht für Browser-Fingerprints und serverseitiges Tracking
Der „digitale Fingerabdruck“ (englisch: „digital fingerprint“, „browser fingerprint“ oder „device fingerprint“) beschreibt ein Verfahren, bei dem keine Speicher- und Leseverfahren auf dem Endgerät eingesetzt werden.
Dazu werden diverse Informationen zum System und Browser des Nutzers sowie deren Einstellungen, Bildschirmauflösung, installierter Plugins sowie Schriftarten oder anhand der IP-Adresse erkannten Ortes, zu einem individuellen “Fingerabdruck” des Endgeräts zusammengefügt. Dieser Fingerabdruck wird serverseitig gespeichert und nicht auf dem Gerät der Nutzer.
- Kein Speichern und Lesen auf dem Endgerät: Ob das Erfassen der vom Endgerät des Nutzer an den Server von sich aus zugesandten Informationen einen Zugriff auf diese Informationen auf dem Endgerät darstellt, kann man im Sinne der Werbenetzwerke durchaus bezweifeln. Nach Ansicht des Verfassers liegt kein Zugriff vor, da kein Zugriff auf das Endgerät, mithin keine Verletzung der Privatsphäre erfolgen. Auch die deutschen Aufsichtsbehörden teilen diese Ansicht.
- Anreicherung durch vom Gerät ausgelesene Daten: Allerdings werden digitale Fingerabdrücke häufig auch durch Daten angereichert, die aktiv von Anbietern oder Werbenetzwerken von den Endgeräten der Nutzer ausgelesen werden. Z.B. wenn Java-Skripte auf einer Webseite ausgeführt werden und Informationen an den Server senden oder wenn eine Mobile-App die Daten des Smartphones abfragt. In diesen Fällen liegt ein Zugriff vor, der einwilligungspflichtig ist.
- Einwilligungspflicht aus der DSGVO: Ferner kann sich, abhängig von der Art der Verarbeitung auch eine Einwilligungspflicht aus der DSGVO ergeben. Diese wird noch nicht vorliegen, wenn z.B. der digitale Fingerabdruck schnell (z.B. nach 24h) gelöscht wird und keine Profile der Nutzer erstellen werden (wie z.B. bei der Software “Matomo” ohne Cookies). Anders kann es dagegen aussehen, wenn mittels der Browser-Fingerprints Nutzerprofile für Werbezwecke erstellt werden.
- Vorteile bei Datentransfers: Das serverseitige Tracking kann auch als eine Art “Firewall” dienen, z. B. wenn Google Analytics serverseitig eingesetzt wird. Beispielsweise kann den Nutzern eine eigene ID-Nummer auf dem eigenen Server zugewiesen werden. Anstelle der IP-Adresse der Nutzer wird diese ID an Google Analytics gesendet. Diese Sicherheitsmaßnahme kann als Argument dafür angeführt werden, dass dieses Verarbeitungsverfahren keine Einwilligung erfordert (zumindest wenn Google Analytics daneben keine weiteren Cookies auf Endgeräten der Nutzer speichert).
Zusammenfassend lässt sich sagen, dass es noch viele Unsicherheiten in Bezug auf die Verwendung von digitalen Fingerabdrücken und serverseitigem Tracking gibt. Dennoch sind diese Methoden rechtlich sicherer als herkömmliche Cookies.
Gesetzliche Ausnahmen von der Einwilligungspflicht
Die bisherige Erkenntnis lautet, dass fast alle im Zusammenhang mit dem Tracking und Profiling von Nutzern eingesetzten Cookie-Verfahren einer strengen Einwilligungspflicht unterfallen.
Eine absolute Einwilligungspflicht würde jedoch praktisch jeden Datenstrom einer Einwilligungspflicht unterwerfen, weswegen das Gesetz Ausnahmen von der Einwilligungspflicht vorsieht:
- Notwendige Übertragung von Daten: Der alleinige Zweck ist die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
- Notwendig, um den Dienst zur Verfügung zu stellen: Diese Ausnahme ist relevant, allerdings nur, wenn der Zugriff auf das Endgerät unbedingt erforderlich ist, um den Dienst bereit zu stellen.
Der erste Fall trifft zwar auf die meisten Informationen zu, gilt jedoch vor allem für Internet-Zugangsprovider sowie anderen Telekommunikationsunternehmen und ist im Hinblick auf Cookies weniger relevant. Sehr bedeutend ist jedoch die zweite Ausnahme, deren Wortlaut wie folgt lautet:
§ 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen
Abs.2: Die Einwilligung nach Absatz 1 ist nicht erforderlich, […] wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Unbedingt erforderlich und vom Nutzer ausdrücklich erwünscht
Die für die Cookie-Praxis relevante Ausnahme könnte kaum einschränkender formuliert sein:
- Ausdrücklich erwünschter Telemediendienst: Der Telemediendiendienst (also z.B. Webseite, Plattform, App, digitaler Assistent, etc.), den sich ein Nutzer gewünscht hat, muss unbedingt erforderlich sein. Bei Aufruf einer Website und ihrer Inhalte, sind diese selbst erwünscht. Aber sind auch das Speichern des Zugriffs in einem Cookie oder gar die Nutzung dieser Information für Analyse oder Marketingzwecke ausdrücklich gewünscht? Im Regelfall wohl eher nein.
- Die Cookies müssen für den Telemediendienst unbedingt erforderlich sein: Der ausdrücklich erwünschte Telemediendienst in dem vorhergehendem Beispiel, sind die Website und ihre Inhalte, nicht das Tracking des Nutzers. Das Cookie müsste also für die Bereitstellung der Website unbedingt erforderlich sein.
Wann ein Cookie für ein Website-Angebot unbedingt erforderlich ist, bleibt auch die Kernfrage der Problematik rund um Cookies (und vergleichbaren Funktionen, wie z.B. digitalen Fingerabdrücken). Zwar könnte man denken, dass der “ausdrückliche Wunsch” der Nutzer mit AGB formuliert werden könnte, doch es ist zweifelhaft, ob diese Lösung Vorteile bringt.
Ausdrücklicher Wunsch durch AGB-Zustimmung?
Was sich der Nutzer wünscht wird anhand der äußeren Umstände beurteilt. Zu diesen Umständen können neben erwartbaren Gepflogenheiten und technischen Notwendigkeiten (z.B. Übermittlung von IP-Adressen an Server zwecks Darstellung einer Website) auch vertragliche Vereinbarungen gehören.
Diese Ansicht vertritt zum Beispiel das Unternehmen Meta. Die EU-Datenschutzbehörden sehen das jedoch anders und halten diese Art des “kostenlose Nutzung gegen Daten“-Tauschs für intransparent und unzulässig. Dementsprechend entschied auch die zuständige irische Datenschutzbehörde DPC und verhängte ein Bußgeld von 390 Millionen Euro gegen Meta.
Sollten Sie ähnliche “kostenlose Nutzung gegen Daten“-Vereinbarungen mit Nutzern oder Kunden treffen wollen, dann sollten Sie diese Klauseln fachlich genau prüfen lassen.
Vor allem müsste diese Regelung üblich, erwartbar und von Nutzern geistig nachvollziehbar sein (was z.B. seitens der Behörden den Verarbeitungsprozessen bei Facebook abgesprochen wird). Dazu müsste der Hinweis auf das “Kostenlose Nutzung gegen Daten“-Geschäft bereits vor der “Absenden“-Schaltfläche des Registrierungs-Formulars stehen (wobei man durchaus auch noch eine zusätzliches Kontrollkästchen verlangen könnte). Ist eine Klausel dagegen nicht üblich, erwartbar und von Nutzern geistig erfassbar, dann gilt sie als überraschend, überrumpelnd und ist unwirksam (§ 305c Abs.1 BGB-DE).
Damit kann eine Einwilligung durch AGB-Regelungen eher nicht umgangen werden. Denn die maßgeblichen Klauseln müssten so präsentiert werden, dass der Vorgang einer Einwilligung praktisch gleichkäme. Es ist daher nicht damit zu rechnen, dass Gerichte AGB für einen tauglichen Einwilligungsersatz halten werden.
Wann sind Cookies unbedingt erforderlich?
Der Einsatz unbedingt erforderlicher (auch als “notwendig”, bzw. “essentiell” bezeichneter) Cookies, bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies.
Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nur, wenn eine Webseite sonst technisch nicht nach Mindeststandards nutzbar wäre” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“.
Zumindest die folgenden Cookies können entsprechend den überwiegenden Rechtsansichten als notwendig betrachtet werden:
- Warenkorb-Cookie: Die Speicherung der in einem Onlineshop ausgewählten Produkte in einem Cookies gilt als erforderlich.
- Nutzereingaben: Auch wenn Nutzereingaben, z.B. in Onlineformularen, die sich über mehrere Webseiten erstrecken, gespeichert werden, darf diese Speicherung als erforderlich betrachtet werden.
- Login: Der Login-Status, z.B. in einer Community, wird von einem Nutzer erwartet und kann daher als unbedingt erforderlich betrachtet werden.
- Sicherheit der Nutzer: Beim Einsatz von Cookies zu Sicherheitszwecken muss neben deren Notwendigkeit, auch deren Zweck betrachtet werden. Zulässig sind vor allem erforderliche Maßnahmen, die dem Schutz der Nutzer und ihrer Daten dienen (z.B. die Verhinderung von sogenannten Brute-Force-Angriffen durch wiederholte Login-Versuche).
- Sprachauswahl: Auch die Speicherung der Sprachauswahl auf einer internationalen Webseite wird von Nutzern erwartet und gilt als erforderlich.
- Cookie-Opt-In: Cookies, die eine Cookie-Einwilligung speichern sind ebenfalls unbedingt erforderlich, damit das “Cookie-Banner” nicht bei jedem Aufruf der Webseite neu erscheint.
- Wiedergabe von Multimedia-Inhalten: Sofern die Cookies für die Wiedergabe essenziell sind, dürfen sie eingesetzt werden (so LG Köln, 29.10.2020 – 31 O 194/20).
- Lastenverteilung: Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen, gelten als unbedingt erforderlich.
Wann sind Cookies nicht unbedingt erforderlich?
Als nicht unbedingt erforderlich werden Cookies betrachtet, die alleine den Marketing- und Werbezwecken der Anbieter von Onlineangeboten oder Werbenetzwerken dienen. Dies wird u.a. daraus abgeleitet, dass das Gesetz vom Wortlaut her, die Ausnahme von der Einwilligung nur für eine “technische Speicherung” der Cookies zulässt. Auch der EuGH entschied, dass in einer solchen Konstellation eine Einwilligung erforderlich ist (EuGH, 1.10.2019 – C-673/17 “planet49”).
D.h. bei den folgenden Einsatzzwecken darf eine Ausnahme von der Einwilligungspflicht daher eher bezweifelt werden:
- Konversionsmessung: Die Konversionsmessung dient insbesondere der Prüfung, ob ein Nutzer, der eine Werbeanzeige geklickt hat, z.B. einen Kauf getätigt hat. So kann die Effektivität von Werbeanzeigen gemessen werden.
- Remarketing: Als Remarketing wird die Einblendung von Werbeanzeigen aufgrund früher besuchter Webseiten oder Onlineshops bezeichnet. So kann ein Nutzer noch Tage später an ein Produkt erinnert werden, dass er zwar betrachtet, aber noch nicht erworben hatte.
- Zielgruppenbildung: Anhand von Nutzerprofilen (z.B. bei Facebook oder Google gespeicherten) können anhand von demografischen, örtlichen oder an mutmaßlichen Interessen orientierten Kriterien Nutzer als Zielgruppe für Werbeanzeigen ausgewählt werden.
Möglicherweise unbedingt erforderliche Cookies
Zwischen den nachvollziehbar erforderlichen und nicht erforderlichen Nutzen der Cookies liegt ein Bereich, zu dem keine verlässliche Rechtsmeinung existiert:
- Komfort – Unklar ist z.B. ob ein Cookie den Inhalt eines Warenkorbs oder den Abspielstand eines Videos, auch wenn der Browser geschlossen wird speichern darf (was z.B. den Nutzern im Fall eines Browserabsturzes erneute Eingaben ersparen würde).
- Design: Es ist ebenfalls umstritten, ob Cookies (und vergleichbare Funktionen) für Zwecke des Designs eingesetzt werden dürfen. Z.B. wenn die News auf einer Website auch ohne Cookies lesbar sind und bloß das Design der Website weniger ansprechend ist.
- Sicherheit des Anbieters: Cookies können nicht nur zum Schutz der Nutzer, sondern auch zum Schutz des Webseitenbetreibers eingesetzt werden (z.B. um Betrugsfälle in einem Onlineshop zu erkennen). Ob diese eigenwirtschaftlich orientierte Nutzung ohne Einwilligung erfolgen darf, ist ungewiss.
In der Praxis kommt es auf Ihre Risikobereitschaft an. Angesichts der unklaren Rechtslage ist das Risiko des Einsatzes von Cookies zu Komfort-, Design- und Sicherheitszwecken gering. Auch die reine Reichweitenmessung birgt ein geringes Risiko.
Bedürfen Cookies für Reichweitenmessung einer Einwilligung?
Es lässt sich durchaus argumentieren, dass die bloße Analyse der Besucherströme für eine ihre Funktionen erfüllende Webseite, heutzutage notwendig sind. So vertreten u.a. (wenn auch in einem ganz engen Rahmen) deutsche Datenschutzbehörden, aber auch die französische Datenschutzbehörde CNIL ist dieser Ansicht.
Dabei stellen Aufsichtsbehörden die folgenden Voraussetzungen auf:
- Pseudonyme Statistiken: Es werden ausschließlich pseudonyme Statistiken ohne Profilbildung erstellt.
- Kein Tracking über Webseiten hinweg: Nutzer werden nicht über mehrere Webseiten, Dienste oder Apps verfolgt.
- Keine Nutzung für kommerzielle Zwecke: Diese Einschränkung lässt sich der Orientierungshilfe der deutschen Aufsichtsbehörden entnehmen.
- Keine Bereitstellung an Dritte: Die erhobenen Daten werden nicht Dritten zugänglich gemacht (damit wäre auch die Nutzung von externen Tools zulässig, solange deren Anbieter die Daten nicht zu eigenen Zwecken verarbeiten, sondern eine “Auftragsverarbeitung” vorliegt).
D.h. Einstellungen mit denen z.B. wiederkehrende Besucher wiedererkannt werden dürfen, wären nach dieser Ansicht zumindest problematisch (weswegen die Wiedererkennungsquote auf einen möglichst kurzen Zeitraum begrenzt werden sollte).
In der Praxis wird es nicht nur auf die konkreten Einstellungen der verwendeten Analysesoftware ankommen, sondern auch auf die Software selbst. So müssen Sie beim Einsatz von Google Analytics ohne Einwilligung eher mit Rückfragen von Behörden rechnen. Dagegen wird bei einer nicht an ein Werbenetzwerk angeschlossenen Software wie Matomo eher angenommen, dass sie die vorgenannten Anforderungen erfüllt.
Ausgestaltung des Einwilligungsverfahrens
Die Hinweise im folgenden Abschnitt müssen Sie beachten, damit Sie Einwilligungen wirksam einholen können. Dabei sind insbesondere die Information der Nutzer und die Gestaltung der Einwilligungs- und Ablehnschaltflächen der Cookie-Banner von Bedeutung.
Bedeutung der Einwilligungspflicht
Einwilligungspflicht bedeutet, dass bevor der Nutzer keine Einwilligung in den Einsatz von Cookies und vergleichbaren Verfahren abgegeben hat, keine Cookies auf einer Webseite oder innerhalb einer mobilen Applikation ausgeführt werden dürfen.
Betritt ein Nutzer die Website und z.B. Google Analytics ist bereits aktiv, dann ist von einem Verstoß gegen die Einwilligungspflicht auszugehen.
Einwilligung muss aktiv erfolgen
Im Hinblick auf das Einwilligungsverfahren, verweist die§ 25 Abs. 1 S. 2 TDDDG auf die DSGVO (Art. 7 DSGVO). Die DSGVO wiederum stellt strenge Regeln an eine wirksame Einwilligung.
So haben der EUGH und der BGH entschieden, dass die eine Einwilligung einer aktiven Handlung bedarf (EuGH, 1.10.2019 – C-673/17 “planet49”, BGH, 28.05.2020 – I ZR 7/16).
Damit erklärten sie die bis dahin verwendeten “Wenn Sie die Website weiter nutzen, erklären Sie sich mit Cookies einverstanden“-Einwilligungen für unwirksam. An ihre Stelle traten die sogenannten “Consent Management Plattformen” (kurz “CMP”, alternativ wird auch die umschreibende Bezeichnung “Cookie-Consent-/Opt-In-/Einwilligungs-Banner” verwendet).
Umfang von Informationen in Consent -Management-Plattformen
Der EuGH entschied nicht nur, dass eine Einwilligung aktiv erfolgen muss, sondern auch, dass Nutzern die folgenden Informationen bereitgestellt werden müssen:
- Art und Funktionsweise der Cookies – Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden kann. Eine Erläuterung der verwendeten Bezeichnungen der Cookie-Gruppen (z.B. “Marketing” oder “Statistik”), ist bereits im “Cookie Banner” zu empfehlen.
- Lebensdauer von Cookies – Die Lebensdauer von Cookies beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie nach der Lebensdauer fragen. Anbieter von Consent-Management-Plattformen haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
- Identität der Dienstleister, die die Cookies verarbeiten – Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo, sofern Sie für diesen eine Einwilligung einholen).
- Widerspruchsmöglichkeit: Bereits aus dem Gesetz ergibt sich, dass den Nutzer der Widerspruch so leicht fallen muss, wie die ursprüngliche Einwilligung. Zur Ausgestaltung des Widerrufs erhalten Sie im Folgenden weitere Informationen.
Podcasttipp zum TDDDG und Cookies
Zur Begleitung und Vertiefung dieses Ratgebers empfehlen wir Ihnen die folgenden Folgen des Rechtsbelehrung-Podcasts:
Arten von Cookie-Management-Plattformen
Ein Unterschied bei den Consent Management Plattformen besteht vor allem im Hinblick auf die automatische Aktualisierung:
- CMP ohne Aktualisierungsfunktion: Consent Management Plattformen können auf eigenem Server betrieben werden (z.B. Borlabs-Cookie oder sogar selbst erstellt werden). In diesem Fall müssen die Informationen zu den eingesetzten Cookie-Verfahren manuell aufgenommen werden (bzw. werden von den Anbietern der Cookie-Software mitgeliefert).
- CMP mit Aktualisierungsfunktion: Anbieter wie z.B. Cookie-Bot oder Usercentrics bieten Consent Management Plattformen an, die die Webseite automatisch auf eingesetzte Cookies und vergleichbare Verfahren prüfen und die benötigten Informationen zu den Anbietern aus einer zentralen Datenbank (des Interactive Advertising Bureau, IAB) beziehen.
Wenn Sie auf Ihrer Webseite nur eine bestimmte Auswahl von Verfahren einsetzen und diese nicht häufig wechseln, wird eine Lösung ohne Aktualisierungsfunktion ausreichen. Wenn Sie dagegen die Dienste häufig wechseln oder sicherstellen wollen, dass die Informationen möglichst vollständig und aktuell sind, ist die Lösung mit Aktualisierungsfunktion empfohlen.
Kein Cookie-Banner für unbedingt erforderliche Cookies notwendig
Wenn Sie nur unbedingt erforderliche Cookies und vergleichbare Verfahren einsetzen (z.B. Warenkorb-Cookies und Matomo mit digitalem Fingerabdruck ohne Cookies), dann benötigen Sie keine Cookie-Einwilligung und damit auch keine Consent Management Plattform.
Dennoch sollten Sie Informationen zu den Cookies und den verwendeten Diensten aufnehmen. Ebenso sollten Sie, sofern möglich und zumutbar eine Widerrufsmöglichkeit bereitstellen:
- Widerruf bei Reichweitenmessung: Bei Diensten zur Reichweitenmessung dienen, sollten Sie eine Widerspruchsmöglichkeit (Art. 21 DSGVO) in der Datenschutzerklärung aufnehmen (z.B. IFrame mit einer Opt-Out-Funktion bei Matomo).
- Widerruf bei anderen notwendigen Cookies: Für Cookies die nicht abgeschaltet werden können (z.B. Warenkorb-Cookies, Login-Cookies, Spracheinstellungs-Cookies, Cookies die der Sicherheit der Nutzer dienen, etc.) müssen Sie keine besondere Widerspruchsmöglichkeit bereitstellen. In diesen Fällen genügt ein regulärer Widerrufshinweis in der Datenschutzerklärung (dieser muss immer aufgenommen werden, s. bei uns im Generator). Der Hinweis ist zwar verpflichtend, dessen Umsetzung aber nur, wenn Nutzer triftige Gründe persönliche gegen diese Cookies vorbringen. Das ist bei den vorgenannten Cookies jedoch kaum vorstellbar.
Zulässigkeit einer Einwilligung für alle Cookies
Eine Einwilligung muss pro Datenverarbeitung eingeholt werden. Jedoch ist es in der Praxis schwer einzelne Verfahren abzugrenzen, ohne dass auf die Nutzer eine Flut von Kontrollkästchen zukommt.
Daher besteht nach den wohl überwiegenden Rechtsansichten die Möglichkeit, Einwilligungen zusammenzufassen. Auch die Rechtsprechung des EuGH steht der Verbindung der Einwilligung in die Messung von Öffnungs- und Klickraten nicht entgegen.
Der Gerichtshof befand lediglich, dass der Erklärungswille einer einwilligenden Person sich „ohne jeden Zweifel“ auch auf die Einwilligung in die maßgebliche („konkrete“) Datenverarbeitung beziehen und aktiv erteilt werden muss (Rn. 54). In jedem Fall sollte schon die Schaltflächenbezeichnung erkennen lassen, dass “Alle” Cookies oder “Alle angehakten” Cookies akzeptiert werden.
Bejahung durch den Europäischen Datenschutzausschuss: Die Bündelung mehrerer Dienste ist wohl auch laut dem Europäischen Datenschutzausschuss möglich. Zumindest ausgehend von der der aktuellen “Leitlinie zu Voraussetzungen einer Einwilligung“, nach der die Einwilligung zwar in einzelne Zwecke aufgespalten werden muss, aber die Zusammenfassung mehrerer Anbieter möglich ist (s. Randnummer 66).
PUR-Abos, Cookie-Walls und das Kopplungsverbot
Es kommt immer häufiger vor, dass Webseiten Nutzern den Zugang zu Webseiten nur dann erlauben, wenn die Nutzer in den Einsatz von Cookies einwilligen (so genannte “Cookie-Wall“). Hierbei darf man sich durchaus fragen, ob eine solche Einwilligung noch freiwillig und damit wirksam ist.
Zwar existiert eine Regelung (Art. 7 Abs. 4 DSGVO), die bei der Frage der Freiwilligkeit darauf abstellt, inwieweit eine Einwilligung erforderlich ist. Was darunter zu verstehen ist, darüber streiten sich jedoch die Juristen:
- Keine Freiwilligkeit bei echter Zwangslage: An der Freiwilligkeit wird es je eher fehlen, je notwendiger die angesteuerten Webseiten für die Besucher sind. Z.B. bei Webseiten von Banken, Versicherungen, Energieversorgern, Behörden, Ärzten, Apotheken, Rechtsanwaltskanzleien oder Login-Bereichen, die zuvor ohne Cookies erreicht werden konnten.
- Keine wirksame Einwilligung, bei Webseiten die sich (auch) an Minderjährige richten: Einwilligungen von Minderjährigen sind bei Onlinediensten erst ab 16 Jahren zulässig (Art. 8 Abs. 1 S. 1 DSGVO). Die Minderjährigen sollten daher eine Möglichkeit haben die Webseiten cookiefrei zu nutzen.
- Freiwilligkeit bei angemessener Kostenpflicht als Alternative: Als freiwillig wird eine Cookiepflicht betrachtet, wenn Websitebesucher statt der Cookies einen dem “Werbeverlust” angemessenen Betrag für die Cookiefreiheit bezahlen können (die niedersächsische oder österreichische Datenschutzaufsicht halten diese Variante für zulässig).
- Anwendbarkeit des Fernabsatzgesetzes: Aufgrund gesetzlicher Änderungen im Jahr 2022 müssten derartige Daten-gegen-Nutzung-Geschäfte wie ein fernabsatzrechtlicher Kauf gestaltet werden (z.B. müsste eine Widerrufsbelehrung zur Verfügung gestellt werden). Derzeit scheint sich jedoch kaum ein Medienunternehmen an diese Vorgabe zu halten (weitere Hinweise in dem Beitrag “Gratis gibt’s nicht? – Neue Regeln für die Bezahlung mit Daten für E-Books, Gewinnspiele oder Apps“).
Für die Praxis ist relevant, dass die Datenschutzkonferenz das Pur-Abo-Modell mit ihrem Beschluss vom 30. März 2023 grundsätzlich gebilligt hat. Sie konkretisiert dabei die Anforderungen und betont, dass Tracking auf Zustimmung basieren kann, wenn ein trackingfreies, kostenpflichtiges Alternativangebot zur Verfügung steht.
Für große Plattformen, die ihre Nutzer an sich binden können, wie z. B. Facebook, wird zumindest seitens des europäischen Datenschutzausschusses auch im Fall der Zahlung ein Zwang gesehen und eine Light-Version der Plattform ohne Zahlung und ohne Nutzung der Nutzerdaten zu Werbezwecken verlangt.
Optimale Platzierung von Cookie-Bannern
Ein in der Mitte des Bildschirms platziertes Cookie-Opt-In-Banner, kann die Nutzer eher zu einem Opt-In veranlassen als ein unauffälliges Banner im Fußbereich einer Webseite. Noch wirksamer könnte eine Vorschaltseite mit einem Cookie-Opt-In sein.Vorgaben gibt es hier jedoch keine. Solange die Nutzer eine Möglichkeit haben, die Einwilligung abzulehnen, sind beide Versionen zulässig.
Die Platzierung in der Fußzeile der Website hat jedoch einen Vorteil: Nach Ansicht der Datenschutzbehörden kann der Opt-out-Prozess in diesem Fall komplizierter gestaltet werden. Es wäre dann z.B. zulässig, statt eines “Ablehnen”-Buttons einen “Einstellungen”-Button anzubieten und die Abwahl von Cookies erst auf der Einstellungsebene zu ermöglichen.
Dies gilt jedoch nur, wenn trotz des Cookie-Banners noch genug von der Website zu sehen ist, um sie sinnvoll nutzen zu können (auch bei Zugriff über ein mobiles Gerät).
Sichtbarkeit des Impressums und der Datenschutzerklärung: Platzieren Sie die Cookie-Opt-In-Banner so, dass die Links zum Impressum, der Datenschutzerklärung nicht verdeckt werden. Ansonsten können Sie abgemahnt werden. Sie können diese Links natürlich im Cookie-Opt-In-Banner aufnehmen, dann dürfen diese auf der Website verdeckt werden.
Einleitungstext im Cookie-Banner
Der Einleitungstext sollte den Nutzern klar machen, in welche Verarbeitungsarten sie einwilligen, dass sie jederzeit widersprechen können und wo sie weitere Informationen erhalten. Formulierungsvorschlag:
Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind notwendig (z.B. für den Warenkorb), während andere nicht notwendig sind, uns jedoch helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Die Einwilligung umfasst alle vorausgewählten, bzw. von Ihnen ausgewählten Cookies und die mit Ihnen verbundene Speicherung von Informationen auf Ihrem Endgerät sowie deren anschließendes Auslesen und die folgende Verarbeitung personenbezogener Daten. Die Rechtsgrundlage für die Einwilligung im Hinblick auf die Speicherung und das Auslesen von Informationen ist § 25 Abs. 1 TDDDG [bzw. in Österreich § 96 Abs. 3 TKG] sowie im Hinblick auf die Verarbeitung personenbezogener Daten Art. 6 Abs. 1 lit. a DSGVO.
Sie können in den Einsatz der nicht notwendigen Cookies mit dem Klick auf die Schaltfläche “Akzeptieren” einwilligen oder per Klick auf “Ablehnen” sich anders entscheiden. Sie können diese Einstellungen jederzeit aufrufen und Cookies auch nachträglich jederzeit abwählen (Link im Fußbereich unserer Website).
Weitere Hinweise zu den verwendeten Verfahren und Ihren Rechten, erhalten Sie in unserer Datenschutzerklärung.
Falls möglich, sollten Sie an dieser Stelle auch die Beschreibung der einzelnen Cookie-Funktionen/Gruppen aufnehmen. Denn nach Ansicht der Datenschutzbehörden können alle Cookies nur dann wirksam durch Anklicken der Zustimmungsschaltfläche akzeptiert werden, wenn die Nutzer zumindest grob wissen, welche Funktionen diese Cookies haben.
Erforderlichkeit einer Datenschutzerklärung neben dem Cookie-Management
Neben einer Cookie-Management-Plattform wird auch eine Datenschutzerklärung benötigt. Die Datenschutzerklärung enthält eine Vielzahl weiterer Pflichtinformationen gem. Art. 13-14 DSGVO (z.B. zum Verantwortlichen, Betroffenenrechten mit dem Recht auf Auskunft, Löschung. etc.) und zu anderen Verarbeitungsverfahren (z.B. Newsletter, Kontaktformular, Videokonferenzen, etc.).
Daneben sollte die Datenschutzerklärung weitere Erläuterungen zu den eingesetzten Cookie-Funktionen und Diensten enthalten. Z.B. Erläuterungen von Begriffen wie Onlinemarketing, Remarketing oder Tracking an sich. Denn je informierter die Nutzer sind, desto geringer ist das Risiko einer unwirksamen Einwilligung.
Schaltfläche zur Ablehnung der nicht-erforderlichen Cookies
Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung. Insbesondere sollen Nutzer durch eine Gestaltung des Zustimmungsdialogs, nicht derart in die Irre geführt werden, dass sie Cookies aus Versehen zustimmen oder weil die Ablehnung viel einfacher fällt (man spricht hier auch von so genannten “Dark Patterns“, d.h. Benutzerschnittstellen-Design, das darauf ausgelegt ist, den Benutzer zu Handlungen zu verleiten, die dessen Interessen entgegenlaufen).
Was das konkret bedeutet, lässt sich am besten anhand der folgenden Beispiele verdeutlichen:
- Eindeutige Bezeichnung: Sicher sind Schaltflächen, die Begriffe, wie “Akzeptieren” und “Ablehnen” tragen. Der Begriff “Nur notwendige Cookies akzeptieren” wurde vom LG-Rostock für unzureichend gehalten,, ebenso wie die Bezeichnung “Einstellungen” (die Urteile werden nachfolgend erläutert).
- Wann ein “Ablehnen”-Schaltfläche nicht erforderlich ist: Eine Ablehnen-Schaltfläche ist nicht erforderlich, wenn das Cookie-Banner, die Nutzung der Webseite nicht stört und damit kein Zwang besteht, es anzuklicken (s. Rechtsprechung: LG München I unten).
- Farbe der Schaltflächen: Vorsicht sollte bei Leitung der Nutzer mithilfe von Farben angebracht sein. Es gibt zwar keine klaren Vorgaben. Wer jedoch die “Akzeptieren“-Schaltfläche farblich knallig gestaltet und “Ablehnen“-Schaltfläche grau, so dass sie in den Hintergrund tritt, der setzt sich dem Vorwurf aus, die Nutzer bewusst in die Irre zu führen.
- Größe und Form: Die Schaltflächen zum Akzeptieren und Ablehnen sollten nach Möglichkeit gleich groß sein, um als gleichwertig zu gelten.
- Ablehnung auf zweiter Ebene: Sehr häufig müssen Nutzer eine Unterseite der Consent-Management-Plattform aufrufen, um nicht unbedingt erforderliche Cookies abzulehnen. Ein derartiges Verfahren ist risikoreich, wäre ausgehend von der Rechtsprechung des BGH eher unzulässig (BGH, 28.05.2020 – I ZR 7/16, Rn. 32) und wurde auch vom LG München I (29.11.2022 – 33 O 14776/19) für unzureichend erklärt.
In der Praxis sind die “Dark Patterns” bei der Gestaltung der Cookie-Management-Plattformen eher die Regel als die Ausnahme. Als Grund wird der mangelnde Vollzug gesehen.
D.h. es kommt selten vor, dass Aufsichtsbehörden Untersagungsverfügungen sowie Bußgelder oder Warnungen erteilen oder Abmahnungen ausgesprochen werden. Wenn sie es allerdings täten, dann würden sie damit vor Gerichten (entsprechend der bisherigen Tendenz) eher Recht bekommen.
Rechtsprechung: Widerruf mittels “Einstellungen” LG München I unzureichend
Das LG München I (29.11.2022 – 33 O 14776/19) hielt das Cookie-Opt-In-Banner von Focus.de für unzureichend und begründete dies mit sog. “Dart Patterns”.
Dazu stellte das Gericht fest, dass eine einfache Abwahl der Cookies erforderlich sein muss, wenn die Webseite sonst nicht nutzbar ist (Hervorhebungen vom Verfasser, CMP heißt “Cookie- Management-Plattform):
Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall. So kann auf der ersten Seite der CMP […], welche die Nutzung der Webseite bis zur Einwilligungserteilung oder -verweigerung durch teilweises Verdecken der Webseite verhindert, lediglich die Einwilligung in vollem Umfang erteilt oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden. […] Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung.
Ferner befand das Gericht, dass die Farbwahl für die Wirksamkeit der Einwilligung relevant sein kann:
Dabei ist die Schaltfläche „Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen.
Es zeigt sich also eine gerichtliche Tendenz, den Ansichten der Aufsichtssbehörden zu folgen.
Rechtsprechung: LG Rostock verbietet “Dark Patterns”
Das Landgericht Rostock entschied, das die konkrete Gestaltung einer Einwilligungsschaltfläche) der Consent-Management-Platform “Cookiebot” unzulässig war (LG Rostock, 15.09.2020 – 3 O 762/19).
In dem Fall konnten die Nutzer entsprechend dem Bildbeispiel die Schaltfläche “Cookies zulassen” klicken, um eine Einwilligung in die Verwendung von Cookies zu erklären.
Um die Einwilligung zu verweigern, mussten sie die Schaltfläche “nur notwendige Cookies verwenden” anklicken oder die Cookies per Hand abwählen.
Das LG Rostock fand jedoch, dass die Schaltfläche “nur notwendige Cookies akzeptieren” sich gegenüber der dominanten grünen Schaltfläche “Cookies” zulassen nicht hinreichend abhob und gar nicht als ein Link zu erkennen war. Auch der Umstand, dass die Nutzer einzelne Cookie-Arten abwählen konnten, war für das Gericht nicht ausreichend. Denn hierzu müsste man einzelne Cookies bereits auf der ersten Seite der Consent-Management-Platform aufführen (Hervorhebung vom Verfasser):
Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.
Das Gericht verbot die Verwendung von “Dark Patterns” und meint im Ergebnis, dass die Schaltfläche zur Ablehnung der Cookies optisch genauso wahrnehmbar sein muss, wie die Zustimmungsschaltfläche.
Ob die Informationen zu den einzelnen Cookies auch im Fall einer deutlichen Ablehnungsschaltfläche schon auf der ersten Seite der Consent-Management-Platform stehen muss, ist dem Urteil zumindest nicht direkt zu entnehmen. Zumal die vielen Angaben, zumindest nach Ansicht des Verfassers, die Transparenz erschweren und z.B. auf Mobilgeräten viel Scrolling erfordern würden.
Einsatz von US-Anbietern
Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten außerhalb der EU in sog. “Drittländer” (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören vor allem die USA. Es sei denn, es kann ein angemessenes Datenschutzniveau in dem Drittland festgestellt werden.
- Abschluss von Standardvertragsklauseln: Als Standardvertragsklauseln werden Musterverträge der EU-Kommission bezeichnet, die Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. Allerdings erlauben sie Datentransfers nur, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird. Die Standardvertragsklauseln waren bisher die gängige Alternative zu einem Angemessenheitsbeschluss. Allerdings wurde zunehmend in Frage gestellt, ob eine vertragliche Verpflichtung Daten der EU-Bürger vor Geheimdiensten zu schützen, allein ausreicht.
- Trans-Atlantic Data Privacy Framework: Seit dem 10. Juli 2023 existiert das “Trans-Atlantic Data Privacy Framework (TADPF)”. Das TADPF ist eine Vereinbarung zwischen den USA und der EU, in der die USA Datenschutzzusicherungen gemacht haben und die EU-Kommission im Gegenzug entschieden hat, dass ein angemessenes Datenschutzniveau für US-Unternehmen besteht. Um vom TADPF zu profitieren, müssen sich US-Unternehmen unter dem TADPF zertifizieren lassen. Das TADPF ist sicherer als Standardvertragsklauseln. Ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie z.B. Google oder Facebook verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?
Möglichkeit späterer Änderungen der Einwilligungen
Nutzer müssen deren Cookie-Einstellungen ändern können (um so insbesondere ihren Widerspruch erklären zu können). Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Zu empfehlen ist die Platzierung,
- in der Datenschutzerklärung und zusätzlich
- im Fußbereich der Webseite.
Ferner sollten Nutzer schon in Consent-Management-Plattformen darüber belehrt werden, wo sie diese Links finden.
Nachweis der Cookie-Einwilligung
Bei der Nachweisbarkeit von Einwilligungen setzen manche Consent-Management-Plattformen auf ein ausgeklügeltes ID-System. In den meisten Fällen wird bei der Zustimmung ein Opt-In-Cookie auf den Geräten der Nutzer gespeichert.
Dabei wird der Nachweis einer Einwilligung durch den Nachweis eines funktionsfähigen Cookie-Opt-In-Verfahrens und Speicherung der einzelnen Einwilligungs-IDs erbracht.
Die Ablehnung der Einwilligung darf ebenfalls gespeichert werden, um die Nutzer nicht mit erneuten Cookie-Bannern zu belästigen.
YouTube, Facebook, Instagram und andere Social Media Inhalte
Für die Einbettung von individuellen Inhalten, z.B. Videos oder Postings aus sozialen Netzwerken muss nicht grundsätzlich eine Einwilligung eingeholt werden. Die Einbettung fremder Inhalte könnte durchaus als unbedingt erforderlich betrachtet werden, weil Nutzer interaktive Inhalte erwarten und mehr honorieren (natürlich kann man das auch und je Angebot und Zielgruppe anders sehen). Das Risiko, dass jemand dagegen vorgeht (und das auch noch erfolgreich), ist eher gering.
Allerdings werden die Inhalte häufig mit Tracking-Tools ihrer Anbieter, häufig auch mit Google Analytics ausgeliefert. Das ist z.B. bei den meisten sozialen Netzwerken oder Videoplattformen der Fall.
Daher sollte den eingebundenen Inhalten ebenfalls eine Einwilligungsschaltfläche vorgeschaltet werden. Die meisten Consent Management Plattformen bieten entsprechende Einstellungen an.
YouTube mit “no-cookie”: Im Standardmodus werden eingebundene Videos von Cookies begleitet, die Marketingzwecken dienen und daher einer Einwilligung bedürfen. YouTube bietet jedoch die Möglichkeit an, Videos in einem “erweiterten Datenschutzmodus” einzubinden (erkennbar an der Webadresse “youtube-nocookie.com“). In dem Fall werden jedoch nur beim reinen Einbinden keine Cookies oder vergleichbare Technologien eingesetzt. Spielt der Nutzer das Video ab, dann werden wiederum Cookies von Google eingesetzt, die auch Marketingzwecken dienen können. Daher ist auch beim erweiterten Datenschutzmodus die Einholung einer Einwilligung zu empfehlen.
Beispiele für Google Analytics, Matomo und andere Dienste
In dem folgenden Abschnitt wird die Einwilligungspflicht nach dem TDDDG und der DSGVO für die häufig eingesetzten Dienste und Analyseverfahren geprüft.
Einsatz von Matomo ohne Einwilligung
Der Dienst Matomo dient der Webeanalyse und hat bereit den Vorteil, dass die Daten auf dem eigenen Server verarbeitet werden. Matomo kann mit Cookies oder ohne Cookies eingesetzt werden. Die Nutzung ohne Cookie ist vorzuziehen, da sie keine Daten auf dem Endgerät des Nutzers speichert werden (dennoch müssen Nutzer in der Datenschutzerklärung über den Einsatz von Matomo belehrt werden).
Ohne Cookies wird anhand der, an den Server des Websitebetreibers übermittelten IP-Adressen und technischen Angaben, nur ein sogenannter digitaler Fingerabdruck (“digital/Browser fingerprint”) für 24 Stunden gespeichert.
Rechenschaftspflicht: Sie sollten gegenüber Aufsichtsbehörden nachweisen können, dass Sie den Zweck und den Umfang des Webtrackings vorab festgelegt haben. Daher sollten Sie den Zweck und die vorgenommenen Einstellungen protokollieren, also digital oder auf Papier festhalten.
Google Analytics (Standard, mit Cookies, auch Version 4)
Da Google die Daten der Nutzer auch für eigene Zwecke oder Zwecke anderer Analytics-Nutzer einsetzen kann, ist von einer Erforderlichkeit des Cookie-Einsatzes eher nicht auszugehen. Daher sollte für Google Analytics eine Einwilligung eingeholt werden.
Das gilt auch wenn die IP-Adresse, wie bei Google Analytics 4 standardmäßig erfolgt, gekürzt wird. Es werden auch in diesem Fall Daten aus den Endgeräten der Nutzer ausgelesen oder werden auf diesen gespeichert. Ferner werden Profile der Nutzer gebildet und können trotz der für sich anonymisierten IP-Adresse, Rückschlüsse auf bestimmte Nutzer geben.
Google Analytics ohne Cookies
Beim Einsatz von Google Analytics besteht nunmehr die Möglichkeit der Nutzung ohne eine Cookie-Einwilligung.
Mit dem Tag “storage:none” setzt Google kein Cookie mit der ID des Nutzers („ClientID“). Diese ID muss stattessen von den Website- oder App-Bertreibern zugeteilt werden. Sie können jedem Nutzer eine eigene ID zuteilen oder nur Nummern für Arten von Nutzern vergeben und so die Nutzer anonymisieren (Anleitung, die zeigt, dass die Einrichtung zumindest nicht trivial ist).
Sofern dabei dieselben Prinzipien wie bei Matomo (s.o.) angelegt werden, also möglichst geringe Datensammlung, darf zumindest nach Ansicht des Verfassers, Analytics ohne eine Einwilligung betrieben werden.
Allerdings müsste sichergestellt sein, dass die Einrichtung stets funktioniert und Google nicht doch Daten auf den Geräten der Nutzer speichert oder von dort aus ausliest, was einen ständigen Kontrollaufwand erfordert.
Zusammenfassend kann Google Analytics theoretisch genauso ähnlich rechtssicher wie Matomo eingesetzt werden. Anders als bei Matomo könnte im Fall der Fälle jedoch der praktische Nachweis schwer fallen, dass Google die Daten nicht für andere Zwecke nutzt. Insgesamt ist daher eine Einwilligung auch beim Einsatz von “Google Analytics ohne Cookies” zu empfehlen.
Serverseitige Messung mit Google-Analytics und Vorteile bei US-Datentransfers
Mit Hilfe des Google Analytics Measurement Protocol, können Daten an Google nicht über den Browser der Nutzer, sondern über den Server des Webseitenbetreibers gesendet werden. Dabei hat der Anbieter es in der Hand, welche Daten an Google gesendet werden und wie das Messverfahren ausgestaltet ist.
Werden z.B. lediglich bestimmte Events ohne Bezug zum Nutzer erfasst und an Google Analytics gesendet, ist weder das TDDDG einschlägig noch die DSGVO. Denn es werden keine Informationen vom Gerät der Nutzer ausgelesen oder auf diesem gespeichert (das gilt auch wenn die gesendete IP-Adresse verwendet wird, um z.B. zusammengehörende Abfolgen von Events auf der Webseite zu erfassen).
Werden dagegen z.B. IP-Adressen an Google gesendet und Cookies für eine längerfristige Erfassung von Nutzern eingesetzt, bedarf es sowohl nach dem TDDDG wie auch nach der DSGVO einer Einwilligung.
Erleichterung bei US-Datentransfers und serverseitigem Tracking: Wenn Ihr Web-Server in der EU steht und Sie die IP-Adressen der Nutzer nur auf diesem Server speichern und an Google (oder andere US-Dienste) nur die von Ihnen dem Datensatz selbst zugewiesene ID-Nummer schicken, dann werden nach der Ansicht des Verfassers keine personenbezogenen Daten der Nutzer in den USA verarbeitet. Allerdings liegt dazu noch keine Gerichtsentscheidung vor, die hinreichende Verlässlichkeit bietet. Je nach Strenge der eigenen Ansichten könnten Datenschützer damit argumentieren, dass alleine die schiere Zahl der Daten, die Google erhält, ausreichend sind, die Nutzer hinreichend identifizieren zu können und demnach personenbezogene Daten in den USA verarbeitet werden. Dennoch ist diese “IP-Schleuse” auf dem eigenen Server in der Praxis ein großes Datenschutzplus.
Google Analytics im Einwilligungsmodus ohne Cookies
Auch mit dem Tag “analytics_storage=‘denied‘” (derzeit in der Betaphase) werden keine Cookies beim Nutzer gespeichert (auch nicht zur Konversionsmessung, wenn Google Ads verwendet werden). Erst mit der Einwilligung der Nutzer werden Cookies eingesetzt.
Allerdings werden so genannte “Pings” an Google gesendet, die Informationen zum Browser, Zeitstempel, Verweis-URL und eine zufällige Zahl enthalten. Da diese Zugriffe zu Marketingzwecken erfolgen und nicht unbedingt erforderlich sind, ist von einer Einwilligungspflicht auszugehen.
Generell ist dieses Verfahren weniger sicher als “Google Analytics ohne Cookies”, da hier nicht vorgefiltert wird, welche Informationen Google erhält. Dazu kommt auch hier die Frage, ob Google diese Informationen nicht mit anderen zusammenführen und sie für andere Zwecke verwenden kann. Aus diesem Grund ist auch in dieser Konstellation die Einholung einer Einwilligung der Nutzer zu empfehlen.
Google Tag Manager
Der Google Tag Manager speichert selbst keine Cookies. Allerdings wird der Tag Manager im Browser der Nutzer ausgeführt, d.h. zumindest im Speicher ihrer Endgeräte als Information gespeichert.
Daher ist der Google Tag Manager ebenfalls grundsätzlich einwilligungspflichtig. Außer man würde ihn als unbedingt erforderlich einstufen (s. weitere Hinweise bei Härting):
- Tag Manager ohne Tags: Wenn der Google Tag Manager ohne Funktion aktiv ist (also wegen Nichtnutzung “leerläuft”) ist er bereits nicht erforderlich.
- Tag Manager mit Tags, die selbst keiner Einwilligung bedürfen: Wenn im Tag Manager z.B. Matomo eingebunden ist, dann bedarf auch der Tag Manager keiner Einwilligung.
- Tag Manager mit Tags, die selbst einer Einwilligung bedürfen: In dem Fall müssen Sie auch für den Tag Manager eine Einwilligung einholen.
Google FLoC
Google und andere Mitbewerber in der Werbebranche versuchen strengeren Regulierungen entgegenzuwirken und zu diesem Zweck deren Werbeausspielverfahren privatsphärenfreundlicher ausgestalten. Dabei versucht(e) Google mit “Federated Learning of Cohorts” (kurz “FLoC”) ein neues Verfahren auf dem Markt zu etablieren.
Federated Learning of Cohorts (FLoC): Statt Nutzerdaten auf eigenen Servern zu speichern, hat Google vor, die Profile der Nutzer in deren Browsern zu speichern. An Google werden nicht die Profile, sondern Einordnungen der Nutzer in eine bestimmte Gruppe, eine sogenannte Kohorte, gesendet. Eine Kohorte ist eine Gruppe von Nutzern mit gemeinsamen Eigenschaften. Beispiel: Google fragt den Browser des Nutzers, ob ein Nutzer auf einer Webseite schon einmal gewesen ist oder ein Produkt erworben hat, um die passende Werbung einzublenden.
Ob sich FLOC durchsetzt ist derzeit eher zu bezweifeln und ausgehend von der vielfältigen Kritik fraglich. Da es auf der Speicherung der Profile der Nutzer zu Marketingzwecken auf den Geräten der Nutzer beruht, ist es in jedem Fall einwilligungspflichtig.
Facebook-Pixel
Auch das “Facebook-Pixel” arbeitet mit Cookies, bzw. vergleichbaren Technologien, dient Marketingzwecken, ist damit nicht unbedingt erforderlich und somit nach dem TDDDG als auch nach der DSGVO einwilligungspflichtig.
VG-Wort-Pixel
Das VG Wort Zählpixel gehört wohl zu den datenschutzrechtlich unverdächtigsten Messverfahren, die nur dazu dienen, dass Autoren entsprechend ihren Leserzahlen eine entsprechende Vergütung von der Verwertungsgesellschaft erhalten.
Allerdings wird dabei auch ein Zählpixel auf den Geräten der Nutzer gespeichert und ausgelesen. Damit muss geprüft werden, ob das für den von einem Nutzer gewünschten Dienst unbedingt erforderlich ist (Details zum Verfahren). Aus der Sicht des Verfassers dieses Beitrags, ist das der Fall. Wer z.B. einen Blog aufsucht, der wünscht sich auch, dass dort Inhalte stehen. Diese können Autoren aber nicht ohne eine Lebensgrundlage erstellen.
Dieser Argumentation ist natürlich angreifbar und auch Google kann ohne Geld nicht existieren. Zudem müssten dann gut betuchte Autoren mangels Notwendigkeit eine Einwilligung verlangen. Im Endergebnis kann eine solche Regulierung auf die Unterstützung von Paywalls hinauslaufen.
Allerdings ist es eher weniger wahrscheinlich, dass eine Aufsichtsbehörde alleine wegen eines VG Wort Pixels ein Verfahren aufnimmt oder Abmahnungen versendet. Wer jedoch auf Nummer sicher gehen möchte, der sollte um eine Einwilligung für das VG-Pixel bitten. Das kostenmäßige Risiko liegt im Fall einer Abmahnung bei ca. 500 – 1.500 Euro mit eigenem Rechtsbeistand.
Affiliate-Systeme und Einwilligung für Links
Eine Einwilligung ist notwendig, wenn bereits auf der Website des Advertisers Affiliate-Cookies gesetzt werden.
Aber auch bei Affiliate-Links ohne Cookies, kann durchaus diskutiert werden, ob auch nicht dabei nicht unbedingt erforderliche Informationen auf den Geräten der Nutzer gespeichert werden. Denn in diesem Fall enthalten die Links bestimmte Parameter (z.B. “xyz.html?parameter_quelle=XYZ¶meter_partner=XYZ“) mit deren Hilfe vermittelte Klicks den Advertisern zugeordnet werden können. Dabei handelt es sich um Informationen, die auf deren Endgerät geschrieben werden (zumindest im RAM-Speicher).
Ob auch diese konsequente Auslegung des Wortlauts des Gesetzes zutreffend ist, wurde bisher gerichtlich nicht geklärt. Auch ist nicht bekannt, dass Aufsichtsbehörden wegen derartiger Links bisher tätig wurden. Umgekehrt ist es technisch sehr aufwendig, in solchen Fällen eine Einwilligung einzuholen. Denn die Links müssten abhängig von der Einwilligung ausgespielt werden dürften.
Daher spricht die Risikoabwägung dafür, bei Affiliatelinks ohne Cookies auf eine Einwilligung zu verzichten (außer Sie möchten auf Nummer Sicher gehen).
Öffnungs- und Linkklickraten von Newslettern
Wenn Sie innerhalb Ihrer Newsletter Öffnungs- oder Klickraten messen (oder andere Trackingmaßnahmen, wie den Google-Analytics-Code) einbinden, bedarf dies einer Einwilligung der Adressaten. Denn das Newsletter-Tracking setzt auch voraus, dass mit den einzelnen Newslettern, Informationen auf den Endgeräten der Nutzer gespeichert werden und auf sie zugegriffen wird:
- Web-Beacons – Es handelt sich um kleine 1×1-Pixel-große Grafiken, die in den Newsletter-E-Mails enthalten sind und beim Öffnen der E-Mail vom Server des Versenders abgerufen werden. So kann z.B. der Versender erkennen, ob ein Newsletter geöffnet (und die Grafik damit abgerufen) wurde.
- Umleitungslinks – Klicks auf Links in einem Newsletter werden gemessen, indem sie mit einer individuellen Identifikationsnummer versehen werden und auf den Server des Versenders leiten. Wird ein Link geklickt, erfährt der Versender dies durch die eingehende Abfrage, die er auf den eigentlichen Link leitet (ähnlich wie bit.ly).
Beitrag zum Newsletter-Tracking: In dem Beitrag “Newsletter-Tracking: Anleitung für rechtssichere Messung von Öffnungs- und Klickraten” erfahren Sie wie Newsletter-Tracking funktioniert und wie Sie Einwilligungen der Nutzer einholen können.
A/B-Testing
Beim A/B-Testing werden unterschiedlichen Websitedarstellungen und Funktionen im Hinblick auf diverse Ziele, wie z.B. Nutzerfreundlichkeit oder Wirtschaftlichkeit getestet.
Wie auch bei der Reichweitenmessung, lässt sich durchaus argumentieren, dass die Nutzerfreundlichkeit unbedingt erforderlich ist, um Nutzern das am ehesten gewünschte Nutzungserlebnis zu bieten. Dienen die Tests dagegen alleine der Steigerung des wirtschaftlichen Absatzes, dann spricht dies eher gegen deren Notwendigkeit im Sinne des Gesetzes.
Aber auch wenn die unbedingte Erforderlichkeit grundsätzlich bejaht wird, muss geprüft werden, ob alle eingesetzten Funktionen (z.B. Heatmaps, Screen-Recordings und Nutzerprofile) als auch die Dauer der Speicherung der Cookies ebenfalls unbedingt erforderlich sind.
Keine Pauschallösungen: Im Zusammenhang mit Cookies werden häufig pauschale Aussagen getroffen, wie z.B. “A/B-Testing bedarf der Einwilligung” (französische Datenschutzbehörde. S. 19). Tatsächlich müssen die einzelnen Funktionen en Detail betrachtet werden und lassen häufig die Möglichkeit von Einstellungen zwecks Minderung des Umfangs der Verarbeitung der Daten der Nutzer zu.
Zweifel an der Zulässigkeit des Programmatic Advertising
Wenn Sie am “Programmatic Advertising” teilnehmen, also Werbeflächen an eine Vielzahl sich überbietender Dienste “verkaufen”, dann werden Ihnen in der Regel Consent Management Plattformen mit einer Aktualisierungsfunktion vorgeschrieben.
Allerdings bleibt trotzdem eine Unsicherheit, ob ein Tracking und Profiling durch teils zig Unternehmen von einer Einwilligung gedeckt sein kann. Dies wird von Datenschützern bestritten, da Nutzern das Lesen der Informationen zu allen Anbietern unzumutbar sei und sie die Vielzahl der Prozesse ohnehin nicht überblicken und nachvollziehen können.
Nachladen von Werbenetzwerken: Falls auf Ihrer Webseite Werbedienste im laufenden Betrieb nachgeladen werden können, muss sichergestellt sei, dass sie von der Einwilligung der Nutzer umfasst sind. Dazu sollten die Dienste sie schon zum Beginn des Websitebesuchs aufgeführt waren. Ansonsten müsste erneut ein Einwilligungsdialog für die nachgeladenen Dienste eingeblendet werden.
Künftige Entwicklungen – ePrivacyVO und PIMS
Dass bald neue Regelungen die Fragen der Einwilligungspflicht bei Webanalyse oder Verbesserung der Nutzbarkeit gesetzlich klären, ist eher weniger zu erwarten. Eher mit einer Bestätigung der Einwilligungspflicht bei personalisierter Werbung und Einschränkungen bei Daten Minderjähriger.
ePrivacy-Verordnung nicht in Sicht
Mit der ePrivacy-Verordnung sollten die hier besprochenen Cookie-Regelungen EU-weit einheitlich bereits 2018 geregelt werden. Die Regelungen des TDDDG wären damit hinfällig. In einer der Versionen der ePrivacy-VO sollte insbesondere auch die Reichweitenmessung ohne Einwilligung zulässig sein.
Allerdings ist eine Einigung über das Gesetz gescheitert. Auch die weiteren Versuche sind seitdem nicht vorangeschritten und stehen weiterhin am Anfang. D.h. mit einer ePrivacy-Verordnung ist vorerst nicht zu rechnen.
Cookie-Banner-Verordnung
Kaum etwas wünschen sich Internetnutzer mehr als den Verzicht auf die vielen Cookie-Banner. Rein technisch ginge es, dass Browseranbieter eine Schnittstelle mit einem On/Off-Schalter erstellen (und sich dabei mit der Werbewirtschaft darauf einigen, wie die Voreinstellungen und Optionen aussehen).
Dass ein Wunsch nach einem einfacheren Einwilligungsmanagement besteht, hat der deutsche Gesetzgeber erkannt und so genannte “Personal Information Management Services (PIMS)” ins Gesetz aufgenommen (§ 26 TDDDG).
Stellen Sie sich vor, statt auf jeder Website, müssen Sie die Cookie-Einwilligungen nur einmal in Ihrem Browser voreinstellen. Diesen Wunschtraum soll die neue “Verordnung über Dienste zur Einwilligungsverwaltung” (aka “Cookie-Banner-Verordnung”) erfüllen, die im September 2024 von Bundesregierung erlassen wurde.
Es bleibt jedoch zu befürchten, dass es bei der Wunschvorstellung bleiben wird, denn:
- Pauschale Einwilligung: Eine Einwilligung in alle oder Gruppen von Cookies ist (zumindest nach Ansicht der Behörden) nicht möglich, d.h. Sie müssen schon in einzelne Dienste einwilligen.
- Dienste ändern sich ständig: D.h. die Einwilligungen müssten auch ständig erneuert werden.
- Websitebetreiber dürfen weiterhin Cookie-Banner einblenden: D.h. wenn eine voreingestellte Einwilligung, z.B. in Google Analytics fehlt oder veraltet ist, können Sie trotzdem von einem Cookie-Banner begrüßt werden.
- Keine wirtschaftlichen Interessen: Die Dienste zur zentralen Cookieverwaltung dürfen keine wirtschaftlichen Interessen verfolgen. D.h. die zentrale Cookieverwaltung kann von großen Playern wie Browser- oder Plattformanbietern, etwa Google oder Meta, nicht angeboten werden.
- Nationale Regelung: Die Verordnung ist auf Deutschland beschränkt. D.h. sobald Sie im Internet die Landesgrenze überschreiten, müssen Sie weiterhin mit Cookie-Bannern rechnen.
Zusammenfassend macht die Verordnung eher den Eindruck von Symbolpolitik des Wirtschaftsministeriums, denn einer Erlösung von Cookie-Bannern.
Das ist jedoch nichts Neues – die Kritik begleitet die Verordnung von Anfang an. Abschließend bleibt zu der “Cookie-Banner-Verordnung” daher nur zu sagen: “Nur Schein, kein Sein”.
Drohende Folgen bei Verstößen gegen die Einwilligungspflicht
Wenn Sie keine notwendigen Cookie-Opt-Ins bereithalten, drohen Ihnen die folgenden Konsequenzen:
- Untersagungsverfügungen der Behörden (d.h. praktisch die Pflicht eine Einwilligung einzuholen).
- Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und mindestens einen Tagesumsatz betragen sollen, maximal 4% vom Jahresumsatz eines Unternehmens oder 20 Mio, je nachdem was höher ist).
- Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).
- Abmahnungen durch klagebefugte Organisationen (z.B. Verbraucherzentralle, Wettbewerbszentrale, etc., bejaht durch LG Frankfurt a.M., 19.10.2021 – 3-06 O 24/21 – nicht rechtskräftig).
- Abmahnungen durch Mitbewerber (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung; auch LG Köln bejahte dies LG Köln, 29.10.2020 – 31 O 194/20).
Angesichts der verbleibenden Unwägbarkeiten wird es in vielen Fällen weiterhin bei einer Risikoabwägung bleiben. Das Risiko kann beim Einsatz reiner Reichweitenmessung ohne Opt-In als gering bezeichnet werden.
Dagegen wird das Risiko als hoch zu bezeichnen sein, wenn Cookies zu Marketingzwecken und Profiling ohne Einwilligung eingesetzt werden, bzw. die Cookie-Informationen und die Datenschutzerklärung unvollständig sind. In solchen Fällen sollten die wirtschaftlichen Vorteile bei ca. 5.000 – 30.000 Euro je nach Umsatz/ Größe des Unternehmens liegen (ca.-Schätzung eines Risikos).
Ob dieses angesichts der Abweichung der Cookie-Banner von den Anforderungen der Datenschützer und Gerichte so bleibt, hängt vor allem davon ab, ob Behörden häufiger tätig oder Abmahnungen häufiger ausgesprochen werden. D.h. falls Sie sich für den risikobehafteten Weg entscheiden, sollten Sie auf jeden Fall die Entwicklung der Rechtslage beobachten.
Denn auch wenn kein Bußgeld verhängt werden sollte, führt bereits das Ermittlungsverfahren von Aufsichtsbehörden zu einem erheblichen Aufwand und der Notwendigkeit einer kostenintensiven Rechtsberatung.
Zusammenfassung und Checkliste
Nachfolgend erhalten Sie eine Zusammenfassung der Rechtslage und Tipps zu Umsetzung von Cookie-Einwilligungen:
- Notwendigkeit eines Opt-Ins: Eine Einwilligung wird nicht benötigt, wenn Cookies (aus Nutzersicht) für ein Onlineangebot unbedingt erforderlich, also notwendig sind.
- Eindeutig unbedingt erforderliche Cookies: Als unbedingt erforderlich werden z.B. Cookies betrachtet, die sich den Warenkorbinhalt oder den Login-Status merken oder dem Schutz der Daten der Nutzer dienen.
- Komfortfunktionen: Aber schon bei Komfortfunktionen (z.B. Stelle bis zu der ein Video geschaut wurde) gehen die Ansichten auseinander, jedoch kann das Risiko als gering betrachtet werden.
- Reine Reichweitenmessung (Webanalyse): Auch bei reiner Reichweitenmessung (z.B. mit eigenen Tools wie Matomo) ist die Notwendigkeit unklar, jedoch ist das Risiko gering und das sehr, wenn keine Cookies eingesetzt werden (auch bei Google Analytics mit abgeschalteten Cookies ließe sich die Ansicht vertreten, wobei Aufsichtsbehörden und Gerichte es eher anders sehen werden).
- Marketing: Bei Tools, die Nutzerprofile zu Werbe- und Marketingzwecken erstellen (z.B. Facebook-Pixel), Conversions messen (z.B. Google Analytics bei Verknüpfung mit Werbekonto) ist eine Notwendigkeit nach derzeitigem Stand ausgeschlossen und eine Einwilligung erforderlich.
- Kopplungsverbot: Ein Cookie-Opt-In sollte keine Voraussetzung für den Zugang zu einer Website sein. Außer der Zugang ist nicht unbedingt erforderlich und es steht eine cookiefreie Alternative zur Verfügung (auch wenn sie kostenpflichtig sein sollte).
- Aktive Zustimmung erforderlich: Eine bloßer Hinweis “wenn Sie unsere Website nutzen, stimmen Sie Cookies zu“, ist nicht ausreichend. Nutzer müssen eine Schaltfläche, z.B. “Alle Cookies akzeptieren” aktiv klicken
- Einfache Ablehnung: Die Ablehnung von nicht erforderlichen Cookies sollte per Klick auf die Schaltfläche “Ablehnen“ möglich sein. Bei anderen Begrifflichkeiten sollten deren Funktionen, als auch die der eingesetzten Cookies, bereits auf der ersten Seite der Cookie-Management-Plattform erläutert werden.
- Hinweis auf Einstellungs-/Widerrufsmöglichkeit: Schon in der Einleitung der Cookie-Management-Plattform sollten Nutzer darauf hingewiesen werden, wo sie die Einstellungen ändern können (von Behörden auf jeder Webseite, also z.B. im Fußbereich von Webseiten: “Impressum | Datenschutz | Cookies“).
- Hinweis auf die Datenschutzerklärung: Weisen Sie die Nutzer auf weitere Informationen in der Datenschutzerklärung hin.
- Links zum Impressum, Datenschutzerklärung und ggf. den AGB nicht verdecken: Es ist im Prinzip egal, wo Sie das Opt-In-Banner platzieren. Wichtig ist, dass Sie die Links mit Pflichtinformationen (z.B. Impressum, AGB) nicht verdecken (oder Sie nehmen die Links im Cookie-Banner auf).
- Detailinformationen: Die folgenden Informationen zu den eingesetzten Cookies sollten am besten schon in einer Detailübersicht im Cookie-Opt-In-Banner vorhanden sein:
- Identität der Dienstleister, die die Cookies verarbeiten: Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).
- Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden kann.
- Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen.
- Angabe zu einzelnen Cookies: Angaben über einzelne Cookies (zB. bei Google “_ga,_gat,_gid“) wurden nicht ausdrücklich verlangt, zumindest nicht vom EuGH oder von Aufsichtsbehörden. Es schadet jedoch nicht, sie anzugeben, insbesondere wenn sie unterschiedliche Laufzeiten haben.
Fazit
Auch über eine Dekade nach ihrer Einführung, sind viele Fragen zu dem Umfang der Einwilligungspflicht bei nicht erforderlichen Cookies offen. Daran ändern auch die neuen deutschen Cookie-Regelung im TDDDG nichts.
Allerdings haben die Aufsichtsbehörden ihre Prüftätigkeiten ausgeweitet und auch Verbraucherschützer gehen mit Abmahnaktionen gegen die aus ihrer Sicht unzulässigen Cookie-Banner vor. Zwar sind Bußgelder sogar EU-Weit bis dato eher selten und die Behörden fordern im ersten Schritt zur Auskunft und Information auf. Doch auch dieser Aufwand kann je nach Umfang aufwendig oder wenn ein professioneller Rechtsrat erforderlich wird, auch teuer werden.
Daher bringt die neue Rechtslage ein erhöhtes Risiko mit sich. Falls Sie Cookies oder vergleichbare Dienste einsetzen, sollten Sie zum 01. Dezember prüfen, ob diese wirklich erforderlich sind und andernfalls, ob Ihr Opt-In-Verfahren sicher ist.
Tipp für mehr Rechtssicherheit
Mit unseren Generatoren können Sie nicht nur ein Impressum, sondern als Unternehmen auch rechtssichere Datenschutzerklärungen oder Shop-AGB erstellen und die folgenden Vorteile genießen: vom Anwalt mit Siegel kein Abo Dokumente ohne zeitliches Limit nutzbar Download als Word-Datei oder PDF Nachträgliche Bearbeitung der Eingaben.
In unserem Shop erhalten Sie eine Übersicht unserer Angebote: