BGH-Urteil: Opt-In-Pflicht für Werbe- und Marketing-Cookies (FAQ mit Anleitung und Checkliste)

Der BGH hat nun auch für Deutschland bestätigt, dass Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung von Telemedien (d. h. Webseiten oder Apps) dienen, einer Einwilligung (so genanntes “Opt-In”) der Nutzer bedürfen (BGH, 28.05.2020 – I ZR 7/16 “planet49” – Pressemitteilung).

Wie Sie ein Cookie-Opt-In sicher umsetzen können, welche Grauzonen verbleiben, wie hoch Ihr Risiko ist und welche Auswirkungen das Urteil auf den Einsatz von Tools, wie Matomo, Google Analytics und das Facebook-Pixel hat, erfahren Sie in der folgenden FAQ mit Checkliste.

Inhalt des Beitrags:

Worum ging es in dem entschiedenen Fall?

In dem Fall ging es um die Klage der Verbraucherzentrale Bundesverband (vzbv) gegen das Unternehmen „planet49″, welches im Rahmen von Gewinnspielen Daten für Werbezwecke sammelte.

Vor dem Klick auf die Absende-Schaltfläche des Gewinnspiels fanden die Teilnehmer zwei Kontrollkästchen vor:

  • ein nicht vorangehaktes Kontrollkästchen mit einer Einwilligung in Werbezusendungen.
  • ein vorangehaktes Kontrollkästchen, über das sie sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden erklärten.

Der vzbv fand, dass das Kontrollkästchen für Cookies nicht hätte vorangehakt werden müssen, klagte und bekam vor dem BGH recht.

Wurde der Fall nicht bereits von dem EuGH entschieden?

Der EuGH beantwortet Fragen deutscher Gerichte, wenn sie in letzter Instanz über Fälle auf Grundlage des Europäischen Rechts entscheiden (sog. Vorabentscheidungsverfahren). Damit soll gesichert sein, dass europäisches Recht von Gerichten einheitlich und nicht je Land und Gericht unterschiedlich ausgelegt wird.

Im Fall von “planet49” fragte der BGH daher beim EuGH an, ob eine Opt-In-Pflicht für nicht notwendige Cookies besteht (EuGH, 1.10.2019 – C-673/17 “planet49”). Dies bejahte der EuGH und an dieses Urteil musste sich der BGH halten.

Damit bezog sich die Entscheidungsspielraum des BGH nur auf die Umsetzung der Opt-In-Pflicht in Deutschland.

Warum war die Opt-In-Pflicht in Deutschland trotz des EuGH-Urteils umstritten?

Die Richtlinie, auf deren Grundlage der EuGH eine Opt-In-Pflicht für Cookies fordert, wurde in Deutschland (je nach Auslegung wahlweise) gar nicht oder wie folgt im § 15 Telemediengesetz (TMG) umgesetzt:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Damit gibt das deutsche Gesetz keine Einwilligungspflicht für Cookies vor (zumindest laut Gesetzeswortlaut bei pseudonymen Cookies). Wie mit diesem Widerspruch zu den Vorgaben umzugehen ist, war umstritten.

  • Einwilligungspflicht laut Datenschutzbehörden: Datenschutzbehörden hielten § 15 Abs. 3 TMG für nicht anwendbar (bzw. die Cookievorgaben der EU darin ohnehin nicht umgesetzt, respektive halten Sie Cookies nicht für pseudonym) und waren der Ansicht, dass daher für Cookies unmittelbar die DSGVO gelte; da nach der DSGVO eine Opt-Out-Lösung nach nur dann möglich ist, wenn Nutzer vernünftigerweise mit dem Profiling mittels Cookies im konkreten Umfang rechnen müssen und dies bei Onlinemarketing-Tools verneint wird, ist eine Einwilligung lt. den Behörden Pflicht.
  • Keine Einwilligungspflicht laut Werbewirtschaft: Die Werbewirtschaft meinte, dass entweder § 15 Abs. 3 TMG weiterhin gelte (immerhin hat der Gesetzgeber die Vorschrift nicht aufgehoben) oder, falls die DSGVO unmittelbar gelte, Nutzer mit Profiling zu Werbezwecken heutzutage vernünftigerweise rechnen müssten.

Was entschied der BGH?

Der BGH folgte weder den Ansichten der Datenschutzbehörden noch der Werbewirtschaft. Vielmehr entschied er, dass der Abschnitt “sofern der Nutzer dem nicht widerspricht” im Lichte der EuGH-Rechtsprechung als “sofern der Nutzer einwilligt” zu verstehen ist. Bzw. mit den Worten des BGH:

Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Dieses auf einem logischen Umkehrschluss basierendes Verständnis des Gesetzes stößt zwar an die Grenzen des Wortlauts der Vorschrift, aber der BGH nimmt sich als ein letztinstanzliches Gericht diese Freiheit schlicht heraus.

Damit müssen zumindest für Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie bedarfsgerechten Gestaltung von Telemedien dienen, Einwilligungen der Nutzer eingeholt werden.

Welche Auswirkung hat das BGH-Urteil für die Cookie-Nutzung?

Übertragen auf Webseiten entschied der BGH, dem EuGH folgend, dass die bis dato häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” nicht ausreichend sind.

Die Weiternutzung einer Webseite stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar.

Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich oder, was unklar bleibt, sie dienen nicht der Werbung und Marktforschung.

Wann sind Cookies für eine Webseite unbedingt erforderlich und einwilligungsfrei?

Der Einsatz unbedingt erforderlicher (auch als “notwendig”, bzw. “essentiell” bezeichneter) Cookies, bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies.

Die Regelung, wann ein Cookie unbedingt erforderlich ist, lässt sich dem. Art. 5 Abs. 3 der ePrivacy-RL nicht eindeutig entnehmen.
Die Regelung, wann ein Cookie unbedingt erforderlich ist, lässt sich dem. Art. 5 Abs. 3 der ePrivacy-RL nicht eindeutig entnehmen.

Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nie” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“. Als hinreichend sicher können die folgenden Cookies als notwendig betrachtet werden:

  • Warenkorb-Cookies eines E-Shops;
  • der Login-Status einer Community;
  • die Sprachauswahl auf einer internationalen Webseite:
  • Cookies, die eine Cookie-Einwilligung speichern;
  • Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen.

Sind auch Komfort-Cookies, Webanalyse- oder A/B-Testing unbedingt erforderlich?

Die genauen Grenzen der Notwendigkeit sind nicht klar. Dabei sollten Sie jedoch bedenken, dass es auf die Sicht der “objektiven Nutzer” ankommt, ob der Cookie-Einsatz unbedingt erforderlich ist.

  • Komfortfunktionen: Ungewiss (aber m.E. gut vertretbar) ist z.B., ob der Warenkorb nur vorübergehend in einem „Session-Cookie” oder auch nach dem Schließen des Browsers gespeichert werden darf oder ob Design- oder Mediensteuerungs-Cookies unbedingt erforderlich sind (z.B. letzte angeschaute Stelle in einem YouTube-Video).
  • Marketing, Tracking, Profiling, Conversion-Messung – Cookies, die dazu eingesetzt werden, um Nutzerprofile zu bilden oder deren Verhalten über Webseiten hinweg zu speichern (sei es von Websitebetreibern oder Anbietern der Dienste, wie Google oder Facebook), werden überwiegend nicht als notwendig betrachtet. Zudem dienen sie dem Profiling zu Werbe- und Marketingzwecken im Sinne des § 15 Abs. 3 TMG. Bis es hier keine anders lautende Gerichtsentscheidung gibt, sollten Sie dieser Betrachtung folgen.
  • Webanalyse, Reichweitenmessung und A/B-Testing – Es lässt sich durchaus argumentieren, dass die bloße Analyse der Besucherströme, für eine ihre Funktionen erfüllende Webseite heutzutage notwendig sind. Allerdings gibt es hier weder Rechtsprechung noch eindeutige Bestätigungen von Datenschutzbehörden. Allerdings denke ich, genauso wie bei Komfortfunktionen, dass das Risiko diese Ansicht zu vertreten, gering ist (d. h. ich rechne nicht, dass Aufsichtsbehörden in derartigen Fällen Bußgelder verhängen würden).

Neben der Notwendigkeit von Cookies, kann man sich auch über die Frage streiten, wann ein “Nutzerprofil” vorliegt. Legt man die DSGVO (Art. 4 Nr. 4 DSGVO) zugrunde, dann ist Profiling:

jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Ob diese Voraussetzungen bei reiner Webanalyse, die nicht dazu dienen soll auf Nutzer einzuwirken, vorliegt, ist nach der hier vertretenen Ansicht eher fernliegend.

Geht es nur um Cookies?

In dem Urteil des EuGH, auf das sich der BGH stützt, wird zwar nur von Cookies gesprochen: “Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.”

Allerdings reicht das Urteil nach Ansicht mancher Juristen viel weiter und betrifft alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen (z.B. auch sogenannte Fingerprints, Web-Beacons, Tags, Pixels, o.ä.). Zur Vereinfachung spricht man jedoch zusammenfassend von Cookies. Ob diese Ansicht zutreffend ist, lässt sich derzeit nicht sagen.

Gilt das Urteil auch für “anonymes Tracking”?

Die maßgebliche ePrivacy-RL betrifft auch anonyme Daten, was der BGH bestätigt.

Wobei Anonymität und Tracking sich grundsätzlich ausschließen. Schon wenn mit Hilfe der Cookies ein “Schattenprofil” einer Person erstellt wird, die als Zielobjekt für bestimmte Werbung in Frage kommt oder man deren Besuchsverhalten über einen gewissen Zeitraum verfolgen kann, liegt ein Personenbezug vor. Nur wenn das Cookie gelöscht wird, entfällt der Personenbezug und das Cookie wird anonym.

Daher sind die Datenschutzmaßnahmen in der Regel lediglich “pseudonym“, d. h. nicht mit Klardaten wie Namen, verbunden. Pseudonyme Daten sind zwar datenschutzrechtlich vorzuziehen, aber weiterhin personenbezogen.

Ist ein Opt-In für die Dienste Matomo, Google Analytics oder das Facebook-Pixel erforderlich?

Um die Notwendigkeit des Cookie-Opt-Ins zu verdeutlichen, habe ich die am häufigsten verwendeten Dienste ausgewählt.

  • Matomo – Matomo hat den Vorteil, dass die Daten auf dem eigenen Server verarbeitet werden. Matomo kann mit Cookies oder ohne Cookies eingesetzt werden. Ohne Cookies wird nur ein so genannter digitaler Fingerabdruck (“digital Fingerprint”) gespeichert, der alle 24 Stunden geändert wird. Ob dieser Fingerprint wie ein Cookie zu behandeln ist, ist zwar rechtlich nicht geklärt (man kann aber gut vertreten, dass die Cookie-Regelung für den Fingerprint nicht anwendbar ist). Aber unabhängig ob mit oder ohne Cookie, ist die Webanalyse nach Ansicht des Autors als notwendig zu betrachten, bzw. dient sie nicht der Marktforschung, außer sie wird zur Absatzforderung eingesetzt. Ferner dürften die Risiken, zumindest wenn man reine Webanalyse-Cookies ohne Opt-In einsetzt, gering sein (zumal sogar die Datenschutzaufsichtsbehörde Baden-Württemberg bei Matomo auf ein Opt-In verzichten würde). Wenn Sie jedoch auf Nummer Sicher gehen möchten, dann sollten Sie Matomo ohne Cookies einsetzen, wenn Sie auf ein Cookie-Opt-In verzichten möchten.
  • Google Analytics – Bei Google Analytics kommt es zunächst auf die Einstellungen an. Wenn Sie Universal Analytics nutzen, Analytics Audiences bilden oder eine Verknüpfung mit Ihrem Google Werbekonto besteht, dann ist die Nutzung von Google Analytics auf jeden Fall nicht notwendig. Wenn Sie dagegen Google die Daten nur für Sie verarbeiten lassen (und diese Trennung tatsächlich erfolgt), dann wäre Google Analytics wie Matomo zu betrachten. Zwar ist es ein externer Anbieter, der jedoch mit Abschluss eines Auftragsverarbeitungsvertrages zusagt, die Besucherdaten so zu behandeln, also ob Sie die Verarbeitung selbst durchführen würden. Gehen Sie jedoch davon aus, dass Datenschutzbehörden dies anders sehen werden.
  • Facebook-Pixel – Da Facebook die Daten der Websitebesucher auch für eigene Werbezwecke nutzt und Nutzerprofile für Werbe- und Marketingzwecke bildet, scheidet eine Notwendigkeit aus und ein Opt-In ist erforderlich.

Muss ich ein Cookie-Opt-In.Banner anbieten, wenn lediglich notwendige Cookies eingesetzt werden?

Wenn Sie lediglich notwendige Cookies einsetzen, dann ist ein Cookie-Opt-In-Banner nicht erforderlich. Es reicht dann ein Hinweis auf den Einsatz von Cookies in der Datenschutzerklärung.

Wie kann eine wirksame Cookie-Einwilligung eingeholt werden?

Eine Cookie-Einwilligung kann derzeit praktisch nur mit sogenannten „Cookie-Opt-In-Bannern” eingeholt werden (die anderen Bezeichnungen lauten Einwilligungs-, bzw. Consent-Banner, Cookie Management Tools, etc.). Ebenso kommt eine Einwilligung im Rahmen eines Registrierungsvorgangs in Frage.

Die Einwilligung muss jedoch in allen Fällen ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen. Auch ein vorangehaktes Kontrollkästchen im Rahmen einer Registrierung wäre unzulässig.

Wann ist eine Einwilligung transparent und informiert?

Die vom EuGH verlangten Informationen sollten Websitebesuchern am besten schon in den Detailhinweisen des Cookie-Opt-In-Banners bereitgestellt werden.
Die vom EuGH verlangten Informationen sollten Websitebesuchern am besten schon in den Detailhinweisen des Cookie-Opt-In-Banners bereitgestellt werden.

Geht man vom Urteil des BGH (entsprechend den Vorgaben des EuGH) aus, dann müssen die Nutzer über die folgenden Punkte informiert werden:

  • Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie nach meiner Ansicht, zumindest in voller Länge in der Datenschutzerklärung platziert werden kann.
  • Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen. Anbieter von Cookie-Opt-In-Tools haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
  • Identität der Dienstleister, die die Cookies verarbeiten: D.h., Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).

Muss ich einen externen Cookie-Management-Anbieter einsetzen?

Anbieter wie in diesem Beispiel “Cookiebot” sollen eingesetzte Cookies automatisch erkennen und aktualisieren. Dies ist vor allem nützlich, wenn die Marketing-Tools häufiger ausgetauscht werden.

Auf dem Markt gibt es viele Anbieter, wie z. B. Cookie-Bot oder Usercentrics. Sie sind in zwei Fällen nützlich:

  • Sie möchten sich die eigene Technische Umsetzung ersparen: In dem Fall kommen praktisch alle Dienstleister in Frage (die zumindest die nachfolgenden Vorgaben erfüllen).
  • Sie möchten stets aktuelle Angaben zu den Cookies erhalten und/oder wechseln häufig die eingesetzten Dienste: Wenn Sie sich nicht stets darum kümmern möchten die notwendigen Angaben zu den verwendeten Cookies zusammenzu- und einzutragen, dann sollten Sie Tools nutzen, die sich automatisch aktualisieren.

Benötige ich neben einem Cookie-Management eine Datenschutzerklärung?

Wenn Sie z. B. eine Datenschutzerklärung mit unseren Generator erstellen, erhalten die Nutzer eine Beschreibung der Funktionen der jeweiligen Dienste sowie ein Glossar mit den verwendeten Begriffen, wie z. B. "Tracking", "Zielgruppenbildung" oder "Remarketing".
Wenn Sie z. B. eine Datenschutzerklärung mit unseren Generator erstellen, erhalten die Nutzer eine Beschreibung der Funktionen der jeweiligen Dienste sowie ein Glossar mit den verwendeten Begriffen, wie z. B. “Tracking”, “Zielgruppenbildung” oder “Remarketing”.

Ja, auch neben einem Cookie-Management benötigen Sie eine Datenschutzerklärung. Die Datenschutzerklärung enthält zum einen die Vielzahl weiterer Pflichtinformationen gem. Art. 13-14 DSGVO (z. B. zum Verantwortlichen, Betroffenenrechten (Recht auf Auskunft, Löschung. etc.) und anderen Verarbeitungsverfahren (z. B. Newsletter, Kontaktformular, Videokonferenzen, etc.).

Daneben sollte die Datenschutzerklärung weitere Erläuterungen zu den eingesetzten Cookie-Funktionen und Diensten enthalten. Z. B. Erläuterungen von Begriffen wie Remarketing oder Tracking an sich.

Dürfen Cookies in Gruppen zusammengefasst werden?

Zu der Frage gibt es keine Urteile, aber ausgehend von dem Gros der europäischen Datenschutzbehörden, reicht die Einwilligung in funktionell zusammengefasste Gruppen von Cookies ein, z. B. “Marketing”, “Webanalyse”, “Mediensteuerung”, etc.

Auch die Datenschutzkonferenz, die für die deutschen Datenschutzbehörden spricht, scheint keine Einwilligung für jeden einzelnen Anbieter zu fordern. In ihrer “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” ist von der Einwilligung in “Verarbeitungsvorgänge” unter “Nennung der Akteure” und nicht von Einwilligung für einzelne Akteure die Rede.

Auch der EuGH entschied lediglich, dass die einzelnen Dienste-Anbieter einzeln aufgeführt werden müssen. Zu der Frage, ob die Nutzer eine Einwilligung in jeden einzelnen Dienst abgeben müssen, hat der EuGH keine Entscheidung getroffen.

Dürfen alle Cookies mit einem Klick bestätigt werden?

Nach derzeitigem Stand darf davon ausgegangen werden, dass eine Zustimmung für alle Cookies ausreichend ist, wenn die eingesetzten Cookies auch einzeln ausgewählt werden können.
Nach derzeitigem Stand darf davon ausgegangen werden, dass eine Zustimmung für alle Cookies ausreichend ist, wenn die eingesetzten Cookies, wie in diesem Beispiel, auch einzeln ausgewählt werden können.

Auch wenn sich diese Aussage wiederholt, gibt es auch hier unterschiedliche Ansichten (was generell für die optische und technische Ausgestaltung der Cookie-Banner gilt).

Nach meiner Ansicht ist eine zusammenfassende Einwilligung zulässig. Zumindest entnehme ich weder dem Urteil des EuGH noch des BGH, dass eine zusammenfassende Einwilligung nicht notwendig ist.

Ich empfehle jedoch, dass die Cookiegruppen (und am besten einzelne Cookies), auch einzeln auswählbar- und abwählbar sind. So ist m. E. der Transparenz und der Forderung nach einer “echten Wahlmöglichkeit” genügt.

Verbietet das Kopplungsverbot verpflichtende Cookie-Einwilligungen?

Derartige Cookie-Walls können derzeit als zulässig betrachtet werden, wenn eine Alternative ohne Marketing-Cookies angeboten wird und der Preis verhältnismäßig ist (worüber man sich natürlich streiten kann).
Derartige Cookie-Walls können derzeit als zulässig betrachtet werden, wenn eine Alternative ohne Marketing-Cookies angeboten wird und der Preis verhältnismäßig ist (worüber man sich natürlich streiten kann).

Neuerdings kommt es immer häufiger vor, dass Webseiten Nutzern den Zugang zu Webseiten nur dann erlauben, wenn die Nutzer in den Einsatz von Cookies einwilligen (so genannte “Cookie-Wall”). Hierbei darf man sich durchaus fragen, ob eine solche Einwilligung noch freiwillig und damit wirksam ist.

Zwar existiert eine Regelung (Art. 7 Abs. 4 DSGVO), bei der Frage der Freiwilligkeit darauf abstellt, inwieweit eine Einwilligung erforderlich ist. Was darunter zu verstehen ist, streiten sich jedoch die Gelehrten:

  • Keine Freiwilligkeit bei echter Zwangslage: An der Freiwilligkeit wird es je eher fehlen, je notwendiger die angesteuerten Webseiten für die Besucher sind. Z. B. bei Webseiten von Banken, Versicherungen, Energieversorgern, Behörden, Ärzten, Apotheken, Rechtsanwaltskanzleien oder Loginbereichen, die zuvor ohne Cookies erreicht werden konnten.
  • Keine wirksame Einwilligung, bei Webseiten die sich (auch) an Minderjährige richten: Einwilligungen von Minderjährigen sind erst ab 16 Jahren zulässig. Die Minderjährigen sollten daher eine Möglichkeit haben die Webseiten Cookiefrei zu nutzen (in solchen Fällen empfehle ich eine spezielle Schaltfläche “Zugang für Personen unter 16“, die verhindert, dass minderjährige Besucher unwirksame Cookie-Einwilligungen abgeben).
  • Freiwilligkeit bei angemessener Kostenpflicht als Alternative: Als freiwillig wird eine Cookiepflicht betrachtet, wenn Websitebesucher statt der Cookies einen dem “Werbeverlust” angemessenen Betrag für die Cookiefreiheit bezahlen können.

Gibt es Vorgaben für die Platzierung von Cookie-Bannern?

Ein in der Mitte des Bildschirms platziertes Cookie-Opt-In-Banner, kann die Nutzer eher zu einem Opt-In veranlassen, als ein unauffälliges Banner im Fußbereich einer Webseite. Noch wirksamer könnte eine Vorschaltseite mit einem Cookie-Opt-In sein (wobei dies hier natürlich keine verbindlichen Konversions-Ratschläge sind).

Vorgaben gibt es hier jedoch keine. Solange die Nutzer eine Möglichkeit haben, die Einwilligung abzulehnen, sind beide Versionen zulässig.

Wie sollte der Einleitungstext in einem Cookie-Banner aussehen?

Der Einleitungstext sollte den Websitebesuchern verdeutlichen, wie das Cookie-Banner funktioniert und wie sie nachträgliche Änderungen vornehmen können, z. B. in einem Onlineshop:

Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind notwendig (z.B. für den Warenkorb), während andere uns helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können die nicht notwendigen Cookies akzeptieren oder per Klick auf die Schaltfläche “Nur notwendige Cookies akzeptieren” ablehnen sowie diese Einstellungen jederzeit aufrufen und Cookies auch nachträglich jederzeit abwählen (in der Datenschutzerklärung und im Fußbereich unserer Website). Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung.

Wie müssen die Zustimmungs- und Ablehnungsschaltflächen aussehen?

In diesem Beispiel, muss auf zweiter Ebene ein Einstellungsbereich aufgerufen werden, um Marketing-Cookies abzulehnen. Ob dies eine, im Vergleich zu der einfachen Möglichkeit sie anzunehmen, gleichwertige Ablehnungsmöglichkeit ist, wird von manchen Datenschutzbehörden bezweifelt (z. B. befand die dänische Datenschutzbehörde, dass dies keine wirksame Einwilligung sei).

Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung. Was das konkret bedeutet, lässt sich am besten anhand der folgenden Beispiele verdeutlichen:

  • Eindeutige Bezeichnung – Eindeutig zulässig sind Schaltflächen, die Begriffe, wie “Ablehnen” und “Akzeptieren” tragen.
  • “Nor notwendige Cookies akzeptieren” – Bei vielen Anbietern von Cookie-Management-Tools findet sich statt “Ablehnen“, die Schaltfläche “Nur notwendige Cookies akzeptieren“. Diese Bezeichnung ist zumindest m. E. hinreichend deutlich, da sie letztendlich auf die Rechtslage verweist.
  • Farbenspiele – Vorsicht sollte bei Leitung der Nutzer mithilfe von Farben angebracht sein. Wer z. B. merkt, dass Nutzer lieber auf eine grüne Schaltfläche klicken und deswegen die “Akzeptieren“-Schaltfläche rot hinterlegt und “Ablehnen” grün, der setzt sich dem Vorwurf aus, die Nutzer bewusst in die Irre zu führen. Wenn dieser Vorwurf von einem Gericht bestätigt werden würde, wäre eine Einwilligung unwirksam (man spricht hier auch von so genannten “Dark Patterns”).
  • Größe und Form: Die Schaltflächen zum Akzeptieren und Ablehnen sollten nach Möglichkeit gleich groß sein, um als gleichwertig zu gelten.
  • Ablehnung auf zweiter Ebene – Es existieren Cookie-Opt-In-Banner, bei denen Nutzer nicht mit einem Klick die Zustimmung zum Einsatz von nicht notwendigen Cookies nicht einfach verweigern können. Stattdessen müssen sie eine Detailseite aufrufen, auf der sie die Cookies einzeln abwählen können. Ein derartiges Verfahren ist ebenfalls risikoreich und zumindest in Deutschland ist damit zu rechnen, dass die Aufsichtsbehörden es nicht für ausreichend halten werden.

Wo müssen die Möglichkeiten zu nachträglichen Änderungen der Einwilligung platziert werden?

Nutzer müssen deren Cookie-Einstellungen ändern können (um so insbesondere ihren Widerspruch erklären zu können). Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Ich empfehle die Platzierung

  • in der Datenschutzerklärung und
  • im Fußbereich Ihrer Webseite.

Ferner sollten Nutzer schon im Cookie-Einwilligungs-Banner darüber belehrt werden, wo sie diese Links finden.

Bei uns auf der Webseite werden Nutzer darauf hingewiesen, dass sie eine Opt-Out-Möglichkeit im Fußbereich der Webseite finden (die Schaltfläche findet sich so auch in den Hinweisen zu Cookies in der Datenschutzerklärung).

Wie kann eine Cookie-Einwilligung nachgewiesen werden?

Bei der Nachweisbarkeit von Einwilligungen setzen manche Content-Management-Tools auf ein ausgeklügeltes ID-System. In den meisten Fällen wird bei der Zustimmung ein Opt-In-Cookie auf den Geräten der Nutzer gespeichert.

In beiden Fällen sehe ich die Anforderungen an den Nachweis einer Einwilligung durch Nachweis eines funktionsfähigen Cookie-Opt-In-Verfahrens als erfüllt an (Art. 7 Abs. 1 DSGVO).

Müssen Cookies auch für eingebettete Inhalte eingeholt werden?

Da auch bei eingebetteten Inhalte nicht erforderliche Cookies geladen werden können, empfehlen wir so genannte Inhalts-, bzw. Content-Blocker einzusetzen.

Wenn Sie Dienste einsetzen, die Cookies auf den Geräten der Nutzer platzieren, dann gilt dasselbe, wie für die Webseite. D. h. auch hier müssen die Nutzer eine Einwilligung erklären (das entschied der EuGH im Hinblick auf Social Plugins von Facebook). Die meisten Cookie-Consent-Tools bieten entsprechende Einstellungen.

Welche Folgen drohen bei Verstößen gegen die Opt-In-Pflicht

Wenn Sie keine notwendigen Opt-Ins bereithalten, drohen Ihnen die folgenden Konsequenzen:

  • Untersagungsverfügungen der Behörden.
  • Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und zumindest einen Tagesumsatz betragen sollen).
  • Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).
  • Abmahnungen durch klagebefugter Organisationen (z. B. Verbraucherzentralle, Wettbewerbszentrale, etc).
  • Abmahnungen durch von Mitbewerbern (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung).

Angesichts der verbleibenden Unwägbarkeiten wird es in vielen Fällen weiterhin bei einer Risikoabwägung bleiben. Das Risiko sehe ich beim Einsatz reiner Reichweitenmessung ohne Opt-In als vertretbar an, wenn die wirtschaftlichen Vorteile einer auf Nutzerbedürfnisse ausgerichteten Website bei ca. 5.000 – 10.000 Euro liegen (ca. Schätzung eines Risikos).

Dagegen wird das Risiko als hoch zu bezeichnen sein, wenn Cookies zu Marketingzwecken und Profiling ohne Opt-In eingesetzt werden, bzw. die Cookie-Informationen und die Datenschutzerklärung unvollständig sind.

Wie holen die sozialen Netzwerke, z. B. Facebook, die Cookie-Einwilligung ein?

Facebook ist der Ansicht, dass die Einwilligung auf Grundlage eines bei der Registrierung geschlossenen Vertrages (“Daten gegen Plattformnutzung”) verarbeitet werden. Das Unternehmen ist damit der Ansicht, keine Einwilligung zu benötigen. Ob dieses Vorgehen eindeutig zulässig ist oder nicht, kann derzeit nicht gesagt werden.

Der Grund ist, dass für Facebook die irische Datenschutzaufsicht zuständig ist, die jedoch eher zaghaft ist, was die Prüfung der örtlich ansässigen EU-Dependancen der US-Unternehmen angeht (zu den Hintergründen s. offenen Brief des NYOB, wobei der Verein sich explizit gegen Facebook stellt und der Brief in dieser Hinsicht nicht objektiv ist).

Wird die ePrivacy-Verordnung die Cookie-Nutzung erleichtern?

Die ePrivacy-VO sollte je nach Entwurfsstand sogar die Webanalyse und vor ihrem vorläufigen Scheitern in 2019 sogar Onlinemarketing in Grenzen zulassen. Ob, wann und wie sie in der Zukunft ausgestaltet sein wird, steht jedoch in den sprichwörtlichen Sternen.

Zusammenfassung und Checkliste

Nachfolgend erhalten Sie eine Zusammenfassung der Rechtslage und Tipps zu Umsetzung von Cookie-Opt-Ins

  1. Notwendigkeit eines Opt-Ins: Ein Opt-In wird nicht benötigt, wenn Cookies (aus Nutzersicht) für ein Onlineangebot unbedingt erforderlich, also notwendig sind.
    • Eindeutig notwendige Cookies: Als notwendig werden z. B. Cookies betrachtet, die sich den Warenkorbinhalt oder den Loginstatus merken.
    • Komfortfunktionen: Aber schon bei Komfortfunktionen (z. B. Stelle bis zu der ein Video geschaut wurde) gehen die Ansichten auseinander.
    • Reine Webanalyse: Auch bei reiner Webanalyse (z. B. mit eigenen Tools wie Matomo) ist die Notwendigkeit unklar, liegt jedoch zumindest nach der hier vertretenen Ansicht vor (auch bei Google Analytics mit abgeschalteten Marketingfunktion ließe sich die Ansicht vertreten, wobei Aufsichtsbehörden es anders sehen werden).
    • Marketing: Bei Tools die Nutzerprofile zu Werebe- und Marketingzwecken erstellen (z. B. Facebook-Pixel), Conversions messen (z. B. Google Analytics bei Verknüpfung mit Werbekonto) ist eine Notwendigkeit nach derzeitigem Standausgeschlossen.
  2. Kopplungsverbot: Opt-In sollte keine Voraussetzung für den Zugang zu einer Website sein. Außer der Zugang ist nicht unbedingt erforderlich und es steht eine cookiefreie Alternative zur Verfügung (auch wenn sie kostenpflichtig sein sollte).
  3. Aktive Zustimmung erforderlich: Eine bloßer Hinweis “wenn Sie unsere Website nutzen, stimmen Sie Cookies zu”, ist nicht ausreichend. Nutzer müssen eine Schaltfläche aktiv klicken. Nach der hier vertretenen Ansicht, ist ein Klick ausreichend, wenn Nutzer auch einzeln Cookiegruppen (und optimal einzelne Anbieter) aus-, bzw. abwählen können (z. B. “Marketing”, “Komfort”, etc.).
  4. Einfache Ablehnung: Die Ablehnung von nicht erforderlichen Cookies sollte per Klick auf die Schaltfläche “Ablehnen” oder “Nur notwendige Cookies akzeptieren” möglich sein.
  5. Hinweis auf Einstellungs-/Widerrufsmöglichkeit: Schon im Cookie-Opt-In-Banner sollten Nutzer darauf hingewiesen werden, wo sie die Einstellungen ändern können (z. B. in der Datenschutzerklärung und im Fußbereich der Webseiten).
  6. Hinweis auf die Datenschutzerklärung: Weisen Sie die Nutzer auf weitere Informationen in der Datenschutzerklärung hin.
  7. Links zum Impressum, Datenschutzerklärung und ggf. AGB nicht verdecken: Es ist im Prinzip egal, wo Sie das Opt-In-Banner platzieren. Wichtig ist, dass Sie die Links mit Pflichtinformationen nicht verdecken (oder Sie nehmen die Links im Cookie-Banner auf).
  8. Detailinformationen: Die folgenden Informationen zu den eingesetzten Cookies sollten am besten schon in einer Detailübersicht im Cookie-Opt-In-Banner vorhanden sein:
    • Identität der Dienstleister, die die Cookies verarbeiten: Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).
    • Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie nach meiner Ansicht, zumindest in voller Länge in der Datenschutzerklärung platziert werden kann. Die Datenschutzerklärung und das Impressum, sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein (Link zu den beiden am besten im Cookie-Banner platzieren).
    • Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen.

Fazit

Auch nach dem BGH-Urteil bleiben sehr viele Fragen offen, vor allem was das für Nutzer kaum schädliche Reichweitenmessung/ Webanalyse angeht. Wäre die ePrivacy-Verordnung nicht gescheitert, wäre die Webanalyse entsprechend dem früheren Entwurf erlaubt.

So bleibt es weiterhin bei einem Tauziehen zwischen Unternehmen, Websitebetreibern und Datenschutzaufsichtsbehörden. Nach der hier vertretenen Ansicht, ist die reine Reichweitenmessung/ Webanalyse auch ohne Opt-In zulässig, muss jedoch im Einzelfall dem Umfang und den Zwecken nach begutachtet werden.

Im Hinblick auf den eindeurtigen Einsatz von Cookies zu Werbe- und Marketingzwecken (d. h. Profiling, Remarketing, Conversion-Messung), postuliert der BGH, wie schon der EuGH, eine Opt-In-Pflicht. Ob die Masse an Informationen, die den Nutzern dabei bereitgestellt wird tatsächlich sinnvoll ist, darf durchaus bezweifelt werden.

Angesichts der Anzahl der Opt-Ins, die man heutzutage schlicht gedankenlos “wegklickt”, erscheint auch hier eine gesetzliche Regelung statt einzuholender Einwilligungen als weitaus sinnvoller. Es bleibt abzuwarten, ob und wie der deutsche Gesetzgeber die bestehenden Cookie-Regelungen anpassen wird.

Updates

11.06.2020 – Hinweise zu Matomo ohne Einsatz von Cookies angepasst; Hinweise zu Bußgeldern um Hinweis auf Unklarheiten zur Zuständigkeit & Höhe angepasst; Antwort auf Frage, ob ein Cookie-Banner auch ohne Cookies erforderlich ist, aufgenommen.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung mit über 600 aktuellen Modulen, u.a. mit Angaben zu Cookies und Onlinemarketing  testen ohne Anmeldung  kein Abo  nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privatpersonen.

 

Opt-In-Empfehlung für WordPress (für Cookies und eingebundene Inhalte)

BORLAND Cookie Opt-In(Affiliate-Link, d.h. wir erhalten beim Kauf eine Provision.)


Kommentare

  1. Danke für diesen ausführlichen Artikel!

    Ich habe eine Frage, weil ich das nicht so explizit herauslesen kann:

    Wenn meine Webseite nur essentielle (aus Nutzersicht notwendige) Cookies verwendet, sollte ich da überhaupt irgend eine Art von Banner anzeigen? (Z.B.: “Diese Webseite verwendet Cookies, jedoch nur notwendige. Näheres erfahren Sie in der Link:Datenschutzerklärung.”)
    Oder genügt da ein Absatz über die essentiellen Cookies in der Datenschutzerklärung, und ein Banner wäre sogar gefährlich?

    Vielen Dank.

  2. Hallo Herr Dr. Schwenke,

    vielen Dank für den sehr guten und ausführlichen Artikel. Die Opt-In Lösung von Borlabs wird ja für WordPress empfohlen. Auf einigen Webseiten wo diese Lösung verwendet wurde ist mir aufgefallen, dass unter “externen Medien” auch ein Cookie für Google Fonts aufgelistet ist.

    Ich erstelle generell komplett Cookie freie Webseiten ohne CMS, jedoch verwende ich einen speziellen Google Font pro Webseite welcher über den Google API Link eingebunden ist. Mir war bisher jedoch nicht bekannt das durch bloße Einbindung des Fonts auch Cookies gespeichert werden. Auch ein kompletter Scan der One-Pager Webseite durch Cookiebot lieferte mir das Ergebnis: Anzahl der verwendeten Cookies 0.

    Kann man auf solche Scans vertrauen oder wäre es generell besser die Fonts lokal einzubinden?

    Freundliche Grüße.

    1. Google Fonts kann man meines Erachtens auf Grundlage berechtigter Interessen nutzen und ich wüsste nicht, dass es da (bis auf theoretische Diskussionen, bei denen einen andere Ansicht vertreten kann), je zu praktischen Problemen kann. Ebenso werden dabei m. W. auch keine Cookies gesetzt.

      1. Nein, keine Cookies, aber wenn die Google Fonts abgefufen werden, dann wird die IP meines Website-Besuchers an Google übermittelt. Gibt es denn inzwischen einen Konsens dass das ohne Einwilligung erlaubt ist? Kenne ich bisher nicht.

      2. Mir ist kein Konsens, d. h. im Sinne einer allgemein vertreten Ansicht, bekannt. Eine IP-Adresse wird jedoch von jedem Browser an Server übermittelt, damit die Inhalte übermittelt werden können. D. h. das alleine begründet noch kein Einwilligungserfordernis.

  3. Besten Dank für die umfassende Analyse! 🙂

    Zum Thema “Nachweis der Cookie-Einwilligung” vertrete ich bei meinen Mandanten spätestens seit dem 1. Oktober 2019 folgende Ansicht:

    Wenn durch technische Einstellungen (geeignetes Cookie-Banner gem. Art. 25 DSGVO, wie im Bericht anschaulich dargestellt) sichergestellt ist, dass Cookies nur gesetzt werden können, wenn vorab aktiv hierzu zugestimmt wurde, ist eine Speicherung der Daten, wer wann wozu zugestimmt hat, nicht erforderlich. Im Gegenteil: Die Speicherung würde nicht mehr dem eigentlichen Zweck des Nachweises dienen. Strenggenommen hätten wir also eine Speicherung personenbezogener Daten ohne Rechtsgrundlage, die dem Postulat der Datenminimierung widerspricht.

    Kommentar?

    1. Das sehe ich genauso. Es sei denn die Opt-In-Cookies würden z. B. von Browsern in default-Einstellungen unterdrückt. Dann würde ich Umstände im Sinne des Art. 25 Abs. 1 DSGVO annehmen, die zu einer Speicherung von IDs (z. B. von digitalen Fingerprints) berechtigen. Mich wundert es aber ohnehin, dass die Browseranbieter nicht längst eine Opt-In-Verwaltung integriert haben.

  4. Hallo Herr Dr. Schwenke,

    Danke für Ihre immer bis ins letzte Detail ausgearbeiteten Beiträge.

    Da ich in Österreich tätig bin, liegt die Frage nahe, wie dieses Urteil bei uns zu interpretieren ist. Ich kann mir zwar die Antwort fast denken, da das Internet ja keine Grenzen kennt, bin aber trotzdem auf Ihre Antwort gespannt.

  5. Hallo,

    vielen Dank für diesen tollen Artikel. Ich habe zwei Punkte:
    1. Zum Thema Nachweisbarkeit: Aus meiner persönlichen Sicht ist die Speicherung in einem Cookie nicht hilfreich, weil Browser wie Safari & Firefox Cookies nach kurzem Zeitraum automatisiert löschen. Stichwörter sind hier: Intelligent Tracking Protection & Enhanced Tracking Protection.
    Sehen Sie es ähnlich, dass die Informationen dann im CMS oder in einer separaten Datenbank vom Betreiber der Webseite gespeichert werden müssen? Wobei sich die Frage stellt, wie das umzusetzen ist, wenn es nicht an die IP gekoppelt werden darf.

    2. Wurde im BGH Urteil irgendetwas dazu gesagt, ab wann das gilt bzw. umgesetzt werden muss? Wird es eine Übergangsfrist geben oder müssen alle Webseitenbetreiber das ab sofort umsetzen?

    Vielen Dank Ihnen und noch einen schönen Tag!
    Thorsten

    1. 1. Ich sehe dann nur digitales Fingerprinting mit einer Datenbank als eine (m. E. zulässige) Alternative, da die IP-Adresse sich in der Regel stets ändert.
      2. Der BGH hat quasi nur bestätigt, was bereits seit der Umsetzung der Cookie-Richtlinie, also spätestens seit 2011 galt. Also gibt es auch keine Übergangsfrist.

  6. > … notwendig[er] … Cookies bedarf keiner Einwilligung der Nutzer.

    Das das dann auch, dass man auf die Cookie-Banner komplett verzichten könnte?
    Könnte man auf das Banner dann verzichten? Ein Verzicht auf Google-Analytics ist für viele Website gar nicht so schlimm – denn oft werden die Statistiken bei kleineren Firmenwebsites gar nicht benutzt oder bedienen einfach nur die Neugier der Admins; ohne daraus wirkliche Auswirkungen aufs Marketing zu haben.

  7. Hallo,
    eine Frage zum Aussehen-Abschnitt mit den Hinweisen zu “Farbenspiele” und “Größe und Form” der Banner: der von Ihnen empfohlene und genutzte Banner widerspricht doch eigentlich diesen Vorgaben? D.h. der obige Button in leuchtendem grün, der ja auch die Marketing Cookies einschließt, ist viel prominenter, also größer und auffälliger, als der untere “unscheinbare” blasse Button, der nur die essentiellen Cookies akzeptiert.
    Daher verleitet doch der obere Button den Besucher viel mehr da drauf zu klicken, als auf den unteren.
    Und war das nicht in einem Urteil als gesetzeswidrig erklärt worden?
    Vielen Dank vorab für eine Erklärung.

    1. Der BGH hat selbst nichts zu den Schaltflächen(farben) gesagt, die Ausführungen beruhen auf den Aussagen von Aufsichtsbehörden oder Juristen. Als Dark Pattern meine ich eine bewusste Umkehrung entsprechend dem Nutzerverhalten: Wer z. B. merkt, dass Nutzer lieber auf eine grüne Schaltfläche klicken und deswegen die “Akzeptieren”-Schaltfläche rot hinterlegt und “Ablehnen” grün, der setzt sich dem Vorwurf aus, die Nutzer bewusst in die Irre zu führen. Ob diese Ansicht zutreffend ist, kann ich nicht sagen. Ich selbst meine, dass eine Kennzeichnung von “Akzeptieren” mit grün und Ablehnen mit grau in Ordnung ist, aber man kann natürlich auch anderer Ansicht sein. Sorry, derzeit ist keine genauere Antwort möglich.

  8. Vielen Dank für diesen ausführlichen und guten Beitrag!
    Leider ist mir aber immer noch nicht klar, wie eigentlich simple Affiliate-Links in diesem Zusammenhang zu sehen sind (wie z.B. der Link im obigen Beitrag auf die Borlabs-Lösung).
    Die Webseite, die den Link beinhaltet, setzt ja selber keine Cookies. Dennoch dient der Link der Nachverfolgung (Tracking) der User-Aktivitäten.
    Etwas anders (aber auch ohne Cookies) wären z.B. Zählpixel, die z.B. von VG-Wort benutzt werden, um Autoren eine Vergütung für ihre Beitrage zu gewährleisten.

    Herr Dr. Schwenke, wie wäre denn Ihre Einschätzung zu diesen beiden Punkten?

    Danke und Gruß, Tooni

  9. Danke für diesen wirklich sehr ausführlichen Artikel.
    Eine Frage habe ich noch, die im Artikel nicht geklärt wird. Wie geht man mit Third-Party-Cookies um? Konkretes Beispiel ist Google Adsense. Da werden teilweise von der eingeblendeten Werbung selber Cookies gesetzt. Da die Werbung aber dynmaisch ist, kann ich vorher ja gar nicht wissen, welche Cookies gesetzt werden!?
    Über eine kurze Antwort würde ich mich sehr freuen.

    1. Dürften demnach nicht Google-Adsense Inhalte erst dann geladen werden, wenn der Nutzer in Cookies für Google-Adsense bzw. in das entsprechende Cookie-Cluster für Werbecookies eingewilligt hat?

      1. Ja, wobei m.E. auch nichtpersonalisierte AdSense-Anzeigen einer Opt-In-Pflicht bedürften, da auch sie Cookies z.B. zur Fraud-Detection oder Frequency-Capping nutzen.(ich freue mich jedoch über Gegenargumente).

  10. Besten Dank für diese ausgezeichnete Informationssammlung zu diesem Thema.

    Trotz umfangreicher Recherche zu dieser Problematik bleibt leider auch hier ein Punkt für mich unbeantwortet. Wenn eine Webseite sowohl einen öffentlichen Bereich als auch einen geschützten Mitgliederbereich hat, der nur nach Registrierung und Akzeptierung der ABG/Datenschutzbestimmungen zugänglich ist, benötigt man für diesen ebenfalls gesonderte Cookie-Informationen oder können diese integrierter Bestandteil der ABG/Datenschutzbestimmungen sein.

    In Ihrem Artikel wird in einem Abschnitt in Bezug auf Facebook kurz darauf eingegangen (“Facebook ist der Ansicht, dass die Einwilligung auf Grundlage eines bei der Registrierung geschlossenen Vertrages (“Daten gegen Plattformnutzung”) verarbeitet werden.”). Muss man, wenn man kein übermächtiges Facebook oder ein ähnlich großer “Player” ist, den Zugang für seine zukünftigen Mitglieder so erschweren (zuerst Cookie-Banner und danach Registrierungsmaske ABG/Datenschutzbestimmungen) oder kann man aufgrund seines “berechtigten Interesses” den Mitgliederbereich mit verpflichtender Cookie-Zustimmung betreiben?

    Können Sie vielleicht zu diesem Punkt noch eine kurze Einschätzung geben?
    Vielen Dank!

    1. Leider habe ich hier keine verlässliche Einschätzung, hier ist der Ausgang eines Rechtsstreits offen. M.E. sollte eine vertragliche Regelung möglich sein, wenn sie hinreichend transparent ist, die Cookies funktionell für die Vertragsleistung erforderlich sind (Facebook sagt, dass Cookies deren essentielle Geschäftsgrundlage sind) und das Angebot für die Nutzer nicht so relevant, dass die Nutzer sich innerlich gezwungen fühlen die Cookies zu akzeptieren.

  11. Vielen Dank für den umfassenden und sehr guten Artikel! Eine Frage hätte ich noch, da es als Beispiel nicht angesprochen wird: Wie sieht es bei Nutzung von JavaScripts aus: Müssen JavaScripte per default deaktiviert werden oder gibt es dafür keine Veranlassung? In den meisten Fällen wird JavaScript zB bei Formularen (Newsletterformulare) genutzt, was die Handhabung auf der Website vereinfacht.

    Auch ich freue mich über eine kurze Rückmeldung! Herzlichen Dank, Katja

  12. Mir stellt sich die Frage, wie mit Affiliate-Links umgegangen werden muss. Es gibt zahlreiche Affiliate-Lösungen, die z.B. als iFrame integriert werden und Cookies setzen (z.B. zum Zwecke des Conversion Trackings). Wenn man seinen Content ausschließlich über Affiliate-Angebote finanziert, kann ich mich dann auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen? Gleiches interessiert mich, wie vom letzten Kommentar angesprochen, für Google AdSense für nicht personalisierte Anzeigen…

  13. Hallo Herr Dr. Schwanke,

    wie steht es um Local Storage in diesem Zusammenhang?

    Elementor Pro setzt diese Technik ein, seit es eine Popup-Funktion mitbringt. Es werden keine Daten an Dritte weiter gegeben. Die Speicherdauer wird über das Plugin Complianz als “hartnäckig” beschrieben.

    Local Storage wird ja vor dem Gesetz ähnlich wie Cookies behandelt. Sie haben ja schon geantwortet, dass – sobald es essenziell wird – ein Consent nicht notwendig ist und das Banner unterbleiben kann.

    Gilt das auch für Local Storage?

    Vielen Dank übrigens für den großartigen Artikel!
    Lorena Jurma

    1. Hier muss ich passen, was die konkreten technischen Vorgänge angeht, da ich die Plugins nicht kenne. Aber Lokal Storage ist für sich kein Problem, wenn es zum Betrieb des Angebots notwendig ist. Sofern die Speicherung aber für die Ausgabe der Website mit Hilfe eines Page Builders erforderlich ist, würde ich sie als notwendig betrachten (man darf aber eine andere Ansicht vertreten, wobei ich das Risiko in dieser Konstellation für eher gering halte).

  14. Beim durchlesen kam mir mit Hinblick auf die spiegel.de Lösung sofort der Gedanke – kann man nicht einfach “kostenfreie Seitenutzungsabos” anbieten? Also Nutzer werden getrackt, es sei denn sie registrieren sich (schliessen ein nutzungs-ABO” ab). Wer sich dann einlockt, der wird nicht getrackt. Das könnte dann wirklich jeder so handhaben.

    Was mich grundsätzlich sehr wundert – als Gastronom habe ich Hausrecht und kann z.B. Krawattenpflicht o.ä. verlangen. Die Logik macht es schwer vorstellbar, dass man sogar den Content mit Warnhinweisen nicht wirklich verdecken darf. Niemand wird gezwungen eine Seite aufzurufen, demnach erscheint es schon logisch, dass man Nutzer von einer Seite entfernt die sich nicht tracken lassen wollen. Auf welcher Grundlage sind Seitenbetreiber nun gezwungen Nutzer Zugang gewähren zu müssen?

    Vielen Dank und viele Grüsse!

    1. Auf Grundlage des Art. 7 Abs. 4 DSGVO, den es so für Gastronomen nicht gibt:

      Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

  15. Hallo Herr Dr. Schwenke (Thomas),

    meines Erachtens nach gelten alle Informationen und Aussagen auf auch sinngemäß für APPs; auch wenn dort ggf. andere Techniken (also gerade eben keine Cookies) zum Einsatz kommen, gleichwohl jedoch Daten auf dem Endgerät des Nutzer gespeichert und/oder ausgelesen werden um bspw. Tracking und ähnliches auszuführen. Stimmen Sie dieser Aussage grundsätzlich zu oder haben wir hier eine andere Betrachtung zu wählen?

    Vielen Dank und Gruß,
    M. Becker

  16. Vielen Dank für die ausführlichen Erläuterungen, Dr. Schwenke!

    Haben Sie zufällig auch einen spontanen Hinweis zur Einbindung von Google Maps und Openstreetmap? Kann diese als essenziell betrachtet werden? Wahrscheinlich kommt es darauf an 🙂

    1. Ich erlaube es mir, das etwas umfangreicher zu beantworten:
      Wenn dabei Cookies gesetzt werden und die Daten in Nutzerprofilen verarbeitet werden (bei Google Maps ist das m.W. der Fall, bei Openstreetmap weiß ich es nicht) und statt der Map eine Adressangabe ausreichen würde (hier wird es auf die Art des Dienstes und die Nutzererwartung ankommen), dann ist ein Opt-In erforderlich.

      1. Vielen Dank für den super Artikel!!
        Angeblich werden bei GoogleMaps keine Cookies mehr gesetzt. Ich bin mir aber ziemlich sicher, dass trotzdem Daten an Google weitergegeben werden. Ist das Opt-In dennoch erforderlich bzw. kann man sicher die Aussage treffen, dass das Opt-In bei GoogleMaps benötigt wird?

      2. Die Antwort hängt davon ab, ob die Aussage betreffend Google Maps zutrifft. Da mir der Verzicht auf die Cookies neu ist, kann ich leider nicht mehr dazu sagen. Gibt es hier eine Quelle?

  17. Auch von mir vielen Dank für den ausführlichen Beitrag. Sehr hilfreich!

    Hinsichtlich der Google Fonts und Ihrem Eintrag/Kommentar weiter oben vom 28. Mai 2020 um 18:11 Uhr habe ich noch eine Anmerkung. Ja, es stimmt, dass jeder Klick auf einen Link/URL u.a. die IP-Adresse des Aufrufers übermittelt. Die meisten InternetnutzerInnen wissen das auch.

    Was aber kein Aufrufer vor dem Klick auf einen solchen Link wissen kann, ist, dass unter der Decke sozusagen das Google-Font-API aufgerufen wird und deshalb gleichzeitig Informationen wie z.B. Spracheinstellungen, IP-Adresse, Version des Browsers, Bildschirmauflösung des Browsers und Name des Browsers automatisch an die Google-Server übertragen werden. Inwieweit diese Daten von Google genutzt oder gespeichert werden, entzieht sich meiner Kenntnis.

    Grundsätzlich kann Google aber mit der übermittelten IP-Adresse und der anderen Daten Nutzerprofile erstellen oder ergänzen. Hierüber sollte ein Nutzer informiert werden, bevor er auf einen solchen Link klickt, und damit eine Wahl haben.

    Insofern denke ich, dass es empfehlenswert ist, die Google Fonts von dem Server abzurufen, von dem auch die Website kommt, und nicht über das Google-Font-API.

    1. Zustimmung, jede Maßnahme, die das Datenschutzrisiko durch Dritte senkt, ist empfehlenswert. Allerdings halte ich die übermittelten Daten und das abstrakte Risiko des Missbrauchs (das praktisch immer und überall besteht), nicht für so gravierend, als dass es das Interesse an dem Abruf der Schriftarten überwiegt. Andere Ansicht ist jedoch vertretbar.

  18. Matomo hat heute eine Version 3.13.6 veröffentlicht, bei der die Cookie-lose Webanalyse (also Fingerprinting) einer Anonymisierung unterzogen wird, bei der sich alle 24h der Fingerprint eines Nutzers durch einen Zufallsfaktor verändert.

    Unter https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/ beschreibt Matomo, wie die Einwilligung in die Webanalyse zu vermeiden sei. Auf welcher juristischen Grundlage diese Aussage erfolgt, erschließt sich mir jedoch nicht.

    1. Die Cookie-lose Webanalyse von Matomo scheint nach dem gleichen Prinzip wie bei Etracker (https://www.etracker.com/) zu funktionieren. Dort gibt’s auch keine Opt-In Pflicht mit nervigen Cookie-Tools.

      Das Verfahren ist von Datenschutzexperten geprüft und zertifiziert. So dürfte Matomo erst recht grünes Licht haben. Wenn du es selber hostest, ist sogar auch die theoretische Möglichkeit einer Datenzusammenführung unterbunden.

      1. Ich bezweifle, dass Datenschutzexperten die Lösung von eTracker zertifiziert haben. Würde eTracker aber einsetzen, wenn diese Aussage belegt wäre.

  19. Danke für diesen Artikel! Danke vor allem für die ausführliche und hilfreiche Beantwortung der Fragen!
    Ich habe – nach dem Studium etlicher anderer Seiten zum aktuellen Urteil – etliche Stunden damit zugebracht, ein Cookie Opt In Tool zu suchen und mich fast für eins entschieden.
    Muss ich wohl gar nicht. Meine Webseiten setzen keinerlei Cookies. Ich habe keine Einbindung von Social Media Button, keine Youtube Videos, kein Google Analytics … Das einzige, was ich habe sind Google Fonts.

  20. Hallo,

    ich habe eine Webseite bei Jimdo. Diese habe ich da über den Baukasten erstellt. Auf der Seite werden ja Cookies verwendet. Ich habe nun am Ende jeder Seite ein Link zu den Cookie-Einstellungen und zu den Cookie-Richtlinien hinzugefügt.
    Und ich habe die Cookie Richtlinien auf nochmal oben auf der Seite verlinkt. Und auch über die Cookie-Richtlinien kommt man zu den Cookie Einstellungen.
    Jetzt meine Frage. Ist das so ausreichend oder muss ich da noch was verändern??
    Die Cookie-Richtlinen und Cookie-Einstellungen waren beim bauen der Webseite schon dabei so das ich sie nur noch verlinken musste.

    Mit freundlichen Grüßen
    Sascha E.

  21. Lieber Herr Schwenke
    Danke für den ausführlichen Beitrag.
    Letztlich geht es aber doch nicht um Cookies alleine, sondern um Tracking. Von daher stellt sich mir die Frage, wann z.B. eine Einbindung von Google Analytics zustimmungspflichtig ist und wann nicht und ob eine cookielose Einbindung von GA den Sacherverhalt ändern würde.
    Auch die hier noch offene Frage der Affiliate-Links finde ich spannend.
    Zudem würde mich noch interessieren, wie Sie die Aussage von spiegel.de bewerten, dass auf AMP-Seite technisch bedingt keine individuellen Cookie-Einstellungen möglich sind und sich der Bereich damit der Diskussion entzöge.
    VG
    Hansjörg Leichsenring

    1. Genau die Frage stellt sich mir sich mir auch: Was unterscheidet denn technisch den Abruf der Google-Fonts von einem Drittserver z.B. vom VG-Wort-Zählpixel?
      Am Pixel wird noch eine eindeutige ID von Anbieter und Artikel dranhängen, damit die Abrechnung möglich ist, aber das sind ja Daten des Betreibers. Die übertragenen Daten des Aufrufers müssten doch die gleichen sein.

  22. Hallo Herr Dr. Schwenke,

    herzlichen Dank für den ausführlichen Artikel! Ich habe zwei ergänzende Fragen:

    1. Habe ich es richtig verstanden, dass notwendige Cookies bereits mit Aufruf der Seite gesetzt werden dürfen, also bevor ein entsprechendes Hinweisbanner erscheint?

    2. Wie bewerten Sie Cookies von Formularplugins und Popup-Plugins, z.Bsp. zur Werbung für Newsletter Optins. Bedürfen diese einer Zustimmung?

    Vielen Dank und viele Grüße
    Maike

    1. 1. Ja, das ist zutreffend, die Cookies dürfen bereits ohne das Banner gesetzt werden.
      2. Dazu müsste ich wissen, welche Funktion die Cookies haben. Wenn sie nur eine technische Funktion im Sinne eines Zwischenspeichers haben, sehe ich hier wenig Schwierigkeiten.

      1. Danke für Ihre Antwort.

        Zu 2. Die Cookies steuern z.Bsp., ob und wann das Pop up wieder angezeigt wird, wenn es vom Nutzer geschlossen wurde.

  23. Der Cookie-Banner von Borlabs, den Sie hier einsetzen, kann doch so eigentlich nicht wirklich rechtskonform sein. Soweit ich es verstehe, müssen Besucher explizit jeglichen nicht-essenziellen Cookies zustimmen, bevor diese gesetzt werden dürfen. Ein pauschaler Klick auf einen Button, mit dem die bereits vorausgewählten Cookies bestätigt werden, reicht ja wohl eben gerade nicht aus.

    Beim Borlabs-Banner (und vielen anderen Tools) ist es aber doch de facto genau so: Wenn ich den “Standard-Button” (den grünen) klicke, bestätige ich die Verwendung der voreingestellten Cookies, inkl. der Cookies für Marketing. Die Verwendung von grün sowohl für den Button als auch für die Cookie-Kategorie “Marketing” und die optische Herabsetzung des Buttons, der nur die essenziellen Cookies akzeptiert, kann doch wohl ohne Übertreibung als Dark Pattern bezeichnet werden. Hier wird dem Besucher durch die Farbwahl suggeriert, dass er die für ihn vorteilhafte Auswahl trifft, was aber gerade nicht der Fall ist, denn die weit überwiegende Mehrheit (alle?) Besucher wollen ja eigentlich gerade *nicht* getrackt werden. Zudem baut dieser Ansatz darauf, dass Besucher wie bisher die Cookie-Banner einfach “wegklicken”.

    Selbst wenn eine solche Lösung juristisch nicht anfechtbar sein sollte, so haben solche Banner doch zumindest ein “Gschmäckle”. Denn hier wird doch versucht, den Besucher zu einem Klick zu bewegen, den er eigentlich gar nicht tätigen will.

    1. Die Ansicht ist selbstverständlich vertretbar, aber was die Bündelung mehrerer Dienste in eine Gruppe (z. B. Marketing), verweise ich auf die aktuelle Leitlinie zu Voraussetzungen einer Einwilligung des Europäischen Datenschutzausschuss, nach der die Einwilligung zwar in einzelne Zwecke aufgespalten werden muss, aber die Zusammenfassung mehrerer Anbieter zulässig ist:

      65. With regard to item (i) and (iii), the EDPB notes that in a case where the consent sought is to be relied upon by multiple (joint) controllers or if the data is to be transferred to or processed by other controllers who wish to rely on the original consent, these organisations should all be named.

      https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

  24. Genau zu der letzten Frage würde mich interessieren: Sie haben ja Google Analytics unter die Kategorie “Marketing” gefasst. Müsste der Dienst nicht korrekterweise einer eigene Kategorie “Statistik” zugeordnet werden?

    1. M.E. ist es ausreichend GA unter “Marketing” einzuordnen. Eine zusätzliche Einordnung unter Statistik ist nicht erforderlich. Die Begriffe sind m.E. ehr schwammig, so dass ich ohnehin erkläre, die eingesetzten Tools in der Datenschutzerklärung zu erläutern (was der EuGH im Hinblick auf die Funktionsweise auch verlangt).

  25. Hallo, ich verwende auf meiner Homepage http://www.finanzberatung-albert.de / das Addon Borlabs für die Verwaltung. Nun habe ich auf einigen Unterseiten (soll mehr werden) auch Youtube Videos eingebettet. Nervig ist, wenn der Interessent bei der Abfrage nur die Essenziellen Cookies akzeptiert. Somit muss er bei den Videos nochmal akzeptieren was wieder zu einer akzeptanz führt. Nun habe ich den Punkt “externe Medien” als aktiviert in Borlabs hinterlegt. Sprich , akzeptiert der Interessent die vorausgewählten Einstellungen sind die Youtube Videos ebenfalls sofort sichtbar. Ist das nun erlaubt oder nicht oder gibt es dafür eine andere Möglichkeit?

    1. Sehr geehrter Herr Albert, ich kann leider keine Rechtsberatung in den Kommentaren geben, da ich mir zuvor den Fall en detail anschauen müsste. Aber allgemein gesagt, kann ein Nutzer auch eingebettete Inhalte per Cookie-Opt-In-Banner akzeptieren, wenn sie dort aufgenommen werden.

    1. Meines Erachtens (und vieler anderer JuristInnen vom Fach) ja, dann kann man den Einsatz auf berechtigte Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen. Allerdings muss dann auch das eigene clientId-Verfahren mit einem möglichst geringem Personenbezug erfolgen (also wie bei Matomo, s. https://www.content-iq.com/tracking-mit-matomo-ohne-cookies/#matomo-cookiefrei-sinnvoll). Ob die Datenschutzbehörden es genauso sehen, glaube ich eher weniger. Sie verweisen bereits auf die Verarbeitung in den USA und meinen, dass schon deswegen die Schutzinteressen der Nutzer ein berechtigtes Interesse am Einsatz von Google Analytics überwiegt.

  26. In der FAQ wird die Frage “Gilt das Urteil auch für ‘anonymes Tracking’?” leider nicht beantwortet, da es in der Regel eben doch lediglich “pseudonym“ sei.

    Deswegen noch einmal nachgehakt: Braucht es für das tatsächlich anonyme Tracking eines Seitenbesuchs irgend einer Aufklärung? Und eines Opt-outs? Wenn ja: aufgrund welcher Rechtsvorschrift genau?

    (Klar: Mit anonymem Tracking erkennt man keine wiederkehrende Besucher, aber man erfährt Besuchsdauern und Seitenzahlen, die während eines Besuchs aufgerufen werden.)

    (Kontaktseiten etc. dürfen dabei natürlich nicht getrackt werden, denn dann ließe sich der Besucher möglicherweise identifizieren, sogar mit Name, E-Mail und Telefon).

  27. Vielen Dank für den ganz ausführlichen Artikel!
    Damit konnten bereits einige offene Fragen geklärt werden.

    Bei einer Sache sind wir uns jedoch nicht ganz sicher. Normalerweise bauen wir Module wie bspw. Twitter manuell in die Website ein. Nun kam die Frage auf, was man den tun müsste, wenn wir das Modul direkt einbinden. Muss dann für den Nutzer ein Banner eingeblendet werden, dass er auf eine Website weitergeleitet wird, die Nutzerbezogene Daten speichert? Und falls ja: Muss es an diesem Punkt auch schon die Option einer Zustimmung geben?

    Vielen herzlichen Dank!

    1. Ich kann in den Kommentaren keine individuelle Rechtsberatung leisten, da ich die Fälle nicht en Detail kenne. Allgemein gesagt sehe ich keine Pflicht auf Datenerhebungen auf verlinkten Inhalten hinzuweisen. Wenn man allerdings den Code von anderen Diensten einbindet und diese Dienste personenbezogene Daten erheben, dann sollten die Nutzer Einwilligen, bevor der der Code geladen wird. Sei es vorab im “Cookie-Opt-In-Banner” oder direkt im Modul, als “Inhalts-Opt-In”).

  28. Ich nutze auf meiner beruflichen Webseiten teilweise Borlabs Cookie als opt-in-Lösung, teilweise cookiebot. Beide setzen jeweils ein Cookie. Handelt es sich bei beiden Ihrer Meinung nach um unbedingt notwendige oder schon um “Komfortfunktionen”, bei denen ich eine Einwilligung benötige?

    Danke im VOraus! 🙂

  29. wenn ich Matomo ohne Cookies einsetze, muss dann nicht auch der entsprechende Abschnitt in der Datenschutzerklärung geändert werden. Nach den Motto, Matomo ist zwar aktiv, es wird aber kein Cookie gesetzt. Und was ist mit der Opt-Out Option, die man bis jetzt in der Datenschutzerklärung unter dem Punkt Matomo hatte. Braucht man das dann noch?

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.