Der ultimative Cookie-Datenschutz-Ratgeber

Ausgehend von der Entwicklung der Rechtsprechung, sind schätzungsweise 99% aller Cookie-Banner unwirksam. Gleichzeitig ist es für niemanden einfach, den Überblick über die rechtliche Zulässigkeit des Einsatzes von Cookies zu behalten.

Der folgende Ratgeber wird Ihnen daher helfen, die rechtlichen Hintergründe am Beispiel von z.B. Matomo, Google Analytics und FLoC, A/B-Testing, Affiliate-Tracking und dem Facebook-Pixel nachvollziehen zu können.

Ferner erhalten Sie Beispiele für sichere und weniger sichere Umsetzungen von Cookie-Einwilligungen als auch Einschätzungen zu praktischen Risiken sowie eine Beispielformulierung für die Einleitung im Cookie-Banner. Zum Abschluss des Beitrags finden Sie eine praktische Checkliste mit den wichtigsten Punkten.

Inhalt des Beitrags:

Digitale Privatsphäre und Datenschutz

Im Rahmen der Verwendung von Cookies müssen zwei Regelungsarten beachtet werden: Die ePrivacy schützt Endgeräte vor fremden Zugriffen, unabhängig von der Art der dabei gespeicherten oder gelesenen Daten. Der Datenschutz (DSGVO) schützt wiederum nur personenbezogene Daten, aber unabhängig davon, ob sie sich in Endgeräten oder außerhalb von Endgeräten befinden.

Die Unklarheiten beginnen bereits mit der Frage, welches Recht einschlägig ist. Denn neben dem Datenschutz müssen auch die Regeln der sogenannten “ePrivacy” beachtet werden:

  • Datenschutz (DSGVO) – Der Datenschutz dient dem Schutz von personenbezogenen Daten (wodurch unter anderen Zielen vor allem die Freiheit der Menschen und Schutz vor Überwachung gewährleistet werden sollen). Der Datenschutz ist vor allem in der DSGVO geregelt.
  • ePrivacy – Die ePrivacy dient nicht (zumindest nicht primär) dem Schutz von personenbezogenen Daten. Der Schutzgegenstand ist viel mehr die Integrität von Endgeräten, also deren Schutz vor Fremdzugriff. Genauso wie ein Haus vor unbefugtem Zutritt gesetzlich geschützt wird, wird das “digitale Haus”, also das Smartphone, der Desktopcomputer oder das Smart Home vor unbefugten Zugriffen geschützt. Die Regelungen der ePrivacy finden sich in nationalen Gesetzen, werden jedoch von der EU vorgegeben.

Die Verwirrung wird um so größer, wenn es um die Frage geht, welches dieser Gesetze zu prüfen ist.

Das strengere Gesetz gewinnt

Es ist unter Juristen umstritten, in welchem Verhältnis die Regelungen der ePrivacy und des Datenschutzes zueinanderstehen. Überwiegend wird der Einsatz von Cookies alleine anhand der ePrivacy geprüft.

In der Praxis wird diese Unterscheidung jedoch häufig nicht von Bedeutung sein. Denn zum einem ist ePrivacy, wie nachfolgend erläutert wird, streng und verlangt für das Schreiben und Auslesen von Cookies sehr häufig eine Einwilligung der Nutzer.

Wird eine ePrivacy-Einwilligung erteilt, dann kann im gleichen Zuge auch eine datenschutzrechtliche Einwilligung eingeholt werden (vorausgesetzt die Nutzer werden ausreichend informiert). Falls die ePrivacy-Regeln keine Einwilligung verlangen, dann wird auch nach der DSGVO keine Einwilligung erforderlich werden.

D.h. das Ergebnis richtet sich nach der ePrivacy, da die ePrivacy das strengere Gesetz ist. Aus diesem Grund (und der Übersicht wegen) wird sich die nachfolgende Prüfung auf die Regelungen der ePrivacy konzentrieren.

Strenge Einwilligungspflicht

Laut Art. 5 Abs. 3 ePrivacy-Richtlinie bedarf die Speicherung von und der Zugriff auf  Informationen auf den Endgeräten der Nutzer, deren Einwilligung (Hervorhebungen der relevanten Passagen vom Verfasser):

Art 5 Vertraulichkeit der Kommunikation

(3)  Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Die Einwilligungspflicht gilt unabhängig davon, ob die auf den Endgeräten gespeicherten oder aus diesen ausgelesenen Informationen personenbezogen oder anonym sind. Damit wird praktisch der gesamte Datenstrom, der auf Endgeräten ein und ausgeht und damit jeder nutzerbezogener Datenverkehr erfasst.

Einwilligungspflicht umfasst den ganzen Datenverkehr

Das Schreiben von Informationen und Zugriff auf diese liegen unproblematisch vor, wenn dauerhaft oder vorübergehend im Speicher des Geräts Informationen geschrieben oder gelesen werden. Dazu können u.a. folgende Verfahren gehören:

  • Cookies – Cookies sind kleine Textdateien, auf die Browser und Server zugreifen können. Umfasst sind Session-Cookies, Persistente Cookies, First-Party oder Third-Party-Cookies. Das Gesetz unterscheidet nicht, wie lange die Informationen gespeichert werden noch woher sie kommen.
  • Web Storage – “Web Storage” (auch als “Super-Cookie” bezeichnet) ist eine Weiterentwicklung der klassischen Cookies mit größerer Kapazität.
  • Web-Beacons – Es handelt sich um kleine 1×1-Pixel-große Grafiken, die auf unterschiedliche Art und Weise in Webseiten oder sogar in E-Mails eingebunden werden können. So kann z.B. der Versender der E-Mail erkennen, ob diese geöffnet (und die Grafik damit abgerufen) wurde.
  • Lokale Software – Neben der internetgestützten Diensten, kann auch lokal auf den Geräten der Nutzer laufende Software z.B. statistische Informationen anlegen, die an den Softwareanbieter übersandt werden und z.B. die Optimierung der Sicherheit oder Effizienz der Software verbessen. Auch hierbei werden Informationen auf Endgeräten geschrieben und aus diesen ausgelesen.

Im Ergebnis wird deutlich, dass praktisch alle Arten von Cookies und zumindest kurzfristiger Zwischenspeicherung von Informationen grundsätzlich einer Einwilligung der Nutzer bedürfen.

Werbenetzwerke versuchen daher mit Hilfe sogenannter “digitalen Fingerabdrücke“, keine Daten auf den Endgeräten zu speichern und so der Einwilligungspflicht zu entgehen.

Einwilligungspflicht für digitale Fingerabdrücke

Ob das Erfassen der vom Endgerät des Nutzer an den Server von sich aus zugesandten Informationen einen Zugriff auf diese Informationen auf dem Endgerät darstellt, kann man im Sinne der Werbenetzwerke durchaus bezweifeln.

Allerdings werden digitale Fingerabdrücke in der Regel auch durch Daten angereichert, die aktiv von Anbietern oder Werbenetzwerken von den Endgeräten der Nutzer ausgelesen werden. Z.B. wenn Skripte auf einer Webseite ausgeführt werden und Informationen an den Server senden oder wenn eine Mobile-App die Daten des Smartphones abfragt. In diesen Fällen liegt ein Zugriff vor, der Einwilligungspflichtig ist (der Europäische Datenschutzausschuss tendiert auch sonst zu einer Einwilligungspflicht).

Ausnahmen von der Einwilligungspflicht

Die bisherige Erkenntnis lautet, dass fast alle im Zusammenhang mit dem Tracking und Profiling von Nutzern eingesetzten Cookie-Verfahren einer strengen Einwilligungspflicht unterfallen.

Eine strenge Einwilligungspflicht würde jedoch Datenströme ungerechtfertigt, weswegen das Gesetz Ausnahmen von der Einwilligungspflicht vorsieht:

  • Notwendige Übertragung von Daten: Der alleinige Zweck ist die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.
  • Notwendig, um den Dienst zur Verfügung zu stellen: Die Speicherung oder der Zugriff auf das Endgerät sind unbedingt erforderlich, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Der erste Fall trifft zwar auf die meisten Informationen zu, gilt jedoch vor allem für Internet-Zugangsprovider sowie anderen Telekommunikationsunternehmen und ist im Hinblick auf Cookies weniger relevant. Sehr bedeutend ist jedoch die zweite Ausnahme.

Unbedingt erforderlich und vom Nutzer ausdrücklich erwünscht

Die für die Cookie-Praxis relevante Ausnahme könnte kaum einschränkender formuliert sein:

  • Ausdrücklich erwünschter Dienst der Informationsgesellschaft – Der “Dienst der Informationsgesellschaft”, den sich ein Nutzer gewünscht hat, muss unbedingt erforderlich sein. Bei Aufruf einer Website und ihrer Inhalte, sind diese selbst erwünscht. Aber sind auch das Speichern des Zugriffs in einem Cookie oder gar die Nutzung dieser Information für Analyse oder Marketingzwecke ausdrücklich gewünscht? Im Regelfall wohl eher nein.
  • Die Cookies müssen für den Dienst unbedingt erforderlich sein – Der ausdrücklich erwünschte Dienst der Informationsgesellschaft in dem vorhergehendem Beispiel, sind die Website und ihre Inhalte, nicht das Tracking des Nutzers. Das Cookie müsste also für die Bereitstellung der Website unbedingt erforderlich sein.

Wann ein Cookie für ein Website-Angebot unbedingt erforderlich ist, bleibt auch die Kernfrage der Problematik rund um Cookies (und vergleichbaren Funktionen, wie z.B. digitalen Fingerabdrücken). Zwar könnte man denken, dass der “ausdrückliche Wunsch” der Nutzer mit AGB formuliert werden könnte, doch es ist zweifelhaft, ob diese Lösung Vorteile bringt.

Ausdrücklicher Wunsch durch AGB-Zustimmung

Was sich der Nutzer wünscht wird anhand der äußeren Umstände beurteilt. Zu diesen Umständen können neben erwartbaren Gepflogenheiten und technischen Notwendigkeiten (z.B. Übermittlung von IP-Adressen an Server zwecks Darstellung einer Website) auch vertragliche Vereinbarungen gehören.

So könnte eine Onlineplattform, nennen wir sie “F” in den AGB regeln, dass die Plattform im Tausch “kostenlose Nutzung gegen Daten” angeboten wird. Da Nutzer diese AGB akzeptieren, könnte F nun meinen, dass sich Nutzer diese “Kostenlose Nutzung gegen Daten“-Plattform “ausdrücklich gewünscht” haben.

Allerdings stellt der Klick auf “Ich bin mit den AGB einverstanden” eher keinen “ausdrücklichen” Wunsch dieses Tauschgeschäfts dar. Denn die ausdrückliche Erwartung ist eine Alternative zu der Einwilligung und muss daher die Rechte der Nutzer gleichermaßen schützen.

Das ließe sich nur dann erreichen, wenn diese Regelung üblich, erwartbar und von Nutzern geistig erfassbar wäre. Dazu müsste der Hinweis auf das “Kostenlose Nutzung gegen Daten“-Geschäft bereits vor der “Absenden“-Schaltfläche des Registrierungs-Formulars stehen (wobei man durchaus auch noch eine zusätzliches Kontrollkästchen verlangen könnte). Ist eine Klausel dagegen nicht üblich, erwartbar und von Nutzern geistig erfassbar, dann gilt sie als überraschend, überrumpelnd und ist unwirksam (§ 315c Abs.1 BGB-DE).

Damit kann eine Einwilligung durch AGB-Regelungen eher nicht umgangen werden. Es ist daher nicht damit zu rechnen, dass Gerichte AGB für einen tauglichen Einwilligungsersatz halten werden.

Wann sind Cookies unbedingt erforderlich?

Der Einsatz unbedingt erforderlicher (auch als “notwendig”, bzw. “essentiell” bezeichneter) Cookies, bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies.

Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nur, wenn eine Webseite sonst nicht nach Mindeststandards nutzbar wäre” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“.

Zumindest die folgenden Cookies können entsprechend den überwiegenden Rechtsansichten als notwendig betrachtet werden:

  • Warenkorb-Cookie – Die Speicherung der in einem Onlineshop ausgewählten Produkte in einem Cookies gilt als erforderlich.
  • Nutzereingaben – Auch wenn Nutzereingaben, z.B. in Onlineformularen, die sich über mehrere Webseiten erstrecken, gespeichert werden, darf diese Speicherung als erforderlich betrachtet werden.
  • Login – Der Login-Status, z.B. in einer Community, wird von einem Nutzer erwartet und kann daher als unbedingt erforderlich betrachtet werden.
  • Sicherheit der Nutzer – Beim Einsatz von Cookies zu Sicherheitszwecken muss neben deren Notwendigkeit, auch deren Zweck betrachtet werden. Zulässig sind vor allem erforderliche Maßnahmen, die dem Schutz der Nutzer und ihrer Daten dienen (z.B. die Verhinderung von sogenannten Brute-Force-Angriffen durch wiederholte Login-Versuche).
  • Sprachauswahl – Auch die Speicherung der Sprachauswahl auf einer internationalen Webseite wird von Nutzern erwartet und gilt als erforderlich.
  • Cookie-Opt-In – Cookies, die eine Cookie-Einwilligung speichern sind ebenfalls unbedingt erforderlich, damit das “Cookie-Banner” nicht bei jedem Aufruf der Webseite neu erscheint.
  • Wiedergabe von Multimedia-Inhalten – Sofern die Cookies für die Wiedergabe essenziell sind, dürfen sie eingesetzt werden (so LG Köln, 29.10.2020 – 31 O 194/20).
  • Lastenverteilung – Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen, gelten als unbedingt erforderlich.

Wann sind Cookies nicht unbedingt erforderlich?

Als nicht unbedingt erforderlich werden Cookies betrachtet, die alleine den Marketing- und Werbezwecken der Anbieter von Onlineangeboten oder Werbenetzwerken dienen. Dies wird u.a. daraus abgeleitet, dass das Gesetz vom Wortlaut her, die Ausnahme von der Einwilligung nur für eine “technische Speicherung” der Cookies zulässt. Auch der EuGH entschied, dass in einer solchen Konstellation eine Einwilligung erforderlich ist (EuGH, 1.10.2019 – C-673/17 “planet49”).

D.h. bei den folgenden Einsatzzwecken darf eine Ausnahme von der Einwilligungspflicht daher eher bezweifelt werden:

  • Konversionsmessung – Die Konversionsmessung dient insbesondere der Prüfung, ob ein Nutzer, der eine Werbeanzeige geklickt hat, z.B. einen Kauf getätigt hat. So kann die Effektivität von Werbeanzeigen gemessen werden.
  • Remarketing – Als Remarketing wird die Einblendung von Werbeanzeigen aufgrund früher besuchter Webseiten oder Onlineshops bezeichnet. So kann ein Nutzer noch Tage später an ein Produkt erinnert werden, dass er zwar betrachtet, aber noch nicht erworben hatte.
  • Zielgruppenbildung – Anhand von Nutzerprofilen (z.B. bei Facebook oder Google gespeicherten) können anhand von demografischen, örtlichen oder an mutmaßlichen Interessen orientierten Kriterien Nutzer als Zielgruppe für Werbeanzeigen ausgewählt werden.

Möglicherweise unbedingt erforderliche Cookies

Zwischen den nachvollziehbar erforderlichen und nicht erforderlichen Nutzen der Cookies liegt ein Bereich, zu dem keine verlässliche Rechtsmeinung existiert:

  • Komfort – Unklar ist z.B. ob ein Cookie den Inhalt eines Warenkorbs oder den Abspielstand eines Videos, auch wenn der Browser geschlossen wird speichern darf (was z.B. den Nutzern im Fall eines Browserabsturzes erneute Eingaben ersparen würde).
  • Design – Es ist ebenfalls umstritten, ob Cookies (und vergleichbare Funktionen) für Zwecke des Designs eingesetzt werden dürfen. Z.B. wenn die News auf einer Website auch ohne Cookies lesbar sind und bloß das Design der Website weniger ansprechend ist.
  • Sicherheit des Anbieters – Cookies können nicht nur zum Schutz der Nutzer, sondern auch zum Schutz des Webseitenbetreibers eingesetzt werden (z.B. um Betrugsfälle in einem Onlineshop zu erkennen). Ob diese eigenwirtschaftlich orientierte Nutzung ohne Einwilligung erfolgen darf, ist ungewiss.

In der Praxis kommt es auf Ihre Risikobereitschaft an. Angesichts der unklaren Rechtslage ist das Risiko des Einsatzes von Cookies zu Komfort-, Design- und Sicherheitszwecken gering. Auch die reine Reichweitenmessung birgt ein geringes Risiko.

Bedürfen Cookies für Reichweitenmessung einer Einwilligung?

 

Auch laut der Orientierungshilfe (S.13) der deutschen Datenschutzbehörden, ist eine Webanalyse zwar zulässig, aber es muss auf den Grundsatz der Datenminimierung geachtet werden.

Es lässt sich durchaus argumentieren, dass die bloße Analyse der Besucherströme für eine ihre Funktionen erfüllende Webseite, heutzutage notwendig sind. So vertreten es u.a. deutsche Datenschutzbehörden, als auch die  französische Datenschutzbehörde CNIL.

Das gilt zumindest unter den folgenden Voraussetzungen:

  • Anonyme Statistiken – Es werden ausschließlich anonyme Statistiken ohne Profilbildung erstellt.
  • Kein Tracking über Webseiten hinweg – Nutzer werden nicht über mehrere Webseiten, Dienste oder Apps verfolgt.
  • Keine Bereitstellung an Dritte – Die erhobenen Daten werden nicht Dritten zugänglich gemacht (damit wäre auch die Nutzung von externen Tools zulässig, solange deren Anbieter die Daten nicht zu eigenen Zwecken verarbeiten, sondern eine “Auftragsverarbeitung” vorliegt).

D.h. Einstellungen mit denen z.B. wiederkehrende Besucher wiedererkannt werden dürfen, wären nach dieser Ansicht zumindest problematisch (weswegen die Wiedererkennungsquote auf einen möglichst kurzen Zeitraum begrenzt werden sollte).

In der Praxis wird es nicht nur auf die konkreten Einstellungen der verwendeten Analysesoftware ankommen, sondern auch auf die Software selbst. So müssen Sie beim Einsatz von Google Analytics ohne Einwilligung eher mit Rückfragen von Behörden rechnen. Dagegen wird bei einer nicht an ein Werbenetzwerk angeschlossenen Software wie Matomo eher angenommen, dass sie die vorgenannten Anforderungen erfüllt.

Einsatz von Matomo ohne Einwilligung

Der selbst gehostete Open-Source-Analysedienst Matomo kann hinreichend rechtssicher ohne eine Einwilligung betrieben werden (was jedoch datenschutzfreundliche Voreinstellungen voraussetzt). Hier am Beispiel der der Verbraucherzentrale, die in dem Cookie-Verfahren vor dem EuGH als Kläger auftrat.

Der Dienst Matomo dient der Webeanalyse und hat den Vorteil, dass die Daten auf dem eigenen Server verarbeitet werden. Matomo kann mit Cookies oder ohne Cookies eingesetzt werden. Die Nutzung ohne Cookie ist vorzuziehen, da sie keine Daten auf dem Endgerät des Nutzers speichert (dennoch müssen Nutzer in der Datenschutzerklärung über den Einsatz von Matomo belehrt werden).

Ohne Cookies wird nur ein sogenannter digitaler Fingerabdruck (“digital fingerprint”) gespeichert, der alle 24 Stunden geändert wird (ob dadurch ein einwilligungspflichtiger Informationszugriff erfolgt ist, wie oben ausgeführt, unklar).

Allerdings scheint ohnehin ein Konsens darüber zu bestehen, dass reine Webanalyse auf dieser Grundlage zulässig ist. Dennoch sollten Sie bedenken, dass eine Einwilligung doch eher notwendig werden wird, wenn z.B. eigene Marketingzwecke verfolgt werden.

Google Analytics (Standard, mit Cookies)

Sie sollten davon ausgehen, dass Google Analytics in der Standardeinstellung einer Einwilligung bedarf. Zwar kann der Dienst auch ohne Cookies verwendet werden. Ob dabei auf die Einwilligung verzichtet werden kann, bleibt dagegen unklar.

Da Google die Daten der Nutzer auch für eigene Zwecke oder Zwecke anderer Analytics-Nutzer einsetzen kann, ist von einer Erforderlichkeit des Cookie-Einsatzes eher nicht auszugehen. Daher sollte für Google Analytics eine Einwilligung eingeholt werden.

Google Analytics ohne Cookies

Beim Einsatz von Google Analytics besteht nunmehr die Möglichkeit der Nutzung ohne eine Cookie-Einwilligung.

Mit dem Tag “storage:none” setzt Google kein Cookie mit der ID des Nutzers („ClientID“). Diese ID muss stattessen von den Website- oder App-Bertreibern zugeteilt werden. Sie können jedem Nutzer eine eigene ID zuteilen oder nur Nummern für Arten von Nutzern vergeben und so die Nutzer anonymisieren (Anleitung, die zeigt, dass die Einrichtung zumindest nicht trivial ist).

Sofern dabei dieselben Prinzipien wie bei Matomo (s.o.) angelegt werden, also möglichst geringe Datensammlung, darf zumindest nach Ansicht des Verfassers, Analytics ohne eine Einwilligung betrieben werden.

Allerdings müsste sichergestellt sein, dass die Nutzer nicht anhand anderer Kriterien von Google identifiziert werden können. Denn es wäre durchaus möglich, dass ein Gericht hier um einen Nachweis bitten wird. Der  Nachweis kann letztendlich nur durch die Mitwirkung von Google erbracht werden und (ausgehend von Googles Datenbestand) muss überhaupt möglich sein.

Zusammenfassend kann Google Analytics theoretisch genauso ähnlich rechtssicher wie Matomo eingesetzt werden. Anders als bei Matomo könnte im Fall der Fälle jedoch der praktische Nachweis schwer fallen, dass Google die Daten nicht für andere Zwecke nutzt. Insgesamt ist daher eine Einwilligung auch beim Einsatz von “Google Analytics ohne Cookies” zu empfehlen.

Analytics im Einwilligungsmodus ohne Cookies

Auch mit dem Tag “analytics_storage=‘denied‘” (derzeit in der Betaphase) werden keine Cookies beim Nutzer gespeichert (auch nicht zur Konversionsmessung, wenn Google Ads verwendet werden). Erst mit der Einwilligung der Nutzer werden Cookies eingesetzt.

Allerdings werden so genannte “Pings” an Google gesendet, die Informationen zum Browser, Zeitstempel, Verweis-URL und eine zufällige Zahl enthalten. Da diese Zugriffe zu Marketingzwecken erfolgen und nicht unbedingt erforderlich sind, ist von einer Einwilligungspflicht auszugehen.

Generell ist dieses Verfahren weniger sicher als “Google Analytics ohne Cookies”, da hier nicht vorgefiltert wird, welche Informationen Google erhält. Dazu kommt auch hier die Frage, ob Google diese Informationen nicht mit anderen zusammenführen und sie für andere Zwecke verwenden kann. Aus diesem Grund  ist auch in dieser Konstellation die Einholung einer Einwilligung der Nutzer zu empfehlen.

Google Tag Manager

Der Google Tag Manager speichert selbst keine Cookies. Allerdings wird der Tag Manager im Browser der Nutzer ausgeführt, d.h. zumindest im Speicher ihrer Endgeräte als Information gespeichert.

Daher ist der Google Tag Manager ebenfalls grundsätzlich einwilligungspflichtig. Außer man würde ihn als unbedingt erforderlich einstufen (s. weitere Hinweise bei Härting):

  • Tag Manager ohne Tags – Wenn der Google Tag Manager ohne Funktion aktiv ist (also wegen Nichtnutzung “leer läuft”) ist er bereits nicht erforderlich.
  • Tag Manager mit Tags, die selbst keiner Einwilligung bedürfen – Wenn im Tag Manager z.B. Matomo eingebunden ist, dann bedarf auch der Tag Manager keiner Einwilligung.
  • Tag Manager mit Tags, die selbst einer Einwilligung bedürfen – In dem Fall müssen Sie auch für den Tag Manager eine Einwilligung einholen.

Google FLoC

Google und andere Mitbewerber in der Werbebranche versuchen strengeren Regulierungen entgegen zu wirken und zu diesem Zweck deren Werbeausspielverfahren privatsphärenfreundlicher ausgestalten. Dabei versucht(e) Google mit “Federated Learning of Cohorts” (kurz “FLoC”) ein neues Verfahren auf dem Markt zu etablieren.

Facebook-Pixel

Auch das “Facebook-Pixel” arbeitet mit Cookies, bzw. vergleichbaren Technologien, dient Marketingzwecken, ist damit nicht unbedingt erforderlich und somit einwilligungspflichtig.

Affiliate-Systeme und Einwilligung für Links

Eine Einwilligung ist notwendig, wenn bereits auf der Website des Advertisers (auf der die Affiliate-Links platziert werden), Affiliate-Cookies gesetzt werden würden.

Aber auch wenn Affiliate-Links ohne Cookies eingesetzt werden, sind diese grundsätzlich einwilligungspflichtig. In diesem Fall enthalten die Links bestimmte Parameter (z.B. “xyz.html?parameter_quelle=XYZ&parameter_partner=XYZ“) mit deren Hilfe vermittelte Klicks den Advertisern zugeordnet werden können. Dabei handelt es sich um Informationen, die in den Browser der Nutzer und damit auf deren Endgerät geschrieben werden.

Da diese Links Marketingzwecken dienen, wäre deren Einsatz einwilligungspflichtig (zumindest ausgehend von den derzeitigen Ansichten der Gerichte und Aufsichtsbehörden). An dieser Stelle wird deutlich, wie weit die “Cookie”-Regelung reicht und dass sie sogar Links erfassen kann.

Öffnungs- und Linkklickraten von Newslettern

Wenn Sie innerhalb Ihrer Newsletter Öffnungs- oder Klickraten messen (oder andere Trackingmaßnahmen, wie den Google-Analytics-Code) einbinden, bedarf dies einer Einwilligung der Adressaten. Denn das Newsletter-Tracking setzt auch voraus, dass mit den einzelnen Newslettern, Informationen auf den Endgeräten der Nutzer gespeichert werden und auf sie zugegriffen wird:

  • Web-Beacons – Es handelt sich um kleine 1×1-Pixel-große Grafiken, die in den Newsletter-E-Mails enthalten sind und beim Öffnen der E-Mail vom Server des Versenders abgerufen werden. So kann z.B. der Versender erkennen, ob ein Newsletter geöffnet (und die Grafik damit abgerufen) wurde.
  • Umleitungslinks  – Klicks auf Links in einem Newsletter werden gemessen, indem sie mit einer individuellen Identifikationsnummer versehen werden und auf den Server des Versenders leiten. Wird ein Link geklickt, erfährt der Versender dies durch die eingehende Abfrage, die er auf den eigentlichen Link leitet (ähnlich wie bit.ly).

A/B-Testing

Einfache Tests unterschiedlicher Versionen von Webseitenversionen, lässt sich auch anonym durchführen. Um jedoch die Nutzerinteraktionen mit der Webseite vertieft nachzuvollziehen (oder gar wie hier im Beispiel von Hotjar Mausbewegungen aufzuzeichnen), werden häufig Cookies eingesetzt und zumindest vorübergehend auch Nutzerprofile erstellt. Zumindest wenn dies zur Steigerung der Nutzerfreundlichkeit erfolgt und (zumindest nicht primär) um den Profit zu steigern, kann der Verzicht auf eine Einwilligung erwogen werden. Eine Einwilligung wäre jedoch die rechtlich bessere Alternative.

Beim A/B-Testing werden unterschiedlichen Websitedarstellungen und Funktionen im Hinblick auf diverse Ziele, wie z.B. Nutzerfreundlichkeit oder Wirtschaftlichkeit getestet.

Wie auch bei der Reichweitenmessung, lässt sich durchaus argumentieren, dass die Nutzerfreundlichkeit unbedingt erforderlich ist, um Nutzern das am ehesten gewünschte Nutzungserlebnis zu bieten. Dienen die Tests dagegen alleine der Steigerung des wirtschaftlichen Absatzes, dann spricht dies eher gegen deren Notwendigkeit im Sinne des Gesetzes.

Aber auch wenn die unbedingte Erforderlichkeit grundsätzlich bejaht wird, muss geprüft werden,  ob alle eingesetzten Funktionen  (z.B. Heatmaps, Screen-Recordings und Nutzerprofile) als auch die Dauer der Speicherung der Cookies ebenfalls unbedingt erforderlich sind.

Bedeutung der Einwilligungspflicht

Einwilligungspflicht bedeutet, dass bevor der Nutzer keine Einwilligung in den Einsatz von Cookies und vergleichbaren Verfahren abgegeben hat, keine Cookies auf einer Webseite oder innerhalb einer mobilen Applikation ausgeführt werden dürfen.

Betritt ein Nutzer die Website und z.B. Google Analytics ist bereits aktiv, dann ist von einem Verstoß gegen die Einwilligungspflicht auszugehen.

Einwilligung muss aktiv erfolgen

Der EuGH entschied, dass bloße Untätigkeit (d.h. Nutzung der Webseite ohne den Cookies zu widersprechen) keine wirksame Einwilligung darstellt. Damit ist diese Art von “Cookie-Bannern” nicht ausreichend.

Im Hinblick auf das Einwilligungsverfahren, verweist die ePrivacy-Richtlinie auf die DSGVO (Art. 7 DSGVO). Die DSGVO wiederum stellt strenge Regeln an eine wirksame Einwilligung.

So haben der EUGH und der BGH entschieden, dass die eine Einwilligung einer aktiven Handlung bedarf (EuGH, 1.10.2019 – C-673/17 “planet49”, BGH, 28.05.2020 – I ZR 7/16).

Damit erklärten sie die bis dahin verwendeten “Wenn Sie die Website weiter nutzen, erklären Sie sich mit Cookies einverstanden“-Einwilligungen für unwirksam. An ihre Stelle traten die sogenannten “Consent Management Plattformen” (kurz “CMP”, alternativ wird auch die umschreibende Bezeichnung “Cookie-Consent-/Opt-In-/Einwilligungs-Banner” verwendet).

Umfang von Informationen in Consent -Management-Plattformen

Die vom EuGH verlangten Informationen sollten Websitebesuchern am besten schon in den Detailhinweisen des Cookie-Opt-In-Banners bereitgestellt werden.
Die vom EuGH verlangten Informationen sollten Websitebesuchern am besten schon in den Detailhinweisen des Cookie-Opt-In-Banners bereitgestellt werden.

Der EuGH entschied nicht nur, dass eine Einwilligung aktiv erfolgen muss, sondern auch, dass Nutzern die folgenden Informationen bereitgestellt werden müssen:

  • Art und Funktionsweise der Cookies – Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden kann. Eine Erläuterung der verwendeten Bezeichnungen der Cookie-Gruppen (z.B. “Marketing” oder “Statistik”), ist bereits im “Cookie Banner” zu empfehlen.
  • Lebensdauer von Cookies – Die Lebensdauer von Cookies beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie nach der Lebensdauer fragen. Anbieter von Consent-Management-Plattformen haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
  • Identität der Dienstleister, die die Cookies verarbeiten – Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo, sofern Sie für diesen eine Einwilligung einholen).
  • Widerspruchsmöglichkeit – Bereits aus dem Gesetz ergibt sich, dass den Nutzer der Widerspruch so leicht fallen muss, wie die ursprüngliche Einwilligung. Zur Ausgestaltung des Widerrufs erhalten Sie im Folgenden weitere Informationen.
In diesem Beispiel eines Einwilligungsverfahrens werden die Funktionsweisen der Cookie-Gruppen bereits auf der ersten Seite der Cookie-Management-Plattform beschrieben. Ob dies notwendig ist, ist rechtlich nicht klar, aber es senkt das eigene Risiko, wenn man auch mögliche Informationspflichten berücksichtigt. Allerdings würde ein Gericht die Einwilligungen wahrscheinlich für unwirksam erklären, indem sie in der Schaltfläche "Weitere Einstellungen" kein zu der Zustimmungsschaltfläche gleichwertige Alternative sehen würden.
In diesem Beispiel eines Einwilligungsverfahrens werden die Funktionsweisen der Cookie-Gruppen bereits auf der ersten Seite der Cookie-Management-Plattform beschrieben. Ob dies notwendig ist, ist rechtlich nicht klar, aber es senkt das eigene Risiko, wenn man auch mögliche Informationspflichten berücksichtigt. Allerdings würde ein Gericht die Einwilligungen in diesem Beispiel sehr wahrscheinlich trotzdem für unwirksam erklären. Denn ein Verweis auf “Weitere Einstellungen” dürfte kaum als eine effektive Ablehnungsmöglichkeit und damit die Einwilligungen als erzwungen sowie unfreiwillig betrachtet werden.

Arten von Cookie-Management-Plattformen

Ein Unterschied bei den Consent Management Plattformen besteht vor allem im Hinblick auf die automatische Aktualisierung:

  • CMP ohne Aktualisierungsfunktion – Consent Management Plattformen können auf eigenem Server betrieben werden (z.B. Borlabs-Cookie oder sogar selbst erstellt werden). In diesem Fall müssen die Informationen zu den eingesetzten Cookie-Verfahren manuell aufgenommen werden (bzw. werden von den Anbietern der Cookie-Software mitgeliefert).
  • CMP mit Aktualisierungsfunktion – Anbieter wie z.B. Cookie-Bot oder Usercentrics bieten Consent Management Plattformen an, die die Webseite automatisch auf eingesetzte Cookies und vergleichbare Verfahren prüfen und die benötigten Informationen zu den Anbietern aus einer zentralen Datenbank (des Interactive Advertising Bureau, IAB) beziehen.

Wenn Sie auf Ihrer Webseite nur eine bestimmte Auswahl von Verfahren einsetzen und diese nicht häufig wechseln, wird eine Lösung ohne Aktualisierungsfunktion ausreichen. Wenn Sie dagegen die Dienste häufig wechseln oder sicher stellen wollen, dass die Informationen möglichst vollständig und aktuell sind, ist die Lösung mit Aktualisierungsfunktion empfohlen.

Zweifel an der Zulässigkeit des Programmatic Advertising

Wenn Sie am “Programmatic Advertising” teilnehmen, also Werbeflächen an eine Vielzahl sich überbietender Dienste “verkaufen”, dann werden Ihnen in der Regel Consent Management Plattformen mit einer Aktualisierungsfunktion vorgeschrieben.

Allerdings bleibt trotzdem eine Unsicherheit, ob ein Tracking und Profiling durch teils zig Unternehmen von einer Einwilligung gedeckt sein kann. Dies wird von Datenschützern bestritten, da Nutzern das Lesen der Informationen zu allen Anbietern unzumutbar sei und sie die Vielzahl der Prozesse ohnehin nicht überblicken und nachvollziehen können.

Kein Cookie-Banner für unbedingt erforderliche Cookies notwendig

Wenn Sie nur unbedingt erforderliche Cookies und vergleichbare Verfahren einsetzen (z.B. Warenkorb-Cookies und Matomo mit digitalem Fingerabdruck ohne Cookies), dann benötigen Sie keine Cookie-Einwilligung und damit auch keine Consent Management Plattform.

Dennoch sollten Sie Informationen zu den Cookies und den verwendeten Diensten aufnehmen. Ebenso sollten Sie, sofern möglich und zumutbar eine Widerrufsmöglichkeit bereitstellen:

  • Widerruf bei Reichweitenmessung: Bei Diensten zur Reichweitenmessung dienen, sollten Sie eine Widerspruchsmöglichkeit (Art. 20 DSGVO) in der Datenschutzerklärung aufnehmen (z.B. IFrame mit einer Opt-Out-Funktion bei Matomo).
  • Widerruf bei anderen notwendigen Cookies: Für Cookies die nicht abgeschaltet werden können (z.B. Warenkorb-Cookies, Login-Cookies, Spracheinstellungs-Cookies, Cookies die der Sicherheit der Nutzer dienen, etc.) müssen Sie keine besondere Widerspruchsmöglichkeit bereitstellen. In diesen Fällen genügt ein regulärer Widerrufshinweis in der Datenschutzerklärung (dieser muss immer aufgenommen werden, s. bei uns im Generator). Der Hinweis ist zwar verpflichtend, dessen Umsetzung aber nur, wenn Nutzer triftige Gründe persönliche gegen diese Cookies vorbringen. Das ist bei den vorgenannten Cookies jedoch kaum vorstellbar.

Zulässigkeit einer Einwilligung für alle Cookies

Nach derzeitigem Stand darf davon ausgegangen werden, dass eine Zustimmung für alle Cookies ausreichend ist, wenn die eingesetzten Cookies auch einzeln ausgewählt werden können.
Nach derzeitigem Stand darf davon ausgegangen werden, dass eine Zustimmung für alle Cookies eingeholt werden kann, wenn der Nutzer “ohne jeden Zweifel” erkennt, dass seine Einwilligungshandlung alle Cookies umfasst. Dafür spricht die Verwendung der Schaltflächenbezeichnung “Alle akzeptieren”.

Eine Einwilligung muss pro Datenverarbeitung eingeholt werden. Jedoch ist es in der Praxis schwer einzelne Verfahren abzugrenzen, ohne dass auf die Nutzer eine Flut von Kontrollkästchen zukommt.

Daher besteht nach den wohl überwiegenden Rechtsansichten die Möglichkeit, Einwilligungen zusammenzufassen. Auch die Rechtsprechung des EuGH steht der Verbindung der Einwilligung in die Messung von Öffnungs- und Klickraten nicht entgegen.

Der Gerichtshof befand lediglich, dass der Erklärungswille einer einwilligenden Person sich „ohne jeden Zweifel“ auch auf die Einwilligung in die maßgebliche („konkrete“) Datenverarbeitung beziehen und aktiv erteilt werden muss (Rn. 54). In jedem Fall sollte schon die Schaltflächenbezeichnung erkennen lassen, dass “Alle” Cookies oder “Alle angehakten” Cookies akzeptiert werden.

Cookie-Walls und das Kopplungsverbot

(1.) Derartige Cookie-Walls können derzeit als zulässig betrachtet werden, wenn eine Alternative ohne Marketing-Cookies angeboten wird und der Preis verhältnismäßig ist (worüber man sich natürlich streiten kann); (2.) Auch positiv hervorzuheben und risikomindernd ist die Beschreibung der Funktionen der Cookies schon auf der Hauptseite der Consent Manager Plattform; (3.) Ebenfalls vorbildlich ist ebenfalls die Aufnahme der Pflichtinformationen (Impressum/Datenschutzerklärung), da diese sonst nicht zugänglich wären.
(1.) Derartige Cookie-Walls können derzeit als zulässig betrachtet werden, wenn eine Alternative ohne Marketing-Cookies angeboten wird und der Preis verhältnismäßig ist (worüber man sich natürlich streiten kann); (2.) Auch positiv hervorzuheben und risikomindernd ist die Beschreibung der Funktionen der Cookies schon auf der Hauptseite der Consent Manager Plattform; (3.) Ebenfalls vorbildlich ist ebenfalls die Aufnahme der Pflichtinformationen (Impressum/Datenschutzerklärung), da diese sonst nicht zugänglich wären.

Es kommt immer häufiger vor, dass Webseiten Nutzern den Zugang zu Webseiten nur dann erlauben, wenn die Nutzer in den Einsatz von Cookies einwilligen (so genannte “Cookie-Wall“). Hierbei darf man sich durchaus fragen, ob eine solche Einwilligung noch freiwillig und damit wirksam ist.

Zwar existiert eine Regelung (Art. 7 Abs. 4 DSGVO), die bei der Frage der Freiwilligkeit darauf abstellt, inwieweit eine Einwilligung erforderlich ist. Was darunter zu verstehen ist, darüber streiten sich jedoch die Juristen:

  • Keine Freiwilligkeit bei echter Zwangslage: An der Freiwilligkeit wird es je eher fehlen, je notwendiger die angesteuerten Webseiten für die Besucher sind. Z.B. bei Webseiten von Banken, Versicherungen, Energieversorgern, Behörden, Ärzten, Apotheken, Rechtsanwaltskanzleien oder Login-Bereichen, die zuvor ohne Cookies erreicht werden konnten.
  • Keine wirksame Einwilligung, bei Webseiten die sich (auch) an Minderjährige richten: Einwilligungen von Minderjährigen sind bei Onlinediensten erst ab 16 Jahren zulässig (Art. 8 Abs. 1 S. 1 DSGVO). Die Minderjährigen sollten daher eine Möglichkeit haben die Webseiten cookiefrei zu nutzen.
  • Freiwilligkeit bei angemessener Kostenpflicht als Alternative: Als freiwillig wird eine Cookiepflicht betrachtet, wenn Websitebesucher statt der Cookies einen dem “Werbeverlust” angemessenen Betrag für die Cookiefreiheit bezahlen können (die niedersächsische oder österreichische Datenschutzaufsicht halten diese Variante für zulässig).

Optimale Platzierung von Cookie-Bannern

Ein in der Mitte des Bildschirms platziertes Cookie-Opt-In-Banner, kann die Nutzer eher zu einem Opt-In veranlassen, als ein unauffälliges Banner im Fußbereich einer Webseite. Noch wirksamer könnte eine Vorschaltseite mit einem Cookie-Opt-In sein.

Vorgaben gibt es hier jedoch keine. Solange die Nutzer eine Möglichkeit haben, die Einwilligung abzulehnen, sind beide Versionen zulässig.

Einleitungstext im Cookie-Banner

Der Einleitungstext sollte den Nutzern klar machen, in welche Verarbeitungsarten sie einwilligen, dass sie jederzeit widersprechen können und wo sie weitere Informationen erhalten. Formulierungsvorschlag:

Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind notwendig (z.B. für den Warenkorb), während andere nicht notwendig sind, uns jedoch helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können in den Einsatz der nicht notwendigen Cookies mit dem Klick auf die Schaltfläche “Akzeptieren” einwilligen oder per Klick auf “Ablehnen” sich anders entscheiden. Die Einwilligung umfasst alle vorausgewählten, bzw. von Ihnen ausgewählten Cookies. Sie können diese Einstellungen jederzeit aufrufen und Cookies auch nachträglich jederzeit abwählen (in der Datenschutzerklärung und im Fußbereich unserer Website). Weitere Hinweise zu den verwendeten Verfahren und Begrifflichkeiten (z.B. “Cookies”, “Marketing” und “Statistik”) erhalten Sie in unserer Datenschutzerklärung.

Falls möglich, sollten Sie an dieser Stelle auch die Beschreibung der einzelnen Cookie-Funktionen/Gruppen aufnehmen. Das ist entsprechend dem LG Rostock auf jeden Fall dann notwendig, wenn Sie auf der ersten Seite der Consent-Manager-Plattform keine eindeutige “Ablehnen“-Schaltfläche anbieten.

Erforderlichkeit einer Datenschutzerklärung neben dem Cookie-Management

Wenn Sie z.B. eine Datenschutzerklärung mit unserem Generator erstellen, erhalten die Nutzer eine Beschreibung der Funktionen der jeweiligen Dienste sowie ein Glossar mit den verwendeten Begriffen, wie z.B. "Tracking", "Zielgruppenbildung" oder "Remarketing".
Wenn Sie z.B. eine Datenschutzerklärung mit unserem Generator erstellen, erhalten die Nutzer eine Beschreibung der Funktionen der jeweiligen Dienste sowie ein Glossar mit den verwendeten Begriffen, wie z.B. “Tracking“, “Zielgruppenbildung” oder “Remarketing“.

Neben einer Cookie-Management-Plattform wird auch eine Datenschutzerklärung benötigt. Die Datenschutzerklärung enthält eine Vielzahl weiterer Pflichtinformationen gem. Art. 13-14 DSGVO (z.B. zum Verantwortlichen, Betroffenenrechten mit dem Recht auf Auskunft, Löschung. etc.) und zu anderen Verarbeitungsverfahren (z.B. Newsletter, Kontaktformular, Videokonferenzen, etc.).

Daneben sollte die Datenschutzerklärung weitere Erläuterungen zu den eingesetzten Cookie-Funktionen und Diensten enthalten. Z.B. Erläuterungen von Begriffen wie Onlinemarketing, Remarketing oder Tracking an sich. Denn je informierter die Nutzer sind, desto geringer ist das Risiko einer unwirksamen Einwilligung.

Schaltfläche zur Ablehnung der nicht-erforderlichen Cookies

In diesem Beispiel muss auf zweiter Ebene ein Einstellungsbereich aufgerufen werden, um Marketing-Cookies abzulehnen. Ob dies eine, im Vergleich zu der einfachen Möglichkeit sie anzunehmen, gleichwertige Ablehnungsmöglichkeit ist, wird von manchen Datenschutzbehörden bezweifelt (z.B. befand die dänische Datenschutzbehörde, dass dies keine wirksame Einwilligung sei).
In diesem Beispiel muss auf zweiter Ebene ein Einstellungsbereich aufgerufen werden, um Marketing-Cookies abzulehnen. Ob dies eine, im Vergleich zu der einfachen Möglichkeit sie anzunehmen, gleichwertige Ablehnungsmöglichkeit ist, wird von Datenschutzbehörden verneint (z.B. befand die dänische Datenschutzbehörde, dass dies keine wirksame Einwilligung sei).

Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung. Insbesondere sollen Nutzer durch eine Gestaltung des Zustimmungsdialogs, nicht derart in die Irre geführt werden, dass sie Cookies aus versehen zustimmen oder weil die Ablehnung viel einfacher fällt  (man spricht hier auch von so genannten “Dark Patterns“, sinngemäß “dunkle Schemen“).

Was das konkret bedeutet, lässt sich am besten anhand der folgenden Beispiele verdeutlichen:

  • Eindeutige Bezeichnung – Zulässig sind Schaltflächen, die Begriffe, wie “Ablehnen” und “Akzeptieren” tragen. Der Begriff “Nur notwendige Cookies akzeptieren” wurde vom LG-Rostock für unzureichend gehalten (das Urteil wird nachfolgend erläutert).
  • Farbe der Schaltflächen – Vorsicht sollte bei Leitung der Nutzer mithilfe von Farben angebracht sein. Es gibt zwar keine klaren Vorgaben. Wer jedoch die “Akzeptieren“-Schaltfläche farblich knallig gestaltet und “Ablehnen“-Schaltfläche  grau, so dass sie in den Hintergrund tritt, der setzt sich dem Vorwurf aus, die Nutzer bewusst in die Irre zu führen.
  • Größe und Form: Die Schaltflächen zum Akzeptieren und Ablehnen sollten nach Möglichkeit gleich groß sein, um als gleichwertig zu gelten.
  • Ablehnung auf zweiter Ebene – Sehr häufig müssen Nutzer eine Unterseite der Consent-Management-Plattform aufrufen, um nicht unbedingt erforderliche Cookies abzulehnen. Ein derartiges Verfahren ist risikoreich und wäre ausgehend von der Rechtsprechung des BGH eher unzulässig (BGH, 28.05.2020 – I ZR 7/16, Rn. 32).

In der Praxis sind die “Dark Patterns” bei der Gestaltung der Cookie-Management-Plattformen eher die Regel, als die Ausnahme. Als Grund wird der mangelnde Vollzug gesehen.

D.h. es kommt selten vor, dass Aufsichtsbehörden Untersagungsverfügungen sowie Bußgelder oder Warnungen erteilen oder Abmahnungen ausgesprochen werden. Wenn sie es allerdings täten, dann würden sie damit vor Gerichten (entsprechend der bisherigen Tendenz) eher Recht bekommen.

LG Rostock verbietet Dark Patterns

Anbieter wie “Cookiebot” sollen eingesetzte Cookies automatisch erkennen und aktualisieren. Dies ist vor allem nützlich, wenn die eingebundenen Werbenetzwerke häufiger ausgetauscht werden. Das LG Rostock hielt die hier abgebildete Version jedoch nicht für tauglich, um wirksame Einwilligungen einzuholen. Es befand, dass die Schaltfläche “Nur notwendige Cookies verwenden” nicht als eine Ablehnungsschaltfläche zu erkennen ist (wobei die Schaltfläche in dieser Kopie aus dem Urteil noch schlechter zu erkennen ist, als sie es in Realität war).

Das Landgericht Rostock entschied, das die konkrete Gestaltung einer Einwilligungsschaltfläche) der Consent-Management-Platform “Cookiebot” unzulässig war (LG Rostock, 15.09.2020 – 3 O 762/19).

In dem Fall konnten die Nutzer entsprechend dem Bildbeispiel die Schaltfläche “Cookies zulassen” klicken, um eine Einwilligung in die Verwendung von Cookies zu erklären.

Um die Einwilligung zu verweigern, mussten sie die Schaltfläche “nur notwendige Cookies verwenden” anklicken oder die Cookies per Hand abwählen.

Das LG Rostock fand jedoch, dass die Schaltfläche “nur notwendige Cookies akzeptieren” sich gegenüber der dominanten grünen Schaltfläche “Cookies” zulassen nicht hinreichend abhob und gar nicht als ein Link zu erkennen war. Auch der Umstand, dass die Nutzer einzelne Cookie-Arten abwählen konnten, war für das Gericht nicht ausreichend. Denn hierzu müsste man einzelne Cookies bereits auf der ersten Seite der Consent-Management-Platform aufführen (Hervorhebung vom Verfasser):

Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.

Das Gericht verbot die Verwendung von “Dark Patterns” und meint im Ergebnis, dass die Schaltfläche zur Ablehnung der Cookies optisch genauso wahrnehmbar sein muss, wie die Zustimmungsschaltfläche.

Ob die Informationen zu den einzelnen Cookies auch im Fall einer deutlichen Ablehnungsschaltfläche schon auf der ersten Seite der Consent-Management-Platform stehen muss, ist dem Urteil zumindest nicht direkt zu entnehmen. Zumal die vielen Angaben, zumindest nach Ansicht des Verfassers, die Transparenz erschweren und z.B. auf Mobilgeräten viel Scrolling erfordern würden.

(1.) Die Consent-Management-Plattform "Cookiebot" enthält nunmehr eine "Auswahl"-Schaltfläche in der gleichen Farbe, wie die Schaltfläche, mit der Cookies zugelassen werden (wobei der Begriff "Alle Cookies zulassen" rechtssicherer wäre). Wie vom LG Rostock gefordert ist die Schaltfläche "Nur notwendiges Cookies verwenden" als klickbare Schaltfläche zu erkennen. (2.) Ferner können die Beschreibungen zu den einzelnen Cookie-Gruppen direkt per Drop-Menü aufgerufen werden. Nach Ansicht des Verfassers genügen diese Veränderungen den Anforderungen des LG Rostock. Dennoch ist vorstellbar, dass das Gericht die Ausklappfunktion für "nicht eindeutig erkennbar" halten und eine eindeutig sprechenden "Ablehnen"-Schaltfläche fordern würde.
(1.) Die nunmehr bei dem “Cookiebot” standardmäßig verwendete Schaltfläche “Nur notwendige Cookies verwenden” ist, zumindest nach Erachten des Verfassers, als klickbare Schaltfläche zu erkennen. Daneben wird neu die Schaltfläche “Auswahl erlauben” verwendet, mit der nur bestimmte Cookies  akzeptiert werden können. (2.) Ferner können die Beschreibungen zu den einzelnen Cookie-Gruppen direkt per Drop-Menü aufgerufen werden. Ob diese Konstellation den Gerichten genügen wird, kann derzeit schwer beurteilt werden. Ausgehend von der Rechtsprechung, wäre eine Beschriftung als “Alle Cookies zulassen” und “Ablehnen” oder “Nicht notwendige Cookies ablehnen” sicherer, da verständlicher.

P.S. Wir freuen uns, dass  das LG Rostock dagegen mit der von unserem Generator erstellten Datenschutzerklärung gleich zufrieden war.

Privacy Shield und US-Anbieter

Werden personenbezogene Daten der Nutzer auch in den USA verarbeitet, dann muss auch eine Rechtsgrundlage für die US-Datentransfers vorliegen. Hier beim Datenschutz-Generator haben wir uns für die Einwilligung entschieden, die mit eingeholt wird. Alternativ könnten Sie sich auf sogenannte “Standardvertragsklauseln” stützen, die jedoch geprüft werden müssten und in vielen Fällen gar nicht vorliegen.

Der EuGH entschied dass eine von der EU akzeptierte Selbst-Zertifizierung der US-Anbieter als DSGVO-compliant (bezeichnet als “Privacy Shield”) unzulässig sei. Denn die US-Sicherheitsbehörden behalten sich den geheimen Zugriff auf US-Daten vor. Das wiederum widerspräche den essenziellen Grundrechten auf Datenschutz, Privatsphäre und Rechtsbehelf.

Als ein alternatives Verfahren werden nunmehr so genannte Standardvertragsklauseln angeboten. Dabei handelt es sich um vertragliche Zusicherungen der US-Unternehmen. Ob diese Zusicherung das vom EuGH beklagte Datenschutzniveau überwinden mögen, ist unklar.

Zumindest wird diese Möglichkeit auch von Datenschutzaufsichtsbehörden nicht kategorisch ausgeschlossen. Allerdings muss dann geprüft werden, ob die US-Dienste tatsächlich das EU-Datenschutzniveau einhalten, was in der Regel im Vertrauen auf die Zusagen der Anbieter erfolgt und im optimalen Fall durch neutrale Tests bestätigt wird.

Statt bei allen Anbietern zu prüfen, ob sie entsprechende Regelungen und Zusicherungen zu Standardvertragsklauseln anbieten, könnten die Nutzer um eine Einwilligung in das US-Tracking gebeten werden. Das ist möglich und findet z.B. hier im Datenschutz-Generator statt. Ob die Einwilligung sicherer ist oder auch an den Zugriffsmöglichkeiten der US-Behörden scheitert, ist ebenfalls nicht abzusehen.

Möglichkeit späterer Änderungen der Einwilligungen

Nutzer müssen deren Cookie-Einstellungen ändern können (um so insbesondere ihren Widerspruch erklären zu können). Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Zu empfehlen ist die Platzierung,

  • in der Datenschutzerklärung und zusätzlich
  • im Fußbereich der Webseite.

Ferner sollten Nutzer schon in Consent-Management-Plattformen darüber belehrt werden, wo sie diese Links finden.

Bei uns auf der Webseite werden Nutzer darauf hingewiesen, dass sie eine Opt-Out-Möglichkeit im Fußbereich der Webseite finden (die Schaltfläche findet sich so auch in den Hinweisen zu Cookies in der Datenschutzerklärung). Möglich wäre auch ein Link mit dem Text “Cookie-Einstellungen”.

Nachweis der Cookie-Einwilligung

Bei der Nachweisbarkeit von Einwilligungen setzen manche Consent-Management-Plattformen auf ein ausgeklügeltes ID-System. In den meisten Fällen wird bei der Zustimmung ein Opt-In-Cookie auf den Geräten der Nutzer gespeichert.

Dabei wird der Nachweis einer Einwilligung durch den Nachweis eines funktionsfähigen Cookie-Opt-In-Verfahrens und Speicherung der einzelnen Einwilligungs-IDs erbracht.

Die Ablehnung der Einwilligung darf ebenfalls gespeichert werden, um die Nutzer nicht mit erneuten Cookie-Bannern zu belästigen.

YouTube, Facebook, Instagram und andere Social Media Inhalte

Da auch bei eingebetteten Inhalte nicht erforderliche Cookies geladen werden können, empfehlen wir so genannte Inhalts-, bzw. Content-Blocker einzusetzen. Alternativ kann die Einwilligung vorab in einer Cookie-Management-Plattform eingeholt werden.
Da auch bei eingebetteten Inhalte nicht erforderliche Cookies geladen werden können, empfehlen wir so genannte Inhalts-, bzw. Content-Blocker einzusetzen. Alternativ kann die Einwilligung vorab in einer Cookie-Management-Plattform eingeholt werden.

Für die Einbettung von individuellen Inhalten, z.B. Videos oder Postings aus sozialen Netzwerken muss nicht grundsätzlich eine Einwilligung eingeholt werden. Die Einbettung fremder Inhalte könnte durchaus als unbedingt erforderlich betrachtet werden, weil Nutzer interaktive Inhalte erwarten und mehr honorieren (natürlich kann man das auch und je Angebot und Zielgruppe anders sehen). Das Risiko, dass jemand dagegen vorgeht (und das auch noch erfolgreich), ist eher gering.

Allerdings werden die Inhalte häufig mit Tracking-Tools ihrer Anbieter, häufig auch mit Google Analytics ausgeliefert. Das ist z.B. bei den meisten sozialen Netzwerken oder Videoplattformen der Fall.

Daher sollte den eingebundenen Inhalten ebenfalls eine Einwilligungsschaltfläche vorgeschaltet werden. Die meisten Consent Management Plattformen bieten entsprechende Einstellungen an.

ePrivacy-Verordnung nicht in Sicht

Mit der ePrivacy-Verordnung sollten die hier besprochenen Cookie-Regelungen EU-weit einheitlich geregelt werden. Dabei sollte insbesondere auch die Reichweitenmessung ohne Einwilligung zulässig sein.

Allerdings ist eine Einigung über das Gesetz gescheitert. Auch die weiteren Versuche sind seitdem nicht vorangeschritten und stehen weiterhin am Anfang. D.h. mit einer ePrivacy-Verordnung ist frühestens in ca. 2 Jahren zu rechnen.

Keine Erleichterung durch das kommende TTDSG

Anders als in der EU wird es ab dem 01. Dezember 2021 auch in Deutschland ein neues Gesetz zur Cookie-Regelung geben. Allerdings wird das kommende “Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien” (TTDSG) praktisch keine neuen Regelungen treffen.

Vielmehr werden die bisher verunglückten deutschen Regelungen im § 15 Abs. 3 TMG an die bisherigen EU-Vorgaben angepasst:

§ 24 Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das Gesetz soll im § 26 ferner eine Regelung zu Regelung von zentraler Cookie-Verwaltung im Browser enthalten. Die Anbieter sollen keine kommerziellen Ziele verfolgen und eine Zulassung beantragen müssen:

§ 26 Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen

(1) Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die

1. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,

2. kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,

3. die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und

4. ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt,

können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.

Derzeit kann diese Regelung eher als eine Absichtserklärung verstanden werden, zumal es unklar ist, ob damit die Cookie-Banner tatsächlich abgelöst werden.

Was das Gesetz ebenfalls nicht klären wird, sind die unklaren Zuständigkeiten bei der Verfolgung von Verstößen gegen die Cookie-Regeln.

Zentrale Einwilligungsverfahren, Browsereinstellungen und Do-Not-Track

In vielen Browsern kann im Bereich der Einstellungen die "Do Not Track"-Funktion aktiviert werden (Firefox, Chrome). Damit gibt der Browser zu erkennen, dass Cookies unerwünscht sind. Apple hat die Funktion dagegen aus dem Safari-Browser zur Sicherheit der Nutzer sogar entfernt.
In vielen Browsern kann im Bereich der Einstellungen die “Do Not Track”-Funktion aktiviert werden (Firefox, Chrome). Damit gibt der Browser zu erkennen, dass Cookies unerwünscht sind. Apple hat die Funktion dagegen aus dem Safari-Browser zur Sicherheit der Nutzer sogar entfernt.

Es ist rein theoretisch vorstellbar und soll in Deutschland explizit erlaubt werden, dass Einwilligungen statt in einzelnen “Cookie-Bannern” zentral für alle besuchten Webseiten eingestellt werden (in einem sogenannten “Personal Information Management Service“, kurz “PIMS”). Wird eine Website aufgerufen, fragt der PIMS ab, ob der Nutzer mit den eingesetzten Diensten, z.B. Google Analytics, einverstanden ist.

Doch zum einem ist es bis dato ungeklärt, ob eine solche Einstellung den gesetzlichen Anforderung an eine wirksame Einwilligung entspricht. Denn die Einwilligung muss gem. Art. 4 Nr. 11 DSGVO “für den bestimmten Fall” gegeben werden.

Zudem existiert eine solche Lösung bis dato nicht und deren Nutzen ist ferner fraglich. Denn zwar können Nutzer mit der Option “Do not track” in ihrem Browser dem Tracking widersprechen. Allerdings ist diese Option nicht verbindlich, d.h. wenn die Webseiten eine “Do not track”-Einstellung erkennen, können sie trotzdem ein Cookie-Banner mit einer Einwilligungsanfrage einblenden.

D.h. ein zentrales Einwilligungsverfahren wäre nur dann sinnvoll, wenn das Gesetz es zugleich verbäte, daneben Cookie-Einwilligungen abzufragen.

Drohende Folgen bei Verstößen gegen die Einwilligungspflicht

Die Datenschutzorganisation noyb (none of your business, gegründet u.a. von Max Schrems), hat Ende Mai 2021 im automatischen Verfahren begonnen, 10.000 Webseiten wegen Dark Patterns bei Cookie-Opt-Ins anzuschreiben und droht mit Beschwerden bei Aufsichtsbehörden. Dem Bild sind die am häufigsten beanstandeten Fehler zu entnehmen (Quelle). Beispiel einer Anfrage.

Wenn Sie keine notwendigen Cookie-Opt-Ins bereithalten, drohen Ihnen die folgenden Konsequenzen:

  • Untersagungsverfügungen der Behörden (d.h. praktisch die Pflicht eine Einwilligung einzuholen).
  • Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und mindestens einen Tagesumsatz betragen sollen).
  • Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).
  • Abmahnungen durch klagebefugter Organisationen (z.B. Verbraucherzentralle, Wettbewerbszentrale, etc).
  • Abmahnungen durch Mitbewerber (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung; LG Köln bejahte dies zuletzt, LG Köln, 29.10.2020 – 31 O 194/20).

Angesichts der verbleibenden Unwägbarkeiten, wird es in vielen Fällen weiterhin bei einer Risikoabwägung bleiben. Das Risiko kann beim Einsatz reiner Reichweitenmessung ohne Opt-In als gering bezeichnet werden.

Dagegen wird das Risiko als hoch zu bezeichnen sein, wenn Cookies zu Marketingzwecken und Profiling ohne Einwilligung eingesetzt werden, bzw. die Cookie-Informationen und die Datenschutzerklärung unvollständig sind. In solchen Fällen sollten die wirtschaftlichen Vorteile bei ca. 5.000 – 30.000 Euro je nach Umsatz/ Größe des Unternehmens liegen (ca.-Schätzung eines Risikos).

Ob dieses angesichts der Abweichung der Cookie-Banner von den Anforderungen der Datenschützer und Gerichte so bleibt, hängt vor allem davon ab, ob Behörden häufiger tätig oder Abmahnungen häufiger ausgesprochen werden. D.h. falls Sie sich für den risikobehafteten Weg entscheiden, sollten Sie auf jeden Fall die Entwicklung der  Rechtslage beobachten.

Zusammenfassung und Checkliste

Nachfolgend erhalten Sie eine Zusammenfassung der Rechtslage und Tipps zu Umsetzung von Cookie-Einwilligungen:

  1. Notwendigkeit eines Opt-Ins: Eine Einwilligung wird nicht benötigt, wenn Cookies (aus Nutzersicht) für ein Onlineangebot unbedingt erforderlich, also notwendig sind.
    • Eindeutig unbedingt erforderliche Cookies: Als unbedingt erforderlich werden z.B. Cookies betrachtet, die sich den Warenkorbinhalt oder den Login-Status merken oder dem Schutz der Daten der Nutzer dienen.
    • Komfortfunktionen: Aber schon bei Komfortfunktionen (z.B. Stelle bis zu der ein Video geschaut wurde) gehen die Ansichten auseinander, jedoch kann das Risiko als gering betrachtet werden.
    • Reine Reichweitenmessung (Webanalyse): Auch bei reiner Reichweitenmessung (z.B. mit eigenen Tools wie Matomo) ist die Notwendigkeit unklar, jedoch ist das Risiko gering und das sehr, wenn keine Cookies eingesetzt werden (auch bei Google Analytics mit abgeschalteten Cookies ließe sich die Ansicht vertreten, wobei Aufsichtsbehörden und Gerichte es eher anders sehen werden).
    • Marketing: Bei Tools, die Nutzerprofile zu Werbe- und Marketingzwecken erstellen (z.B. Facebook-Pixel), Conversions messen (z.B. Google Analytics bei Verknüpfung mit Werbekonto) ist eine Notwendigkeit nach derzeitigem Stand ausgeschlossen und eine Einwilligung erforderlich.
  2. Kopplungsverbot: Ein Cookie-Opt-In sollte keine Voraussetzung für den Zugang zu einer Website sein. Außer der Zugang ist nicht unbedingt erforderlich und es steht eine cookiefreie Alternative zur Verfügung (auch wenn sie kostenpflichtig sein sollte).
  3. Aktive Zustimmung erforderlich: Eine bloßer Hinweis “wenn Sie unsere Website nutzen, stimmen Sie Cookies zu“, ist nicht ausreichend. Nutzer müssen eine Schaltfläche, z.B. “Alle Cookies akzeptieren” aktiv klicken
  4. Einfache Ablehnung: Die Ablehnung von nicht erforderlichen Cookies sollte per Klick auf die Schaltfläche “Ablehnen möglich sein. Bei anderen Begrifflichkeiten sollten deren Funktionen, als auch die der eingesetzten Cookies, bereits auf der ersten Seite der Cookie-Management-Plattform erläutert werden.
  5. Hinweis auf Einstellungs-/Widerrufsmöglichkeit: Schon in der Einleitung der Cookie-Management-Plattform sollten Nutzer darauf hingewiesen werden, wo sie die Einstellungen ändern können (z.B. in der Datenschutzerklärung und im Fußbereich der Webseiten).
  6. Hinweis auf die Datenschutzerklärung: Weisen Sie die Nutzer auf weitere Informationen in der Datenschutzerklärung hin.
  7. Links zum Impressum, Datenschutzerklärung und ggf. den AGB nicht verdecken: Es ist im Prinzip egal, wo Sie das Opt-In-Banner platzieren. Wichtig ist, dass Sie die Links mit Pflichtinformationen nicht verdecken (oder Sie nehmen die Links im Cookie-Banner auf).
  8. Detailinformationen: Die folgenden Informationen zu den eingesetzten Cookies sollten am besten schon in einer Detailübersicht im Cookie-Opt-In-Banner vorhanden sein:
    • Identität der Dienstleister, die die Cookies verarbeiten: Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).
    • Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie nach meiner Ansicht, zumindest in voller Länge in der Datenschutzerklärung platziert werden kann. Die Datenschutzerklärung und das Impressum, sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein (Link zu den beiden am besten im Cookie-Banner platzieren).
    • Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen.

Fazit

Auch über eine Dekade nach ihrer Einführung, sind viele Fragen zu dem Umfang der Einwilligungspflicht bei nicht erforderlichen Cookies offen. Daran wird auch das neue deutsche Cookie-Regelung im TTDSG nichts ändern und eine klarstellende ePrivacy-Verordnung ist weiterhin nicht in Sicht.

So bleibt es weiterhin bei einem Tauziehen zwischen Unternehmen, Websitebetreibern und Datenschutzaufsichtsbehörden. Zumindest die reine (und möglichst datensparsame) Reichweitenmessung/ Webanalyse zu eigenen Zwecken wird überwiegend auch ohne Einwilligung für zulässig gehalten.

Im Hinblick auf den eindeutigen Einsatz von Cookies zu Werbe- und Marketingzwecken (d. h. Profiling, Remarketing, Conversion-Messung), postuliert der BGH, wie schon der EuGH, eine Einwilligungspflicht. Ob die Masse an Informationen, die den Nutzern dabei bereitgestellt wird tatsächlich sinnvoll ist, darf durchaus bezweifelt werden.

Des Weiteren ist in der Zukunft mit Gerichtsurteilen zu rechnen, die sich gegen “Dark Patterns” bei der Gestaltung der Cookie-Einwilligungen richten und das Fehlen eindeutiger “Ablehnen“-Schaltflächen bemängeln werden. Solange diese Urteile jedoch selten bleiben oder die Zahlung von Bußgeldern oder Abmahnungen nicht zunimmt, ist nicht mit einer Änderungen dieser Praktiken zu rechnen.

Aktualisierungen

P.S. Positive Prüfung unserer Datenschutzerklärung durch LG Rostock

Wir freuen uns, dass auch das LG Rostock mit der von unserem Generator erstellte Datenschutzerklärung zufrieden war
Wir freuen uns, dass auch das LG Rostock mit der von unserem Generator erstellte Datenschutzerklärung zufrieden war (PDF, S. 22 u. 23).

Im Rahmen des oben genannten Verfahrens vor dem Landgericht Rostock, stand auch die mit unserem Generator erstellte Datenschutzerklärung auf dem Prüfstand.

Im Gegensatz zu dem Cookie-Opt-In, hatte das Gericht an ihr nichts auszusetzen und befand insbesondere, dass sie ausreichende Informationen zu Betroffenenrechten und Einsatz von Anbietern aus Drittländern bereithielt (LG Rostock, 15.09.2020 – 3 O 762/19). Es handelte sich um eine Version aus dem Jahr 2018, deren geprüfte Inhalte sich aber auch in den aktuell erstellten und weiterentwickelten Datenschutzerklärungen finden.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung mit über 600 aktuellen Modulen, u.a. mit Angaben zu Cookies, Cookie-Management-Plattformen, Reichweitenmessung und Onlinemarketing  testen ohne Anmeldung  kein Abo  nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privatpersonen.


Kommentare

  1. Für meine Webseite habe ich mich gegen den Einsatz sämtlicher Cookies und Analysetools entschieden. Ich setze jedoch Affiliate-Links (ohne Cookies) ein.
    Sie schreiben, dass diese Links auch einwilligungspflichtig sein können. Wie könnten man das in der Praxis umsetzen?

    Denn wenn ich eine Einwilligung über eine Art „Cookie-Banner“ einholen möchte, der Besucher dem aber nicht zustimmt, würde das bedeuten, dass ich dem User den Besuch meiner Webseite verweigern müsste. Denn die Affiliate-Links sind fester Bestandteil der Webseite.

    Danke für Ihre Einschätzung
    Michaela

    1. Eine missliche Situation für die das Gesetz keine Lösung bietet, außer dass man entweder die Affiliate-Links dynamisch setzt, eine Cookie-Wall mit einer Payment-Alternative einbaut oder das Risiko eingeht, weil Affiliatelinks in diesem Zusammenhang eher “unter dem Radar” laufen.

  2. Zunächst herzlichen Dank für die ausführliche Erörterung.

    Ich verzichte auf jegliche Analysetools, Werbe-/Affiliate-Netzwerke und ähnliches. Jedoch nutze ich “unbedingt erforderliche Cookies” für Session-ID, Sprache und ähnliche Benutzereinstellungen. Keine dieser Daten und Einstellungen werden abseits ihres Zwecks ausgewertet/verarbeitet.

    Im Abschnitt “Kein Cookie-Banner für unbeding erforderliche Cookies notwendig” schreiben Sie: ” … Dennoch müssen Sie … eine Widerspruchsmöglichkeit … in der Datenschutzerklärung aufnehmen.”

    Ist das tatsächlich so? Auch in meinem Fall? Ohne die Cookies würde die Seite nicht funktionieren. Ein Widerspruch macht hier keinen Sinn, einzig sinnvolles Mittel wäre, die Webseite zu verlassen und nicht weiter zu nutzen.

    Auch von mir ein Danke für Ihre Einschätzung.
    Michael

    1. Danke für den guten Hinweis, ich habe den Punkt im Beitrag jetzt deutlicher erklärt:

      • Widerruf bei Reichweitenmessung: Bei Diensten zur Reichweitenmessung dienen, sollten Sie eine Widerspruchsmöglichkeit (Art. 20 DSGVO) in der Datenschutzerklärung aufnehmen (z.B. IFrame mit einer Opt-Out-Funktion bei Matomo).
      • Widerruf bei anderen notwendigen Cookies: Für Cookies die nicht abgeschaltet werden können (z.B. Warenkorb-Cookies, Login-Cookies, Spracheinstellungs-Cookies, Cookies die der Sicherheit der Nutzer dienen, etc.) müssen Sie keine besondere Widerspruchsmöglichkeit bereitstellen. In diesen Fällen genügt ein regulärer Widerrufshinweis in der Datenschutzerklärung (dieser muss immer aufgenommen werden, s. bei uns im Generator). Der Hinweis ist zwar verpflichtend, dessen Umsetzung aber nur, wenn Nutzer triftige Gründe persönliche gegen diese Cookies vorbringen. Das ist bei den vorgenannten Cookies jedoch kaum vorstellbar.

      https://datenschutz-generator.de/cookies-datenschutz-ratgeber/#Kein_Cookie-Banner_fuer_unbedingt_erforderliche_Cookies_notwendig

  3. Ein herzliches Dankeschön für den tollen DatenschutzerklärungsGeneratot den ich selber nutze. Ein sehr interessanter Bericht. Aber wenn Sie schreiben dass 99% aller Cookie Banner rechtswidrig sind (also eigentlich alle) dann haben wir doch irgendwo ein Problem mit der Rechtssprechung. Vielleicht ist dieses Gesetz gar nicht umsetzbar. Wenn sich eine grosse Mehrheit nicht an ein Gesetz hält, oder halten kann, muss es dann nicht verhältnismassig angepasst werden? Also mich nerven diese Banner ohnehin, insbesondere ich dann noch Einstellungen vornehmen muss. Aber ein Banner wo einfach steht dass man mit dem Besuch dieser Seite mit den Cookies einverstanden ist aus meiner Sicht verhältnismässig und kann nicht so falsch sein. Oder?

    1. Der EUGH sieht es anders und ein bloßer Hinweis auf die Cookies sowie ein generelles Einverständnis sind nicht ausreichend. Dass zwischen der Rechtsprechung und der Praxis Welten liegen können und die Datenschutzbehörden irgendwo dazwischen wirken, ist leider die Realität. Dieses Thema ist zu groß für die Kommentarspalte, aber ein wichtiger Punkt ist die internationale Wettbewerbsfähigkeit. Wenn man den Datenschutz und die ePrivacy in der EU konsequent umsetzen würde, wäre eine Benachteiligung gegenüber z.B. Unternehmen in den USA zu befürchten. Doch auch hier kann man anderer Ansicht sein. Tja, so fängt es an und dann kann man “ewig” diskutieren. 😉

  4. Die von Ihnen erwähnte Entscheidung des LG Rostock sagt doch das genaue Gegenteil aus: Hier hat doch die Beklagte massiv verloren und ihr wurde praktisch nahezu alles verboten.

    Ich finde es grob irreführend, das Urteil als Nachweis für die Rechtmäßigkeit zu erwähnen.

  5. Hallo Herr Dr. Schwenke,

    muss es im Kapitel “Keine Erleichterung durch das kommende TTDSG” nicht heißen “…praktisch keine neuen Regelungen treffen.” statt “praktisch eine neuen Regelungen treffen.”?

    Gruß,
    M. Becker

  6. Vielen Dank für den / die Artikel und z.B. den Datenschutz-Generator.

    Würde man unter den Aspekten z.B. bei WordPress.com (WordPress Stats immer aktiv) dann davon ausgehen, dass die Cookies nur die zwingend notwendigen sind, denn dafür gibt es kein Opt.-in (nur automatisch nach einer Weile) und kein Opt-out (nur über Drittanbieter). Aus “Nutzersicht” und aus “Nutzersicht als Admin” sind die Cookies zwingend erforderlich und zu erwarten.

    Durch die Punkte “1. Notwendigkeit eines Opt-Ins – Marketing” und “3. Aktive Zustimmung erforderlich” wäre aber die logisch Konsequenz, dass man WordPress.com nicht mehr nutzen kann. Gibt es dafür Handlungsalternativen oder Idee?

    Beste Grüße und vielen Dank

    1. Ja, das ist ein Problem, das nur umgangen werden kann, wenn Auttomatic nachrüstet und ein Opt-In-Verfahren erlaubt. Ansonsten sehe ich leider keine praktische Alternative (außer WordPress selbst zu hosten).

  7. Hallo Herr Dr. Schwenke,

    lieben Dank für Ihre – wie immer – großartige Zusammenfassung zum Stand der Cookie-Thematik.

    in der Praxis wird das Cookie Consent Management bei technisch anspruchsvollen Websites und Shops oft über den Google Tag Manager realisiert. Denn damit lassen sich selbst komplexe Regeln (bzw. Trigger) für die Auslieferung von einwilligungspflichtigen Tags einrichten.

    Ein Beispiel für eine vergleichsweise profane Regel: WENN Zustimmung zu Statistik-Cookies, DANN Auslieferung des Google Analytics-Tags. ANSONSTEN keine Auslieferung.

    Der Tag Manager ermöglichst also in diesem Fall erst die vom Gesetzgeber geforderte Abfrage einer Einwilligung zu Cookies. Liegt diese nicht (oder noch nicht) vor, dann werden nur die technisch notwendigen Cookies gesetzt. Alle anderen Tags bleiben geblockt.

    Bei einer Nutzung des Google Tag Managers für das Cookie Consent Management würde sich mir eine vorherige Einwilligungspflicht in eben diesen nicht erschließen. Im Gegenteil: Es würde das Ganze ad absurdum führen.

    Wie schätzen Sie das ein?

    BTW: Einziges Handicap bei dem Google Tag Manager aus meiner (nicht-juristischen) Sicht: Bei jedem Besucher der Website wird die IP-Adresse an Google übertragen. Dies dürfte ein gewisses, zumindest theoretisches Risiko in sich bergen, da das EU/US-Privacy Shield vom EuGH als unwirksam erklärt wurden („Schrems II“). Der Abschluss von Standardvertragsklauseln (SCC) mit Google kann (!) das Risiko senken, jedoch ist nicht gewiss, ob dies gerichtlich als ausreichend betrachtet würde.

    Viele Grüße und schon mal ein schönes Wochenende

    Jürgen Zöllner

    1. Danke sehr und die Einschätzung entspricht im Wesentlichen der Ausführung im Beitrag: https://datenschutz-generator.de/cookies-datenschutz-ratgeber/#Google_Tag_Manager. Wird der GTM dazu eingesetzt, um unbedingt erforderliche Speicher-/Lesevorgänge durchzuführen, halte ich es für vertretbar, keine Einwilligung einzuholen. Dabei “vertretbar” und nicht “eindeutig erlaubt”, weil man die Verfahren technisch auch ohne den GTM durchführen könnte (aber man könnte auch die Warenkorbfunktion ohne Cookies umsetzen). Das sind die immanenten Unklarheiten eines unklaren Gesetzes.

      1. Lieben Dank für Ihre Einschätzung, Herr Dr. Schwenke! Letztlich bleibt es also auch hier wie so oft ein Spagat zwischen Rechtssicherheit und Wirtschaftlichkeit.

        Noch eine kleine Ergänzung zu dem von Ihnen im Artikel erwähnten Google Consent Mode: Wir haben dies ausgiebig getestet (Stand März 2021), siehe https://www.berliner-digitalbuero.de/blog/google-consent-mode/

        Seitdem wissen wir, warum er noch Beta ist. (Wobei es Alpha in unseren Augen weit besser treffen würde.) Bei einer Ablehnung von Analytics-Cookies (analytics_storage: denied) werden die cookielosen Hits an Google übermittelt. Immerhin! Nur: Was trifft anschließend in Google Analytics ein? Sie ahnen es schon: Überhaupt nichts! Niente! Nada! Nothing! Dies gilt gleichermaßen für UA und GA4.

        In unseren Augen lohnt es sich deshalb aktuell keinesfalls, den Google Consent-Mode im Live-Betrieb einzusetzen.

        Herzlich grüßt

        Jürgen Zöllner

  8. Wenn ich das alles anno 1995 gewusst hätte, hätte ich Gärtner gelernt …
    PS: Vielen Dank für die wertvollen Infos und die Generatoren und so!

  9. Hallo Herr Dr. Schwenke,

    vielen Dank für diesen sehr hilfreichen Beitrag.

    Wie ist Google Analytics 4 in diesen Kontext einzuordnen? Google wirbt damit, dass es “cookieless” funktioniert. Kann es bei entsprechend datenschutzfreundlichen Einstellungen also ohne Einwilligung genutzt werden? Andererseits basiert es auf Kohortenbildung…

    Beste Grüße und vielen Dank.

  10. Hallo Herr Dr. Schwenke,

    zu dem Beitrag von Herrn Zöllner würde ich gerne noch anmerken:

    Wir nutzen einen Werbeanbieter, der die Anzeigenplätze mittels Live-Bidding vergibt. Hier gibt es von dem Werbeanbieter auch einen Cookie-Consent-Dialog, der aus meiner Sicht gut arbeitet.

    Der Werbeanbieter setzt ebenfalls den Google Tag Manager ein und hier ist mir aufgefallen, dass, egal was der Nutzer im Consent-Dialog auswählt, der Tracker https://securepubads.g.doubleclick.net/tag/js/gpt.js zwangsläufig gesetzt wird. Da habe ich als Webseitenbetreiber überhaupt keine Möglichkeit das zu beeinflussen.

    Daher wollte ich einmal fragen, wie die Verwendung dieser Tracker zu bewerten ist?

    Danke und viele Grüße
    Andre

  11. Widerspruchsangebot für einwilligungsbefreite invasive Technologien nach Art. 5 Abs. 3 S. 2 ePV-RL.

    Zitat des Posts von Hern Schramm oben:
    im Abschnitt “Kein Cookie-Banner für unbeding erforderliche Cookies notwendig” schreiben Sie: ” … Dennoch müssen Sie … eine Widerspruchsmöglichkeit … in der Datenschutzerklärung aufnehmen.”

    Sehr geehrter Dr. Schwenke,

    die o.g. Argumentation stellt offensichtlich darauf ab, dass es für die privilegierten invasive Technologien, die einen personenbeziehbaren Inhalt führen, auch eine datenschutzrechtliche Grundlage (neben der ePV-RL) geben muß, demnach wohl Art. 6 Abs. 1 lit. f DSGVO, der dann systematisch das Widerspruchsrechts nach Art. 21 DSGVO aufleben lässt.

    Ist es aber nicht vielmehr so, das Art. 95 DSGVO für eine Sperrung der gleichregelnden Bereiche der beiden Gesetze sorgt, denn beide sorgen ja in den betroffenen Abschnitten im zu betrachtenden Fall für eine Legitimation der Verarbeitung, somit geht nach Auflösung von Art. 95 DSGVO die ePV-RL vor und die Prozedur i.S.d. Art. 6 Abs. 1 lit.f DSGVO entfiele.

    Wie sehen Sie das ?

    Viele Grüße

    H.M.Hanau

    1. M.E. gelten die beiden Regelungsbereiche nebeneinander, da mit dem Datenschutz und dem Privatsphärenschutz unterschiedliche Ziele verfolgt werden. D.h. keine Sperrung durch Art. 95 DSGVO. Aber bis der EuGH hier eine Entscheidung getroffen hat, kann man durchaus anderer Ansicht sein.

  12. Vielen Dank für den informativen Artikel.
    Bezüglich des Punktes “Auch wenn Nutzereingaben, z.B. in Onlineformularen, die sich über mehrere Webseiten erstrecken, gespeichert werden, darf diese Speicherung als erforderlich betrachtet werden.” habe ich noch eine Frage. Ich habe in meinem Kontaktformular einige Felder mit perzonenbezogenen Daten wie z. B. Name und E-Mailadresse und möchte bei falschen Eingaben auf der nächsten Seite eine Fehlermeldung sowie alle vom Nutzer bisher gemachten Eingaben erneut anzeigen, dafür möchte ich die bisherigen Eingaben des Nutzers in einem Session Cokie speichern (im Cookie sind dann z. B. Name, E-Mailadresse und das gewählte Geschlecht gespeichert). Ist es korrekt, dass dieses Cookie dann als technisch notwendig gilt und ich nur in meiner Datenschutzerklärung daraufhinweisen muss, aber kein Einverständnis vom Nutzer einholen muss?

    Vielen Dank!

    1. Ich kann hier keine Ratschläge für den Einzelfall erteilen, aber generell gesagt halte ich die Komfortfunktion eines Sessioncookies für Eingaben im mehrseitigem Kontaktformular, bzw. um Nutzern Neueingaben bei Fehlermeldungen zu ersparen, auch ohne Opt-In für zulässig.

  13. Ein richtig guter und informativer Beitrag zum “Lieblingsthema” aller Onlinemarketer. Mittlerweile ist es wirklich schwer durchzublicken und so einen kleinen Spickzettel zu haben hilft echt gut weiter 🙂 Ich habe mich letztens für Consent Manager (https://www.consentmanager.de/) als Consent Tool entschieden hätte aber noch eine Frage diesbezüglich. Sollte ich mein Impressum und Datenschutzerklärung auch im Cookie Hinweis verlinken oder ist es nicht nötig, wenn man es sofort auf der Website sieht?

  14. Vielen Dank für den ausführlichen Beitrag. Ich habe auch gleich die Datenschutzerklärung geordert. Ich vermisse jedoch die Punkte Javascript und Content Delivery Network (CDN) z. B. mit Cloudflare. Mir ist da jüngst dieser Artikel https://dr-dsgvo.de/cloudflare-datentransfers-und-die-dsgvo/ in die Finger gekommen und ich frage mich ob das nicht in der Datenschutzerklärung mit auftauchen müsste, z. B. als Widerrufsrecht, und evtl. sogar im Cookie-Banner. Wie sehen Sie das? Grundsätzlich möchte ich auf den Cookie-Banner verzichten. Allerdings machen mir diese Punkte zu schaffen.

    Viele Grüße

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.