Neues EuGH-Urteil: Cookie-Einwilligung-Banner und Detailinformationen sind im Onlinemarketing Pflicht

Update 28.05.2020: Nunmehr liegt in dieser Angelegenheit auch die Entscheidung des BGH vor: BGH-Urteil: Opt-In-Pflicht für Werbe- und Marketing-Cookies (FAQ mit Anleitung und Checkliste)

Der Europäische Gerichtshof (EuGH) hat sich am 1. Oktober 2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen (alt. „Cookie-Opt-Ins”) ausgesprochen. Sie sollten also spätestens ab heute keine (nicht unbedingt erforderlichen) Cookies einsetzen, ohne dass Ihre Nutzer sich mit ihnen ausdrücklich einverstanden erklärt haben (EuGH, 1.10.2019 – C-673/17 “planet49”).

Damit haben sich die Datenschutzbehörden mit der Opt-In-Lösung durchgesetzt. Allerdings bleiben noch viele Punkte offen.

Insbesondere ist nicht geklärt, ob Nutzer auch einzelnen Cookie-Anbietern oder zumindest Cookie-Gruppen (z.B. “Onlinemarketing”) aktiv zustimmen müssen. Sollten sich Datenschützer auch mit dieser Ansicht durchsetzen, dann wäre z.B. das “Programmatic Advertising” (bei dem in Echtzeit eine große Zahl von Anbietern Daten der Nutzer potentiell verarbeiten kann) praktisch tot.

Im folgenden Beitrag beantworte ich die dringendsten Fragen zum Urteil und zur Ausgestaltung von Cookies in Form einer FAQ. Eine Zusammenfassung der wichtigsten Punkte erhalten Sie am Ende des Beitrags.

Aktueller Stand des Beitrags: 14.01.2020 (Updates finden sich am Ende).

Worum ging es in dem entschiedenen Fall?

In dem vom EuGH entschiedenem Fall ging es um die Klage der Verbraucherzentrale Bundesverband (vzbv) gegen das Unternehmen „planet49″, das im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte.

Vor dem Klick auf die Absende-Schaltfläche des Gewinnspiels fanden die Teilnehmer zwei Kontrollkästchen vor:

  • ein nicht vorangehaktes Kontrollkästchen mit einer Einwilligung in Werbezusendungen
  • ein vorangehaktes Kontrollkästchen, über das sie sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden erklärten.

Der vzbv störte sich an dem vorangehakten Kontrollkästchen für Cookies, klagte und bekam jetzt vor dem EuGH Recht.

Was entschied der EuGH zur Einwilligungspflicht?

Der EuGH urteilte, dass eine Einwilligung klar, für den konkreten Fall aktiv und ohne jeden Zweifel erteilt werden muss (Art. 4 Nr. 11 DSGVO). Das passive, nicht erfolgende Weghaken eines Kontrollkästchens stellt keine wirksame Einwilligungshandlung dar.

Dem Argument, dass mit dem Klicken der Absende-Schaltfläche auch eine vorangehakte Einwilligung erteilt werde, begegnete der EuGH mit einer Absage. Auch das zweite Kästchen durfte nicht vorangehakt sein.

Denn mit dem Klick auf die Absende-Schaltfläche, erklärt ein Nutzer die Teilnahme am Gewinnspiel, nicht die Einwilligung in die Nutzung von Cookies.

Inwieweit betrifft die Entscheidung die Cookie-Nutzung?

Übertragen auf Webseiten entschied der EuGH, dass die bis dato häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” nicht ausreichend sind.

Die Weiternutzung einer Webseite stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar.

Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich.

Wann sind Cookies für eine Webseite unbedingt erforderlich und einwilligungsfrei?

Die Regelung, wann ein Cookie unbedingt erforderlich ist, lässt sich dem. Art. 5 Abs. 3 der ePrivacy-RL nicht eindeutig entnehmen.

Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies. In jedem Fall dürften folgende Cookie-Arten darunter fallen:

  • Warenkorb-Cookies eines E-Shops,
  • der Login-Status einer Community und
  • die Sprachauswahl auf einer internationalen Webseite.
  • Cookies, die eine Cookie-Einwilligung speichern.

Jedoch sind die genauen Grenzen der Erforderlichkeit nicht klar, z.B., ob der Warenkorb nur vorübergehend in einem „Session-Cookie” oder auch nach dem Schließen des Browsers gespeichert werden darf und ob Design- oder Mediensteuerungs-Cookies unbedingt erforderlich sind (z.B. letzte angeschaute Stelle in einem YouTube-Video).

Cookies für Zwecke des Marketings oder der Erstellung von Statistiken werden jedoch eindeutig als nicht unbedingt erforderlich betrachtet. In diesen Fällen muss eine informierte Einwilligung der Nutzer vor dem Einsatz eingeholt werden.

Geht es nur um Cookies?

In dem besprochenen Urteil wird zwar nur von Cookies gesprochen: “Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.

Gemeint sind jedoch alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen (z.B. sogenannte Fingerprints, die eine Quersumme der technischen Eigenschaften eines Gerätes bilden).

D.h., die Reichweite des Urteils ist sehr groß. Nur zur Vereinfachung spricht man von „Cookies”.

Sieht das deutsche Telemediengesetz keine Ausnahme vor?

Das deutsche Telemediengesetz erlaubt es im § 15 Abs. 3 TMG , “für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.”

Diese Regelung kann nach dem EuGH-Urteil jedoch nicht mehr so verstanden werden, dass Cookies ohne Einwilligung der Nutzer auf deren Gerät verarbeitet werden können.

Damit entschied der EuGH auch rückwirkend, dass die bereits 2009 eingeführte Cookie-Opt-In-Pflicht, vom deutschen Gesetzgeber nie richtig umgesetzt wurde.

Wird die ePrivacy-VO Änderungen mit sich bringen?

Der EuGH ist der ePrivacy-Verordnung (VO) zuvorgekommen.

Die ePrivacy-VO soll im Hinblick auf Cookies praktisch nur das wiederholen, was in der bisherigen ePrivacy-Richtlinie (RL) stand. Dort steht unter anderem auch, dass nicht nur die Verarbeitung personenbezogener, sondern auch anonymer Cookies einer Einwilligung bedarf.

Der EuGH sagte nun in seinem Urteil, dass nicht nur personenbezogenes, sondern auch anonymes Tracking einer Einwilligung bedarf: “Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“. Da die DSGVO nur für personenbezogene Daten gilt, ist der EuGH daher wohl der Ansicht, dass die ePrivacy-Richtlinie  im Hinblick auf Cookies neben der DSGVO weiterhin gilt.

D.h. im Hinblick auf Cookies ist es irrelevant, ob und wann die ePrivacy-VO in Kraft tritt. Denn die in ihr enthaltenen Regelungen zu Cookies, gelten bereits jetzt.

Wie kann eine Cookie-Einwilligung eingeholt werden?

Derzeit kann eine Cookie-Einwilligung praktisch nur mit sogenannten „Cookie-(Einwilligung/Opt-In) -Bannern” eingeholt werden (oder im Rahmen einer Registrierung).

Die Einwilligung muss ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen.

Wann ist eine Einwilligung informiert?

Geht man vom Urteil des EuGHs aus, dann müssen die Nutzer über die folgenden Punkte informiert werden:

  • Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, Verhaltens- und Interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie nach meiner Ansicht, zumindest in voller Länge in der Datenschutzerklärung platziert werden kann.
  • Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen. Cookie-Opt-In-Anbieter haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
  • Identität der Dienstleister, die die Cookies verarbeiten: D.h., Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).

Nicht zu vergessen sind die weiteren Informationspflichten aus Art. 13-14 DSGVO, wie z.B. zum Verantwortlichen der Webseite, Betroffenenrechten (Recht auf Auskunft, Löschung. etc.).

Daher sollten Nutzer auf die Datenschutzerklärung und das Impressum trotz Cookie-Banner zugreifen können. Im Optimalfall sind die Datenschutzerklärung und das Impressum im Cookie-Banner verlinkt.

Muss in die einzelnen Cookies oder Cookie-Anbieter eingewilligt werden?

Laut der “FAQ zu Cookies und Tracking” des baden-württembergischen Datenschutzbeauftragten, ist die Möglichkeit der Gliederung von Cookies in einzelne Kategorien erlaubt.

Wenn einzelne Cookie-Anbieter oder Tools einer Einwilligung bedürften, dann wäre deren zulässiger Umfang erheblich eingeschränkt, vor allem, wenn die Kontrollkästchen nicht vorangehakt wären, wie die Datenschutzbehörden es fordern.

Diese Forderung würde jedoch die Nutzung von Cookies radikal beschränken. Das so genannte “Programmatic Advertising” oder “Realtime Bidding” wären praktisch unmöglich (dabei können Daten der Nutzer in Echtzeit von einer Vielzahl von Werbekunden verarbeitet werden).

Die britische Datenschutzbehörde ICO hielt dieses Verfahren in einem Bericht für unzulässig. Schaut man sich die Empfehlungen der deutschen Datenschutzbehörden an, so erscheint eine Gliederung in Cookie-Gruppen als zulässig.

Auch die Datenschutzkonferenz, die für die deutschen Datenschutzbehörden spricht, scheint keine Einwilligung für jeden einzelnen Anbieter zu fordern. In ihrer “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” ist von der Einwilligung in “Verarbeitungsvorgänge” unter “Nennung der Akteure” und nicht von Einwilligung für einzelne Akteure die Rede.

Der EuGH entschied lediglich, dass die einzelnen Dienste-Anbieter einzeln aufgeführt werden müssen. Zu der Frage, ob die Nutzer eine Einwilligung in jeden einzelnen Dienst abgeben müssen, hat der EuGH keine Entscheidung getroffen.

Inwieweit darf eine Einwilligung voreingestellt sein?

Das Cookie-Einwilligung-Banner auf der Website der Lufthansa entspricht insoweit den Forderungen der Datenschutzbehörden, als die einzelnen Cookie-Gruppen nicht vorangehakt sind. Allerdings können die einzelnen Cookie-Anbieter in den Gruppen nicht einzeln ausgewählt werden. Ob das Voranhaken oder gar noch weitere Kontrollkästchen für einzelne Anbieter aber wirklich notwendig sind, ist noch nicht geklärt.

Eine für die Gestaltung von Cookie-Einwilligungen wichtige Frage, ist deren Detailgrad.

Ginge man nach den Datenschutzbehörden, dann müssten nicht nur alle einzelnen Cookieanbieter separat genannt, sondern sie müssten auch separat bestätigt werden. Dies solle sich bereits aus der Vorgabe „datenschutzfreundlicher Voreinstellungen” im Artikel 25 Abs. 2 DSGVO ergeben.

D.h. Einwilligung-Banner, in denen die Cookies bereits vorangehakt sind und Nutzer mit nur einem Click auf “Bestätigen” die Banner ausblenden können, nicht ausreichend.

Die nächste Frage wäre, ob die Zusammenfassung von Cookies in Gruppen, wie z.B. “Onlinemarketing”, “Statistik” oder “Inhalte” ausreichend wäre. Folgt man den Datenschutzbehörden, wäre das nicht der Fall. Das zumal eine klare Trennung zwischen Arten von Cookies selten möglich ist (z.B. werden bei eingebundenen Inhalten von Facebook auch Cookies zu Marketingzwecken verarbeitet).

Ich selbst halte eine Einwilligung für alle Cookies für ausreichend, allerdings sollten Sie sich an den Datenschutzbehörden orientieren, wenn Sie auf Nummer sicher gehen wollen. Alle anderen sollten eine Risikoabwägung treffen, in deren Rahmen mögliche Nachteile mit den Vorteilen abzuwägen sind.

Auf der Website des EuGH werden weder Gruppen von Cookies gebildet, noch einzelne Einwilligungen abgefragt. Das bedeutet jedoch nicht zwangsläufig, dass der EuGH eine Einzel-Einwilligung für alle Cookies zulässt. Es kann genauso bedeuten, dass die Richter und deren IT sich nicht absprechen.

Verbietet das Kopplungsverbot verpflichtende Cookie-Einwilligungen?

Es gibt Webseiten, die den Zugang zu ihren Angeboten von einer Cookie-Einwilligung abhängig machen.

Bei der Frage, ob ein derartiges Pflicht-Opt-In zulässig ist, sind sich Juristen jedoch ebenfalls uneins. Die überzeugenderen juristischen Ansichten sehen kein strenges Kopplungsverbot und prüfen stattdessen im Einzelfall, ob die Einwilligung aus keiner (auch inneren) Zwangssituation abgegeben wurde. Am Ende dürfte eine solche Kopplung daher zulässig sein, wenn auch mit unterschiedlichen Risikograden.

Der EuGH traf hierzu keine Entscheidung, da diese Frage für den entschiedenen Fall nicht relevant war (auch wenn in den Schlussanträgen, also den Empfehlungen des Generalanwalts zum Urteil, ein Kopplungsverbot zumindest im Hinblick auf Direktmarketing besprochen und für erlaubt gehalten wurde, Schlussanträge, Rn. 94-99).

Allerdings wäre eine Pflicht-Einwilligung in jedem Fall unzulässig, wenn sich die Einwilligenden in einer Zwangslage befänden.

In welchen Fällen verbietet eine Zwangslage zwingende Cookie-Einwilligungen?

Schon eine innere Zwangslage könnte nach strengen Ansichten gegen die Freiwilligkeit einer Cookie-Einwilligung sprechen. Je nach Strenge der Datenschutzmeinung, können z.B. folgende Fälle mehr oder weniger alltäglicher Notwendigkeiten oder Bedürfnisse Zugangsschranken durch Cookies verbieten:

  • Webseiten von Ärzten, Apothekern, Krankenhäusern, Medikamenteanbietern;
  • Webseiten von Städten, Gemeinden, andere öffentlich-rechtliche Einrichtungen, Anstalten und Ämtern;
  • Webseiten von Versorgungsunternehmen, Anbietern der Personenbeförderung;
  • Webseiten von Banken oder Rechtsanwälten;
  • Webseiten, bei denen Kunden sich einloggen müssen oder bereits Kundenaccounts  haben;
  • Journalistische Angebote;
  • Wenn Minderjährigen der Zugang möglich ist, da sie erst ab 16 einwilligen können, d.h., praktisch auf allen Webseiten (strenge Ansicht) bzw. nur auf Webseiten, die sich an Minderjährige richten (weniger strenge Ansicht).

Wie streng das Recht tatsächlich ist, das muss der EuGH noch klären. Bis dahin lässt sich, z.B. mit Hinweis auf Minderjährige, sogar generell eine Cookie-Zwangseinwilligung vertreten. Die deutschen Datenschutzbehörden gehen zumindest von einem Kopplungsverbot bei nicht unbedingt erforderlichen Cookies aus.

Kann statt einer Cookie-Einwilligung eine Zugangsgebühr verlangt werden?

Die österreichische Datenschutzbehörde hielt eine derartige Wahl zwischen Cookies oder einem Abonnement für zulässig.

Der EuGH hat zu einer Wahl zwischen Cookies und Geldzahlung, keine Entscheidung getroffen.

Bekannt ist ein Fall in Österreich, wo die Datenschutzbehörde der Online-Newsseite derstandard.at erlaubte, die Zahlung eines Abonnements (6,99 Euro) als Alternative zu einem Cookie-Opt-In anzubieten.

Eine Zugangsgebühr ist nach meiner Ansicht nach zulässig, aber nur unter den folgenden Voraussetzungen:

  • Vernünftige Höhe – Die Höhe sollte ca. dem entsprechen, was wirtschaftlich vernünftig und nicht missbräuchlich ist. D.h., Sie dürfen m.E. beschließen, dass Ihr Dienst 10,99 Euro wert ist, auch vielleicht 100,99 Euro. Dies muss zumindest m.E., der Wettbewerb regeln.
  • Kein Missbrauch – Ein Missbrauch könnte jedoch dann bestehen, wenn Nutzer Zugang zu alternativen, gleichermaßen geeigneten und nicht überpreisten Diensten hätten. Das trifft jedoch eher auf große Dienste wie Google oder Facebook zu.
  • Anspruch/ berechtigte Erwartung auf unentgeltlichen Zugang –  Bei Webseiten für Kunden, Bürger, Patienten, Versicherte etc. würde ich ein zusätzliches Cookie-Entgelt für unzulässig halten (wobei sich dann die Frage stellt, ob eine Umlage auf Gebühren und Kosten einen Unterschied darstellt).

Das Fazit lautet also, dass es zumindest derzeit so aussieht, als ob das Modell „Datenschutz gegen Geld” zulässig ist, auch, wenn das nicht nach dem klingt, was man von der DSGVO zuerst erwartet hätte.

“Nudging” – Ab wann wird aus einer „Cookie-Belästigung” eine Zwangseinwilligung?

Vorstehend haben Sie erfahren, dass eine Zwangs-Opt-In bei vielen Webseiten (je nach Ansicht bei allen) verboten ist. Ab wann ein Cookie-Banner zu einer Zwangseinwilligung wird, ist auch nicht geklärt:

  • Zwang bei Zugangsschranke: Ein Zwang liegt vor, wenn man in Cookies & Tracking einwilligen muss, um die Webseite überhaupt betreten zu können.
  • Kein Zwang bei „Schließen”-Button: Kein Zwang liegt vor, wenn man das Banner wegklicken kann.
  • Eher kein Zwang bei „bloß” nervigen Bannern: Wenn das Cookie-Banner zwar „nervt”, aber die Sicherheit der Nutzung oder die Informationsaufnahme nicht gefährdet (d.h., insbesondere nicht auf der Mitte des Bildschirms oder links über dem Text prangt), dürfte keine Zwangslage vorliegen.

In jeden Fall sollten die Websitebesucher die Datenschutzerklärung und das Impressum immer erreichen und lesen können. Ich empfehle das Cookie-Banner auf diesen Informationsseiten abzuschalten.

Wo muss ein Opt-Out (Widerspruch) platziert werden?

Nutzer müssen dem Cookie-Einsatz widersprechen können. Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Ich empfehle die Platzierung in der Datenschutzerklärung und im Fußbereich Ihrer Webseite.

Ferner sollten Nutzer schon im Cookie-Einwilligung-Banner über die Freiwilligkeit und die Widerspruchsmöglichkeit belehrt werden.

Bei uns auf der Webseite werden Nutzer darauf hingewiesen, dass sie eine Opt-Out-Möglichkeit im Fußbereich der Webseite finden (die Schaltfläche findet sich so auch in den Hinweisen zu Cookies in der Datenschutzerklärung).

Zusammenfassung und Praxisempfehlung

Die Rechtslage beim Einsatz von Cookies lässt sich nach dem Urteil des EuGH wie folgt zusammenfassen:

  • Der EuGH entschied klar, dass Sie Cookies nur mit ausdrücklicher Einwilligung der Nutzer einsetzen dürfen.
  • Ferner müssen Sie die Nutzer über die eingesetzten Anbieter, Arten und Funktionsweisen sowie die Speicherdauer der Cookies informieren. Die Datenschutzerklärung und das Impressum, sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein.
  • Unklar ist, ob es ausreichend ist, Einwilligungen für Cookie-Gruppen (z.B. “Onlinemarketing”, “Statistik”), statt für einzelne Anbieter/Tools (“Facebook-Pixel”, “Google Analytics”) einzuholen. Nach der hier vertretenen Ansicht ist eine Cookie-Gruppen-Einwilligung zulässig.
  • Unklar bleibt ebenfalls die Frage, ob Einwilligungen für die Cookie-Gruppen (oder gar einzelne Onlinemarketing-Anbieter) schon vorangehakt sein dürfen. Zumindest Datenschutzbehörden halten das für unzulässig. Wenn Sie jedes Risiko vermeiden möchten, dann sollten Sie Nutzer um einzelne Einwilligungen bitten. Alle anderen sollten individuell die möglichen Nachteile (Abmahnungen oder Bußgelder) mit den Vorteilen eines Verzichts auf einzelne Einwilligungen abwägen.
  • Sie sollten die Nutzer im Cookie-Einwilligungsbanner auf die Freiwilligkeit hinweisen, ebenso auf deren Widerrufsrecht/Opt-Out (d.h. wie die Nutzer ihre Cookie-Einwilligung wieder ändern können).
  • Ob Cookies als Zugangsschranken eingesetzt werden dürfen, gehört ebenfalls zu den ungeklärten Punkten. In vielen Fällen wird dies nicht erlaubt sein, vor allem wenn Nutzer auf den Zugang zur Website angewiesen sind. Als zulässig erscheint es dagegen, eine cookiefreie Nutzung von der Zahlung einer Gebühr abhängig zu machen.

Zusammengefasst, könnte das EuGH-Urteil nicht nur das Onlinemarketing, sondern das “kostenlose” Internet, wie wir es heute kennen, grundlegend verändern.

Ob zum Besseren oder Schlechteren, hängt vom Standpunkt der Betrachter ab. Die Standpunkte von Datenschützern und Unternehmen dürften sich derzeit diametral im Gegensatz befinden.

Dabei ist das nur eine Baustelle im Onlinemarketing. Schaut man auf das letzte EuGH-Urteil, dann haften Sie z.B. für fehlende Cookie-Einwilligungen auf Ihren Social-Media-Profilen mit: „EuGH-Urteil zum Like-Button: Abmahnbare Opt-In-Pflicht bei Cookies und Social Media wird illegal.”

Update zur aktuellen Rechtslage 14.01.2020

Die Richtlinie, auf deren Grundlage der EuGH eine Opt-In-Pflicht für Cookies fordert, wurde in Deutschland (je nach Auslegung wahlweise) gar nicht oder wie folgt im § 15 Telemediengesetz (TMG) umgesetzt:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Damit gibt das deutsche Gesetz keine Einwilligungspflicht für Cookies vor (zumindest laut Gesetzeswortlaut bei pseudonymen Cookies). Wie mit diesem Widerspruch zu den Vorgaben umzugehen ist, wurde bisher nicht entschieden:

  • Einwilligungspflicht laut Datenschutzbehörden: Datenschutzbehörden halten § 15 Abs. 3 TMG für nicht anwendbar (bzw. die Cookievorgaben der EU darin ohnehin nicht umgesetzt, respektive halten Sie Cookies nicht für pseudonym) und sind der Ansicht, dass daher für Cookies unmittelbar die DSGVO gelte; da nach dieser eine Opt-Out-Lösung nach nur dann möglich ist, wenn Nutzer vernünftigerweise mit dem Profiling mittels Cookies im konkreten Umfang rechnen müssen und dies bei Onlinemarketing-Tools verneint wird, ist eine Einwilligung lt. den Behörden Pflicht (anders wohl dagegen bei reiner Webanalyse, z.B. mit Matomo, s. Malte Engeler).
  • keine Einwilligungspflicht laut Werbewirtschaft: Die Werbewirtschaft meint, dass entweder § 15 Abs. 3 TMG weiterhin gelte (immerhin hat der Gesetzgeber die Vorschrift nicht aufgehoben) oder, falls die DSGVO unmittelbar gelte, Nutzer mit Profiling zu Werbezwecken heutzutage vernünftigerweise rechnen müssten.

Wer am Ende Recht behält, muss der BGH auf Grundlage des EuGH-Urteils entscheiden. Der Verhandlungstermin ist auf den 30.01.2020 gesetzt. Ich gehe jedoch davon aus, dass ein Opt-In für Cookies auch in Deutschland über kurz oder lang kommen wird (sei es, indem der BGH eine Einwilligungspflicht in das Gesetz hineinliest oder indem er das Gesetz für ungültig erklärt wird und damit der Gesetzgeber zur Anpassung aufgefordert wird).

tl;dr: Lt. EuGH dürfen Cookies nicht ohne eine vorhergehende und informierte Einwilligung eingesetzt werden. In Deutschland ist die Rechtslage noch unklar, jedoch sollte von einer Opt-In-Pflicht ausgegangen werden. Wie detailliert Cookie-Opt-In-Banner aussehen müssen und ob sie vorangehakt sein dürfen, bleibt dagegen unklar. Klarer wird dagegen, dass Datenschutz zu einem kostenpflichtigen Privileg werden könnte.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: mit aktuellen 500 Modulen, u.a. mit Angaben zu Cookies und Onlinemarketing  testen ohne Anmeldung kein Abo nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privat.
Datenschutzgenerator


 

Opt-In-Empfehlung für WordPress (für Cookies und eingebundene Inhalte)

BORLAND Cookie Opt-In(Affiliate-Link, d.h. wir erhalten beim Kauf eine Provision.)


Kommentare

  1. Immer wieder wird von diversen “Bloggern” behauptet, für MATOMO (ehemals Piwik) bräuchte man kein Opt-In, da es lokal gehostet wird.
    Aber das Faktum, das “vorher” eine Einwilligung eingeholt werden muss, ist doch, wenn ich das richtig verstehe, nicht daran gekoppelt, ob man jetzt lokal hostet oder ob es beispielsweise Google Analytics ist, oder?

    1. Richtig, darauf kommt es lt. EuGH nicht mehr an. Es ist auch bei Matomo ein Opt-In erforderlich und man muss sogar zusätzlich darauf hinweisen, dass Matomo auf dem eigenen Server gehostet wird, d.h. dass Dritte keinen Zugang zu den Daten erhalten.

      1. Ist es keine Option mehr Cookies, auch Traking-Cookies, auf Art. 6 I lit. f zu stützen? Insbesondere vor dem Hintergrund des ErwG 47 a.E.
        Darauf geht der EuGH, soweit ich erkennen kann nicht ein. Das wurde er vom vorlegenden Gericht nun allerdings auch gar nicht erst gefragt.

      2. Ein Opt-In ist bei Matomo (oder auch anderen Analyse Tools) meines Erachtens *NICHT* erforderlich, wenn man Matomo entsprechend konfiguriert, sodass kein *Tracking* zum Einsatz kommt. Von Matomo werden dann auch dementsprechend *keinerlei* Cookies gesetzt.

        Bei Google Analytics geht dies zB (noch) nicht, soweit ich weiß.

  2. “Vor dem Klick auf die Absende-Schaltfläche des Gewinnspiels fanden die Teilnehmer zwei Kontrollkästchen vor:

    ein vorangehaktes Kontrollkästchen mit einer Einwilligung in Werbezusendungen
    ein nicht vorangehaktes Kontrollkästchen, über das sie sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden erklärten.

    Der vzbv störte sich an dem nicht vorangehakten Kontrollkästchen für Cookies, klagte und bekam jetzt vor dem EuGH Recht.”

    Das ist falschrum, oder?
    Gerade das Cookie-Kontrollkästchen war ja mit einem voreingestellten Häkchen versehen.

    Danke für die gute und umfassende Analyse im Artikel.

    1. Ich empfehle das Urteil schon ab jetzt zu beachten.
      Der Fall selbst ist zwar noch nicht entschieden. Das Endurteil wird von dem Bundesgerichtshof (BGH) gesprochen.
      Der BGH hatte jedoch den EuGH um eine Beantwortung der Fragen zu der Opt-In-Pflicht gebeten. Da der Datenschutz in der EU harmonisiert ist (d.h. einheitlich ausgelegt), müssen derart schwerwiegende Fragen zentral entschieden werden.
      Die Antwort des EuGH ist allerdings für den BGH verbindlich. Angesichts der eindeutigen Antwort des EuGH, wird der BGH jedoch kaum anders entscheiden können. D.h. mit aller Wahrscheinlichkeit wird der auch der BGH eine Opt-In-Pflicht bejahen. Das bedeutet, eine Datenschutzbehörde kann z.B. schon heute eine Opt-In-Pflicht anordnen oder bei Weigerung ein Bußgeld verhängen. Sie kann sich sicher sein, dass ihre Bescheide vor Gericht Bestand haben werden. Das gilt für etwaige Abmahnungen.

  3. Danke für die Erläuterungen. Besteht denn überhaupt noch die Möglichkeit, Blogs, in meinem Fall: WordPress und ausschließlich Privat, vollkommen ohne solcherlei Einwilligung/ein zu betreiben?
    Ich nutze bereits seit Jahren kein Google und anderes Tracking, keinerlei Werbebanner, schlichtweg rein gar nichts. Einfach WordPress und Content und fertig.
    Besten Dank vorweg… 🙂

  4. Warum gelten Journalistische Angebote als “Zwangslage für zwingende Cookie-Einwilligungen”? Diese Logik erschließt sich mir absolut nicht. Gerade große News-Portale wie Spiegel-Online, RP-Online, Bild, etc. sind doch riesige Cookie-Schleudern und die brauchen keine Cookie-Banner? Dafür aber jeder kleinste Blog oder jede Mini-Firmen-Website? Wo bleibt denn da die Verhältnismäßigkeit?

  5. Ich habe diese Seite mit deaktiviertem JavaScript aufgerufen. Da greift Borlabs nicht; es wird nicht einmal sichtbar. Dabei werden von Anfang an 2 Cookies gesetzt … ich kenne übrigens kein Cookie-Plugin, dass ohne JavaScript auskäme. Das wird die Abmahner freuen.

    Allerdings denke ich nicht, dass man den genuin geschäftsschädigenden Einfluss der EU-Regeln noch irgendwie aufhalten kann, selbst dann nicht, wenn ein Cookie-Opt-In auch ohne JS funktionieren würde 🙂

    Dennoch mein Respekt für soviel verzweifelte Hingabe an das Thema,
    Frank

  6. Doofe frage, warum sind bei ihnen die Cookies im borlabs Banner für Marketing den vorausgewählt, obwohl das eigentlich nicht okay ist?

    Bitte um Erläuterung. Danke 🙂

  7. Sehr schöner Kommentar zum Cookie-Banner der EuGH Webseite! Kann die bitte jemand verklagen!? Wäre sicherlich guter PR Stunt!
    Fehlt oben bei dem Punkt „kein Missbrauch“ nicht das „keinen“ vor Zugang? Danke für die schöne Ausführung!

  8. Auf unseren privaten Internetseiten ist jeweils ein Besucherzähler aktiv und sichtbar. Fällt der auch unter diese neue Verordnung? Wir betreiben unsere Webseiten rein informativ und für Besucher kostenfrei.
    Vielen Dank für die bisherige Unterstützung.

    1. Die Datenschutzvorgaben geltenb im Zweifel auch für Webseiten, die von jedermann zugänglich sind (das ist nicht unumstritten). Dann gelten die Vorgaben für die Cookie-Einwilligung auch(sofern Ihr Besucherzähler mit Cookies oder vergleichbaren Technologien funktioniert).

  9. Vielen Dank für die ausführliche Darstellung! Der Tag ist noch jung, und schon hab ich Kopfschmerzen… 😉

    Eine Frage beschäftigt mich schon eine Weile in diesem Zusammenhang, vielleicht können Sie mir das erklären: In der Regel wird bei einer Ablehnung der Cookies doch ein Cookie gespeichert, das eben die Ablehnung protokolliert und sicherstellt. Die Speicherung dieses einen Cookies ist dann aber erlaubt, oder – weil notwendig? Ein innerer Widerspruch liegt ja schon in diesem Vorgang…

    Generell beschäftigt mich auch in anderen Zusammenhängen die Frage, wie man eigentlich rechtssicher speichert, dass man keine personenbezogenen Daten zu einer bestimmten Person mehr speichern (auch nicht neu anlegen) darf. Auch hier ein innerer Widerspruch, der schwer aufzulösen ist.

    1. Ja, das Opt-In-Cookie sehe ich als unbedingt erforderlich an. Die andere Frage lässt sich nicht kurz beantworten. Interessant ist da https://dsgvo-gesetz.de/art-11-dsgvo/, wo nach man z.B. Logfiles nicht möglichst personenbezogen speichern muss, damit jemand z.B. die Herausgabe ihn betreffender Logfiles herausverlangen kann. Ich weiß, das ist nicht alles einfach nachvollziehbar – so geht es aber auch häufig Juristen, die im Datenschutz tätig sind ;).

  10. Bei meinen WordPress-Websites wird das Cookie-Banner vom Plugin “Cookie Notice” am unteren Rand mit dem bekannten Standard-Text “Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.” plaziert.
    Die Websites benutzen das Newsletter-Tool “MailPoet”, welches ein Session-Cookie (Gültigkeit: 1 Tag) setzt. Reicht es, im Bannertext einen Hinweis auf exakt dieses Cookie zusätzlich einzufügen? Gesetzt wird das Cookie erst, wenn die Anmeldeseite zum Newsletter aufgerufen wird. Es handelt sich dabei um kein Marketing-Cookie, Tracker o. ä.
    Vielen Dank für einen guten Tipp!

  11. Danke für den ausführlichen Artikel 🙂

    Mal eine dumme Frage: Wenn ich keine Cookies verwende auf meiner Website, benötige ich trotzdem einen Cookie-Banner, um darauf hinzuweisen? Ist für mich eigentlich Quatsch, aber ich vermute mal, dass es so sein wird.

  12. Schöne Übersicht, schön gegliedert und schön die diskutableren Punkte betont. Danke.

    Ich möchte sagen, dass ich an sich das Urteil begrüße und auch so erwartet habe, da es den Charakter einer Einwilligung von einem “Ja, Ja schon gut” mehr in Richtung “Ja, das will ich so” bewegt bzw. diesen Chjarakter bestärkt.

    Sie führen aus, dass Zwang und Einwilligung nicht wirklich gut zusammengehen und hier folglich Risiken bestehen. Auf der anderen Seite wollen und müssen Leute mit Content Geld verdienen und da sind Risiken immer unangenehm. Das hier ein Konfliktpotential besteht deutet das Urteil sogar an.
    Um diesen Konflikt zu umgehen bzw. das Risiko zu minimieren, wäre es meiner Meinung nach sinnig, möglichst wenig die Einwilligung zu nutzen.
    Primär würde ich auf §6 Abs.1 lit. b (Vertragserfüllung) abzielen. Natürlich hieße das, dass ich entsprechende AGB benötige und auch niemanden unangemessen benachteiligen darf, allerdings reicht in diesem Zusammenhang konkludentes Handeln häufig schon aus.
    Sprich ich ändere im Cookie-Banner ein wenig den Text und kann diesmal ungestört davon ausgehen, dass eine Weiternutzung ein “Vertragsverhältnis” begründet.

    Denken Sie, dass wäre praktikabel und wie schätzen Sie hierbei die Risiken ein?

    1. Das würde m.E. dem Urteil widersprechen, das eine Einwilligung ausdrücklich vorsieht. Nicht nur wegen der DSGVO, sondern eher weil der EuGH anscheinend die Geltung der e-Privacy-RL (aus der sich eine Einwilligungspflicht ergibt) in Deutschland sieht oder deren Umsetzung fordert – auch der Punkt ist nicht geklärt).

      1. Wie genau ergibt sich denn die Einwilligungspflicht aus der e-Privacy-RL?

        Art. 5 Abs. 3 spricht nicht ausdrücklich von einer Einwilligung.
        Hier wird als Bedingung eine umfassende Information und die Möglichkeit der Verweigerung gefordert.
        Dies wird durch folgendes eher noch eingegrenzt.
        Denn dort heißt es weiter: “Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, … oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.”
        Natürlich kann man unter “ausdrücklich gewünscht” auch etwas wie eine Einwilligung verstehen oder gar das gleiche. Dagegen spricht aber für mich das eventuell strenge Verständnis des Kopplungsverbotes, da ich hier etwas im Gegenzug bekommen kann, und dass dieser Satz die Informationspflicht lockert, aber eine Einwilligung ohne ausreichende Information ausgeschlossen ist.

        Art. 6 e-Privacy-RL spricht hingegen eindeutig von einer Einwilligung, bezieht sich aber auf Verkehrsdaten, was ich im Fall eine “normalen” Webseite auch nicht treffend finde.
        Allerdings unterstützt das die Interpretation, dass in Art. 5 keine Einwilligung gemeint ist, da man diese ja offensichtlich auch hätte benennen können, sprich man hat absichtlich nicht von einer Einwilligung gesprochen.

        Aber warum diese Überlegungen:
        Informationspflichten habe ich bei egal welchen Erlaubnisgrund nach Art. 6 DSGVO und nach der e-Privacy-RL. Ich muss also immer informieren.
        Bei einer Einwilligung gibt es allerdings das Kopplungsverbot.
        Dieses möchte ich “umgehen” indem ich auf Leistung gegen (faire) Gegenleistung abstelle, was je nach Interpretation der Bedingungen einer Einwilligung schon nicht möglich ist.

  13. Danke an den Autor für diesen sehr gut dargestellten Artikel!

    Frage:
    Wenn man daher eine “minimalistische” Webseite betreibt und abgesehen von einem einzigen, PHP-bedingten “Session-Cockie” (welches nach dem Beenden der Sitzung ohnehin gelöscht wird) keine weiteren Coockies setzt, keine Analyse- oder Tracking-Technologien einsetzt usw. müsste lediglich ein Hinweis darauf (und natürlich auch auf die anderen Dinge wie die üblichen Logfiles die beim Provider gespeichert werden, die Rechte der Besucher usw.) ausreichen, oder?

    Danke vorab für eine Stellungahme/Einschätzung dazu!

      1. Hm – ich zitiere aus dem Artikel:

        “Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies. In jedem Fall dürften folgende Cookie-Arten darunter fallen:

        – Warenkorb-Cookies eines E-Shops,
        – der Login-Status einer Community und…”

        Also Interpretation wann ein Cookie – auch ein reines, PHP-bedingtes Session-Cookie “notwendig” ist?

        Ich denke aber jeder “recht und billig denkende” Richter wird hier zur Ansicht gelangen das ein solches “Session-Cookie” für den vernünftigen Gebrauch einer Webseite “erforderlich” ist – wie soll sich die Seite denn sonst merken auf welcher Unterseite der (anonyme) Nutzer schon war – denn genau dazu dient (technisch bedingt) dieses Session-Cookie (= um den Login-Status des aktuellen Besuchers zu verwalten). Und – es wird nach Ende der Sitzung automatisiert gelöscht….

  14. Sehr guter und ausführlicher Artikel!
    Ich habe allerdings noch eine Frage zum Cookie-Banner:

    Ist es nun erforderlich ein “Full-Screen-Mode” für den Banner einzustellen? Also, dass der Benutzer ohne Aktivierung der Cookies oder ohne Schließen des Banners die Seite nicht betreten darf, bzw. dass die Seite nicht interagierbar ist?

    1. Nein, das ist nicht erforderlich. Erforderlich ist lediglich, dass keine Cookies gesetzt werden, bevor Nutzer dem zustimmen. Ob eine Cookie-Einwilligung als Zugangsschranke dienen kann, d.h. wenn Sie es von sich aus so möchten (und was im Fullscreen-Modus der Fall wäre), habe ich oben im Beitrag beschrieben.

  15. Liebes Datenschutz-Generator-Team,

    die Cookies dieser Webseite sind ebenfalls schon aktiviert, wenn ich auf individuelle Einstellungen klicken. Hier findet auch noch das Opt-Out Verfahren statt. 😉

  16. Danke für den Beitrag und die Erläuterungen.

    Session-Cookies sind ja einwilligungsfrei. Ist es trotzdem sinnvoll in der DS-Erklärung
    1. darauf hinzuweisen, dass nur ein Session-Cookie für die Dauer der Sitzung gesetzt wird oder sogar erforderlich
    2. dass ein Session-Cookie gesetzt wird (im Hinblick auf die Informationspflicht (dritte Feststellung des Gerichts in der Urteilszusammenfassung))?

  17. Vielen Dank für die nützlichen Informationen!

    Eine Frage die mir bleibt: Ist im Fall einer “AdWords” Nutzung zur Anzeigenschaltung für die eigene Page jedoch ohne Werbeeinbelendungen und Remarketing auf der eigenen Page und auch ohne die Nutzung von “Analytics” oder anderen Trackingdiensten ein Opt-In notwendig? Genügt in dem Fall der allg. Cookiehinweis bzgl. der Nutzung erfordelicher Cookies?

    Vielen Dank 🙂

  18. Wie sieht es denn in diesem Zusammenhang mit den Session-Cookies der VG-Wort aus (Verwertungsgesellschaft Wort)? Die dienen dazu, dass Webautoren ihre gesetzliche Vergütung aus ihren Werken erhalten können. Damit sind sie für Autoren ja “unbedingt erforderlich” ???

  19. Vielen Dank Herr Schwenke für Ihre wie immer super Einschätzung, die auch Rechtslaien verstehen.
    Was ich beim Urteil vermisst habe ist eine Unterteilung bei den essentiellen Cookies. Logisch ist ein Cookie für den Hinweis, dass ich den Hinweis gelesen habe. Sonst würde der Cookiehinweis ja auf jeder Unterseite beim surfen der Webseite wieder anfallen. Aber was ist mit cookies, die ich als Blogger essentiell für den Betrieb meines Blogs empfinde, der cookie aber für den reinen Betrieb der Seite nicht notwendig wäre. Beispiel ein cookie der VG Wort. Nur wenn der cookie zählt, gibt es auch Geld. Und das ist eben meine Einnahmequelle. Ohne den cookie keine Webseite. Aber für den Betrieb aus technischer Hinsicht wäre er nicht notwendig. Wie würden Sie den vg Wort cookie sehen. Essentiell oder nicht? Genügt hier wirklich die Einschätzung des Bloggers selbst?
    Würde mich über Ihre Meinung freuen.
    VG
    S. Becker

    1. Die essentiellen Cookies hat das Gericht nicht gemeint, s. Beitrag. Und was essentiell bei VG Wort angeht – eher nicht, außer Sie vertreten die (zumindest derzeit) kühne Ansicht, dass die Finanzierung eines Angebotes essentiell in dem Sinne ist.

  20. zu #comment-3450:

    Hallo Dr. Schwenke,

    es werden Cookies vor dem Opt-In gesetzt, ob mit Chrome getestet oder mit
    Firefox. Ein Cookie heißt “PHPSESSID” und ist also ein generisches Cookie, dass irgendwo vom Theme oder von einem Plugin via session_start() gesetzt wird. Das zweite ist sehr seltsam, denn es dürfte gar nicht angezeigt werden: es heißt “tk_ai”, was “track anonymous ID” bedeutet und von Woocommerce kommt. Eindeutig ein Tracking Cookie!! Seltsam darum, weil es eigtl. nur fürs Backend gedacht ist, lt. Woocommerce-Docs:
    https://docs.woocommerce.com/document/woocommerce-cookies/

    Warum aber werden die Cookies auf einer statisch gecachten Seite gesetzt, selbst dann, wenn JS deaktiviert ist?
    Weil der Theme-Autor etwas sehr Merkwürdiges tut: er lädt das Custom CSS der Theme-Konfiguration über einen AJAX-Call. Das erste Dumme dabei ist, dass WP Rocket das so nicht erkennt und also auch nicht einsammelt (nun, obwohl da steht: link rel=”stylesheet”). Das zweite ist, dass AJAX einen vollen WP-Bootstrap ausführt und dies im kritischen Renderpfad tut, was die Seite ca. um 1 Sekunde verlangsamt (ohne geholtes CSS kein Rendern). Abgesehen davon aber werden durch diesen Script-Aufruf auch die Cookies gesetzt, weil eben WP zum Laufen gezwungen wurde.

    Abhilfe: Den AJAX-Aufruf verhindern und dessen Output stattdessen in eine statische CSS-Datei unterhalb von wp-content/cache schreiben. Das wird dann 1.) von Rocket erkannt und 2.) werden die Cookies nicht mehr vor der Borlabs-Zustimmung gesetzt.

    In der Liste der essentiellen Cookies von Borlabs fehlen wohl noch die Woo-Cookies (siehe Link oben), die aber erst beim Warenkorbfüllen zum Tragen kommen sollten.

    P.S.: Das Laden der https://ajax.googleapis.com/ajax/libs/jqueryui/1.9.0/themes/base/jquery-ui.css ist in zweierlei Hinsicht überflüssig. 1.) Wird das CSS hier auf der Seite gar nicht benötigt und verlängert insbesondere durch das Holen von einem externen Server die Ladezeit. 2.) sollte es überhaupt besser lokal geladen werden. Aus bekannten Gründen … 🙂

    Beste Grüße!

  21. Gibt es eine DSGVO konform und KOSTENLOSE Alternative zu Borlabs Cookies?
    Eine weitere Frage ist: Wo kann ich sehen, welche Cookies meine Webseite setzt?

    Danke!
    Sandra

  22. Erachten Sie es als zulässig die Einwilligung durch Klicken eines beliebigen Links auf der Website zu erteilen (statt Klick auf “Ok” Button). ?

  23. Zunächst einmal besten Dank für die sehr verständliche “Aufbröselung” des aktuellen EuGH Urteils “Keine Einwillgung, keine Cookies”

    Ich habe für einen Bekannten privat eine Website erstellt, die er kommerziell nutzt.
    Auf der Site werden keinerlei Cookies direkt gesetzt. Von Google wird aber ein Cookie gesetzt, weil die Site eine (Google Maps) Anfahrtskizze enthält.
    Die Datenschutzerklärung der Site enthält den obligatorischen Hinweis auf Google Cookies und die entsprechenden OptOut Links.

    Frage:
    Muss auch in diesem Fall eine explizite Einwilligung des Website Besuchers eingeholt werden, bevor er die Anfahrtskizze sehen kann?

  24. Vielen Dank für diesen tollen zusammengefassten Artikel, Herr Dr. Schwenke. Ich muss sagen, dass das Cookie-Thema langsam überhand nimmt bzw. mich als Betreiber einer Website zunehmend verwirrt. Gefühlt bliebt mir die Erkenntnis, dass es sehr viel Interpretationsspielraum gibt und viele Details völlig unklar sind. Daher muss ich leider die Frage stelle und bitte um Vergebung. 🙂

    Wir betreiben einen Blog bzw. ein Online-Magazin mit journalistischen Inhalten mit WordPress als Plattform. Die Seite kommt vollständig ohne Werbung aus und wir platzieren somit keine “Bildchen”, wo Leser drauf klicken können, um auf anderen Portalen etwas zu kaufen. Natürlich kommen auch wir nicht ohne “Marketing-Maßnahmen” aus und erfassen statistische Daten über WP-Statistics (selbst gehostet), die anonymisiert in der Datenbank gespeichert werden. Wir möchten ja wissen, ob unsere Artikel wirklich gelesen werden oder nur Bots auf der Suche nach Futter sind. Mit den Daten optimieren wir so zu sagen unsere Blacklist, damit weniger Bots auf unsere Plattform kommen. 🙂

    Wir nehmen mit unserer Website kein Geld ein und betreiben diese sozusagen privat. Müssen wir jetzt auch solche kostenpflichtigen Cookie-Lösungen einsetzen um Rechtssicher zu sein oder zielen diese ganzen Entscheidungen eher auf Betreiber ab, die damit Geld verdienen wollen?

    Wo hört für mich als privater Betreiber der “Spaß” auf?

    Viele Grüße
    Martin Neumann

  25. Sehr nützliche Übersicht und Stellungnahme zum Thema – vielen Dank!

    Zu Ihrem Kommentar zu Matomo noch zwei Fragen:

    Man kann Matomo so konfigurieren, dass keine Cookies verwendet werden. Dann erübrigt sich ein Opt-In doch, oder nicht?

    Und was genau ist mit “eigenem” Server gemeint? Muss das ein Rechner sein, der bei mir “unterm Tisch” steht? Die meisten (außer vllt. größere Firmen) dürften ihre Webserver ja kaum in-house betreiben, sondern dafür einen Hoster verwenden und dieser hat in aller Regel Zugriff auf diese und die darauf befindlichen Daten, zumindest theoretisch.

    1. Mit dem eigenen Server ist gemeint, dass man selbst in Hinblick auf den Betrieb von Matomo weisungsbefugt ist. Das ist auch der Fall, wenn der Server vom Webhoster auf Grundlage eines Auftragsverarbeitungsvertrages technisch verwaltet wird.

  26. Vielen Dank für den interessanten Beitrag, der etwas Licht ins Dunkle gebracht hat!

    Ich habe noch eine Verständnisfrage. In Ihrem Beispiel führen Sie die Umsetzung der Lufthansa auf, die auf den ersten Blick auf den Pop Up das neue Urteil bereits umsetzen. Beim genaueren Hinsehen in die Datenschutzerklärung stelle ich fest, dass Lufthansa zu “Notwendig” unterschiedliche Dienste, so auch Google Analytics, zuordnet. Sogar ein Dienst “Exactag” wird hier als “Betriebsnotwendig” eingestuft, die Daten werden lt. Datenschutzerklärung jedoch zu Marketing- und Optimierungszwecken gespeichert.

    Kann das so rechtens sein oder ist das nur ein Versuch, hier ungestört weiter zu Tracken/zu vermarkten?

    Vielen Dank für Ihre Rückmeldung!

    1. Dann wäre das, zumindest ausgehend davon, was allgemeinhin als “notwendig” verstanden wird, nicht zulässig. Das Beispiel hatte ich wegen der nicht-vorangehakten Kontrollkästchen verwendet und werde es noch anpassen.

  27. In diesem Beitrag wird das Beispiel Lufthansa erwähnt – und dass diese Implementierung theoretisch konform zur Rechtssprechung ist (mit den erwähnten Unklarheiten über die einzelne Abwahl).

    *ABER* was in diesem Artikel nicht erwähnt wird: die Implementierung auf lufthansa.de (welcher auch die selbe Implementierung wie auf swiss.com ist) ist nur Schall & Rauch. Tatsächlich werden beim ersten Besuch der Website bereits alle Tracking Cookies, die die Webseite verwenden will, gesetzt.

    Wenn man nun im “Consent” Overlay nur den “funktionalen” Cookie zustimmt, dann hat diese Zustimmung keinerlei Auswirkungen. Tatsächlich spielt es keine Rolle, welche Auswahl man trifft: es werden immer die selben Cookies gesetzt – inklusive aller Tracking Cookies.

  28. Danke für den sehr informativen Artikel zu dem Thema.

    Eine Frage habe ich noch:
    Matomo (Piwik Nachfolger) bietet die Möglichkeit, mit einer Einstellung generell auf Cookies zu verzichten. Natürlich leidet die Genauigkeit in manchen Bereichen etwas, aber es soll funktionieren:
    https://matomo.org/faq/general/faq_157/
    https://matomo.org/faq/general/faq_156/

    Welche Auswirkungen hat das jetzt auf die ganze Cookie / Datenschutz-Thematik:
    – Kann man das in der Cookiefreien Version ohne vorherige Einwilligung des Besuchers laufen lassen
    – Die Cookie-Einwilligung braucht man dafür dann ja nicht (ohne Cookies)

  29. Nochmal eine Frage zum Tracking mit Matomo:
    Tracking mit Matomo kann ja auch ohne das Setzen von Cookies erfolgen (https://matomo.org/faq/general/faq_157/).
    Wiederkehrende Besucher können dadurch nicht erkannt werden, jedoch werden offenbar Verfahren (IP Adresse, nicht näher erläutertes Fingerprinting) eingesetzt, um den Nutzer bei seinen Aktivitäten während seines Besuches identifizieren zu können (https://matomo.org/faq/general/faq_156/)

    Wie schätzen Sie diese Vorgehensweise ein? Sehen Sie hier auch ein aktives Opt-In als erforderlich an?

    1. Diese Frage stellt sich mir auch, da der EuGH auch anonyme Cookies für einwilligungspflichtig hält: „Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind“ (s. RN 107 http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1). Da Fingerprinting mit Cookies gleich gesetzt wird (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp224_en.pdf), wäre also auch in diesem Fall eine Einwilligung erforderlich.

  30. Ihr armen Leut da Draußen,

    da müssen wir nun allesamt mit derartigem Schmarrn unsere kurze und teure Lebenszeit vergeuden. Die Herrschaften aus Brüssel brauchen wohl eine Daseinsberechtigung und lassen sich alle Nase lang wieder irgendwelchen neuen und völlig überzogenen Schwachsinn einfallen, der mehr Schaden anrichtet als es Vorteile brächte. Vor was nur haben die Datenschutztfetischisten so viel Angst? Sollen sie doch Zuhause bleiben, Offline gehen und sich einsperren, dann kosten sie uns wenigstens weder Zeit noch Geld. Fast 25 Jahre funktionierte das Ganze jetzt ohne Probleme, und die beiden größten Datenkraken wie Goole und Facebook haben uns diesen Müll erst eingebrockt und halten sich selbst noch immer und nach wie vor nicht daran. Die Politik versagt auf ganzer Linie, die sollen sich endlich um das kümmern, was wirklich wichtig ist, wie eine tatsächlich funktionierende Mietpreisbremse ( darüber lachen alle Immobilienbesitzer nur! ), oder darum, unsere Alten, die dieses Land zu dem gemacht haben was es ist, nicht in ihren Betten verfaulen zu lassen, oder um Kindesarmut, etc. etc.. Mit den Milliarden, die jedes Jahr von inkompetenten Behördenvertretern aus dem Fenster geworfen werden, könnte man ALLEN Menschen in Deutschland eine First-Class Bildung zukommen lassen, was sich am Ende nur positiv auf ALLE auswirken würde.

    Unfassbar, was für ein paradoxer Unfug! Armes, reiches Land, über welch 1.te-Land Probleme wir uns ständig einen Kopf machen müssen, ist ja nur noch lächerlich.

    Alles Gute euch..

  31. Hallo Herr Dr. Schwenke,

    ich bin leider kein Jurist, könnten Sie bite kurz erläutern, an welcher Stelle in dem Urteil hervor geht, dass Cookies nur auf Grundlage einer Einwilligung gesetzt werden dürfen.
    Ich konnte nur lesen, wie eine Einwilligung ausgestaltet werden, bzw. eben auch wie diese nicht richtig ausgestaltet ist.
    Was ist mit anderen, denkbaren Rechtsgrundlagen der DSGVO. Ist die DSGVO hier überhaupt die einschlägige Norm?

    Ich freue mich auf Ihre Antwort – danke und schöne Grüße

  32. Eine Frage kommt mir immer zu kurz – oder ich überlese es ständig: Muss man denn als Betreiber einer WordPress-Website auf die bei Aufruf dieser Seite von WordPress(!) gesetzten Cookies – siehe https://de.support.wordpress.com/cookies/ – hinweisen, und falls ja, wie konkret? Andere Cookies werden bei mir nämlich gar nicht gesetzt, sondern höchstens nach Linkaufruf zu externen Websites von diesen.

  33. Hallo,
    sehr interresanter Artikel – Vielen Dank!
    Aber wie ist das jetzt eigentlich mit Google Analytics und dem GoogleTagManager? Bisher durfte man die GA-Scripte einbinden, wenn in der Datenschutzerklärung ein Link zum Browser-PlugIn ‘Deaktivieren des GA-Trackings’ angegeben war. Da dieses Vorgehen allerdings den OptOut Fall abbildet sollte das so in Zukunft nocht mehr rechtens sein oder?
    Bedeutet das man erst nach Einwilligung mittels RELOAD der Seite die GA-Scripte einbinden dürfte?
    Mit freundlichem Gruß
    Dr. Winkler

  34. Guten Tag,

    wird ein Cookie Banner auch benötigt, wenn nur technische notwendige Cookies eingesetzt werden? Oder reicht hier der Hinweis auf die Datenschutzerklärung?

    Vielen Dank

  35. Hallo Herr Dr. Schwenke,
    was mir an der Thematik noch nicht ganz klar ist: Wenn man eine Website mit Informationen und Shop betreibt, kann man dann den für den Shop notwendigen Cookie gleich bei Website-Aufruf setzen oder erst, wenn tatsächlich der Button „in den Warenkorb legen“ oder das Login aufs Benutzerkonto betätigt werden?
    Viele Grüße
    M. Haven

    1. Für da notwendigen Cookies braucht es keiner Einwilligung. Die Einwilligungen sind praktisch nur für die Marketing-Cookies erforderlich. Daher können die notwendigen Cookies schon beim Aufruf der Website gesetzt werden.

  36. Danke für den übersichtlichen Artikel!

    Bedeutet Opt In in diesem Fall auch zwangsläufig, dass der Nutzer dem Einsatz von Trackin Cookies gezielt via Button/CTO, z.B, mit “Nur essenzielle Cookies akzeptieren” oder “Nein” o.ä. widersprechen muss, oder könnte auch nur ein Button/CTO im Banner zur Zustimmung, also z.B. “Akzeptieren” oder “OK, platziert werden?

    Anders gefragt: Muss es beide Buttons Zustimmen und Ablehnen geben oder reicht auch nur einer? Die Einstellungen/Optionen könnten ja im Infotext verlinkt sein.

    Grüße
    Bastian

    1. Ich denke, dass die Datenschutzbehören (und Gerichte) die Freiwilligkeit der Einwilligung ablehnen würden, wenn die Nutzer Cookies nur zustimmen und nicht ablehnen können. Das auch, obwohl man m.E. durchaus damit argumentieren kann, dass Nutzer gar nicht zustimmen müssen, solange ein Onlineangebot (trotz des dann permaneneten Cookie-Banners) weiterhin nutzbar ist.

  37. Hallo Herr Dr. Schwenke,

    ich versuche gerade Borlabs Cookie bestmöglich einzurichten, stelle aber fest, dass ich anscheinend einige Cookies gar nicht erwische. Ich habe zwar Google Analytics anlegen können, die Ads von Bing sowie Doubleclick von Google scheinen sich aber trotz Cookie Banner nicht verhindern zu lassen. Das wären aber, soweit ich es verstehe, Cookies, die nicht ohne Einwilligung gesetzt werden dürften, oder? Wie finde ich denn jetzt heraus, wie ich das Setzen dieser Cookies verhindere? Es ist ja leider nicht mit dem Einfügen eines Cookie Banners getan. Herauszufinden, welche Cookies eigentlich gesetzt werden und wie man es technisch verhindert, gestaltet sich für mich gerade als wirklich kompliziert.

    Und vom Borlabs Blog wird vorgeschlagen, als ersten (farblich hervorgehobenen) Button “Alles akzeptieren” zu setzen. Das wäre darauf ausgelegt, dass die meisten Benutzer nicht lange lesen, sondern einfach den offensichtlichen “Standardbutton” klicken. Damit würden sie dann trotz ursprünglich fehlender Haken bei einigen Cookie-Kategorien doch alle auswählen. Das widerspricht auf den ersten Blick nicht den Vorgaben, aber wäre das auch so zulässig?

    Danke im Voraus und viele Grüße
    Dirk

  38. Hallo Herr Dr. Schwenke, erst auch von mir mal vielen Dank für den sehr informativen Artikel.
    Wir betreiben ein Online Reisebüro und haben Angebote verschiedener Reiseveranstalter im Angebot. Z.t. verlinken wir auf deren Seiten, im gesetzten Cookie ist unsere Agenturnummer vermerkt – so dass der Reiseveranstalter sieht, von welchem Reisebuero die Buchung kommt. Es geht hier nicht um die großen Buchungsmaschinen! Diese Praxis ist gängig in der Branche und z.T. auch über die Agenturverträge geregelt. Unsere Website erfüllt den (virtuellen) Beratungsauftrag, den wir als Agentur (Handelvertreter) haben und das wird über eine Provision vom Reiseveranstalter vergütet. Ist dann ein solcher Cookie ein notwendiger ? Weil ja sonst ein Vetragspartner der Reisebuchung nicht erführe, wer dafür vergütet werden muss. Abgesehen davon, müssen wir ja lt. Reisevertragsrecht auch nach DSGVO die Kundendaten als Vermittler bekommen, mal abgesehen davon, dass ohne Agenturnummern Übermittlung, wir ja auch keine Vergütung bekämen??
    Beste Grüße

    Tom NOlte

  39. WIe sieht das z.B. bei einer Seite aus, die Salesforce DMP (Krux) verwendet.
    Im Consent Manager der Seite kann man hier zwar einen Opt-Out Cookie setzen,
    ( _kuid_ = OPTOUT ), aber die Seite kommuniziert munter weiter mit dem krxd.net Server.

    Kann man davon ausgehen, dass der Anbieter den Opt-Out cookie berücksichtigt und die Daten nicht auswertet. Wäre das compliant?

  40. Es wird immer von Speicherung von Cookies (oder ähnlichen Methoden … Fingerprinting & Co.) gesprochen.

    Wie sieht es aber mit dem “puren” Kontakt zu einem Drittanbieter aus, ohne dass hierbei Cookie-Informationen ausgetauscht werden.
    Bei jedem Request (und sei es nur ein Bild-Pixel, oder das Laden eines Javascripts) zu einem “externen” Server kann die Request-URL mit Parametern angereichert werden, die ebenfalls ein Tracking ermöglichen. Mal abgesehen, dass die IP Adresse es browsers sowiso übertragen wird.

    Aus meiner Sicht müsste eine solche Kommunkation zu einem Drittanbieter ebenfalls in einer “Consent-Lösung” aufgelistet und ein Opt-In eingeholt werden.
    Wie sehen Sie das?

    1. Ich würde die Richtlinie nicht so weit verstehen: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”
      Aber ich gebe zu, wenn schon Fingerprints oder Web-Beacons (z.B. von Newslettern abgerufene kleine Grafiken) mitumfasst werden, warum nicht auch die IP-Adressen oder alle anderen Daten “von der Seite des Nutzers”? Dann würde jedoch jeglicher Nutzerkontakt einwilligungspflichtig werden. Außer man versteht den Begriff der notwendigen Cookies/Informationen weiter. Am Ende ist es also mehr Politik als Recht.

      1. Auf manchen Seiten sieht man, dass Analytics-Cookies nun bspw. in einer Kategorie “Analytical” geführt werden, die nicht abgewählt werden kann. Verargumentiert wird das damit, dass diese Cookies zum Betrieb der Seite erforderlich sind, weil die Statistiken “zur Fehlerbehebung und Überwachung der einwandfreien Funktion der Webseite dienen”. Im Prinzip ist das doch nur ein Umweg, um weiterhin Daten zu sammeln. Aber auch rechtlich in Ordnung? Wie sehen Sie das?

      2. Das ist eine mutige Ansicht, da sie den Datenschutzbehörden (und wohl auch dem EuGH) widerspricht. Wobei die geplante ePrivacy-VO nach derzeitigem Stand vorsieht, dass reine Reichweitenmessung ohne Einwilligung zulässig sein soll. Die Frage ist, ob GA nur der Reichweitenmessung dient oder die Daten nicht doch für Profilbildung zu Marketingzwecken verwendet werden. M.W. trifft die zweite Alternative zu.

  41. Warum holen die großen Verlage oder Städte sich keine Einwilligung?

    Ein paar Beispiele von vielen:

    – sz.de
    – berlin.de
    – muenchen.de

    usw.

    Gilt hier eine Sonderregelung oder ignorieren die schlichtweg die Richtlinie?

    1. Weil Sie sehr wahrscheinlich das Argument vertreten, dass in Deutschland noch § 15 Abs. 3 TMG gilt (dort steht keine Opt-In-Pflicht) und der Gesetzgeber die Vorschrift erst ändern muss. Die Gegenseite meint, dass die Einwilligung in § 15 Abs. 3 TMG hingelesen werden muss (der BGH scheint das auch vorzuhaben).

  42. Für Webseitenbetreiber welche den Facebook Pixel mit Opt-In nutzen, verbessert sich dann m.M. nach auch die Qualität der Custom Audience Listen.

    Es kommem nur Nutzer in die Liste welche sich für das Thema interessieren.

  43. Sehr schöne ausarbeitung,

    aber warum denkt der Eugh nich daran Browser bedingt, vor dem aufrufen einer Webseite die Cookie Bestätigung einzuholen? Wenn man die seite nutzen will muss man einverstanden sein. Und wenn man es nicht ist kann man die Seite einfach nicht nutzen. Das würde das Problem doch wesentlich vereinfachen. Und dabei wird niemand der Cookies nicht verwenden will geschädigt. Das ist dann einfach ihr Problem wenn sie mit dem heutigen “standart” nicht mithalten wollen.

  44. Laut Art. 7.1 der DSGVO muss man die Einwilligung wohl dokumentieren, richtig?

    Sie meinten, der Nachweis eines einwilligungstaugliches System genüge.
    Wie ist das gemeint? Also genügt etwa nur die prinzipielle Möglichkeit oder muss man praktisch und tatsächlich alle User-Zustimmungen tracken und speichern (lassen)?

    Das Problem ist ja die Technik bzw. das System hierfür! Scheint ja technisch aufwendig zu sein. Und das hier oft erwähnte Borlabs kann das ja nicht, wenn ich das richtig gesehen habe. Leider verlangen viele Anbieter, die Nutzer-Zustimmungen wohl dokumentieren, hierfür konstant um die 10€ pro Monat. Das ist ja mehr als mein Hosting kostet! Schrecklich!!!

    Müssen wir, die Cookies einsetzen, jetzt etwa alle sowas buchen?

    Prüft ja vermutlich ohnehin keiner (bei allen kleineren Websitebetreibern) und kann von außen ja vermutlich auch keiner erkennen, ob ich oder ob ich nicht als Websitebetreiber die Cookie-Zustimmungen dokumentiere, oder?

    Würde ein möglicher relevanter Fall bzgl. der Dokumentationspflicht also überhaupt eintreten? Denn ich als Websitebesucher kann die Folgen von Analyse und Marketing-Cookies doch im Nachgang ohnehin nicht oder kaum an einer bestimmten Website bzw. an einer einzelnen Zustimmung auf einer bestimmten Site festmachen, oder?
    Also die Erkenntnisse und Folgen aus Analyse-Cookies (wo komm ich her, was habe ich wo wie lange gemacht, wo geh ich hin) bekomme ich als User ja nie direkt mit und kann ich somit ja nie in Anlehnung meiner jeweiligen Cookie-Zustimmung direkt überprüfen / bemerken. Bei Marketing-Cookies könnte ich als Surfer unter Umständen bestimmte Folgen vermutlich bemerken, richtig? Also wohl ganz konkrete Werbeeinblendungen durch große Anbieter, die bestimmte Produkte anbieten – was ja auf die Mehrzahl der Websitebetreiber nicht zutrifft.

    Doch selbst wenn ich als Besucher jetzt bspw. bei einen Onlineshop diese Cookies verweigert habe und im Nachgang trotzdem(!) auf einigen Seiten Werbung von genau diesem Shop sehe, mach ich mir als Besucher doch nicht die Mühe (inkl. persönlichen Kosten), einen Anwalt prüfen zu lassen (inkl. optionaler Abmahnung), ob dieser Onlineshop meine Cookie-Einstellung jetzt auch wirklich sauber gespeichert hat, danach auch wirklich handelt und ggf. trotz meiner individueller Marketing-Cookie-Ablehnung mir hier und da Werbung einspielen lässt. Wie soll bei einer anonymisierten Speicherung (also ohne genaue IP) auch überhaupt eine nachträglich Zuordnung bzw. ein tatsächlicher Beweis für genau meine persönliche Cookie-Einstellung erbracht werden? Naja, die letzten Fragen sind vermutlich zu technischer Natur! Aber vielleicht haben diese ja auch damit zu tun, dass immer noch sehr viele Websites die ganze Geschichte noch nicht entsprechend umsetzen und es auch einige Consents-Banner-Lösungen (bspw. Borlabs) ohne Zustimmungs-Dokumentation angeboten werden.

  45. Danke für die schnelle Rückmeldung!
    Sie meinen also, das eine Speicherung der Einwilligungen (gemäß Art. 7.1 der DSGVO) das Gegenteil von Datenschutz wäre.
    Irgendwie nachvollziehbar, aber gleichzeitig zeigt es auch wie schräg und paradox die ganze Thematik irgendwie ist (kein Wunder es dauert so lange bis diese e-privacy Verordnung definiert ist)!

    Wir brauchen also kein solchen Einwilligungs-Dokumentations-Anbieter für 10€ im Monat buchen oder Angst vor einer Abmahnung haben, wenn wir es nicht haben, richtig?

    Wirklich verwirrend! Einerseits steht da im DGSVO ganz klar, dass man die Einwilligungen beweisen bzw. nachweisen können muss (und es gibt auch schon bereits viele techn. Anbieter hierfür), andererseits machen das noch sehr wenige Website –nicht mal ein initiales Cookie-Blocking und / oder ein Cookie-Opt-In. Wundert mich, dass da keine Abmahnwelle läuft?

  46. Warum darf die Kopplung bei “Journalistische Angeboten” nicht erfolgen?

    Ich habe wirklich viel gelesen in den letzten Wochen. Warum muss ich journalistische Inhalte kostenlos anbieten? Ich selbst (als Firma) muss für die Erstellung der Inhalte (freie Mitarbeiter) ja auch bezahlen. Solche kostenlosen Angebot finanzieren sich halt durch Werbung. Auch der Einsatz eines Anti-Adblock Script ist angeblich unzulässig.

    Wenn ich mir die großen Seiten ansehe, wie Bild, Chip, Heise oder ComputerBase … Dort wird noch in keiner Weise die neue Cookie-Richtlinie umgesetzt. Warten diese alle erst auf Prozesse?

  47. Guten Tag Herr Schwenke,

    was sagen Sie zu folgendem Sachverhalt, wir praktizieren das aktuell so und sind hier der Meinung, dass das rechtlich im Rahmen liegt.

    Anonymes Tracking basierend auf der aktuellen Session

    • Die IP-Adresse des Besuchers wird beim Einstieg nicht erfasst. Darüber hinaus wird auf
    die Erfassung von personenbeziehbaren Daten wie zum Beispiel die Bestellnummer oder
    die Kundennummer verzichtet. Somit fehlt jeder Personenbezug und das anonyme
    Tracking fällt nicht unter die Regelungen der DSGVO und E-Privacy Verordnung.
    • Die Daten werden nur innerhalb einer Sitzung erfasst und zugeordnet. Es gibt dabei
    keinen Bezug zwischen 2 Sitzungen auf einem Gerät. Besucht der Nutzer die Website erneut, nicht in der aktuellen Sitzung, wird immer bevor Google Analytics ausgeführt wird, alle Cookies gelöscht. Damit ist keine Verknüpfung des pseudonymisierten Nutzers über unterschiedliche Sitzungen Analytics nicht möglich.

    Der Nutzer hat die Wahl
    Der Besucher hat folgende Möglichkeiten

    Standard: Nutzer klickt Ok, es wird nichts anderes ausgewählt.

    Das Verfahren “anonymes Tracking” wird wie oben beschrieben eingesetzt.

    Er wählt aktiv die Option “Statistik” aus

    Cookies werden persistiert – werden bei der nächsten Sitzung nicht gelöscht.

    Er tut nichts und ignoriert das Cookie-Banner oder er klickt das Banner weg
    • Das Verfahren “anonymes Tracking” wird wie oben beschrieben eingesetzt.

    Freie Wahl zur Anpassung des Cookie

    Der Nutzer kann jederzeit in der Datenschutzerklärung die Cookie-Einstellungen anpassen.

    1. Ohne dies in der Kürze verbindlich beurteilen zu könenn, halte ich es derzeit für zulässig. In seiner Rechtsprechung unterscheidet der EuGH, wie auch die E-Privacy-RL, jedoch nicht zwischen personenbezogenen und anonymen Cookies (es geht in erster Linie um den Schutz der Privatsphäre auf dem Gerät und nicht um den Schutz personenbezogener Daten). D.h. sollte der BGH diesen Maßstab einführen, würden die strengeren Regeln der ePrivacyRL der DSGVO vorgehen und m.E. wäre ein Opt-In notwendig.

  48. Lieber Dr. Schwenke!
    Wie immer toller Zusammenfassung!!
    Zwei Frage, die sich mir immer wieder stellen:
    1: Wenn ich meine Site z.B. cookieless betreibe und dahinter ein CMS liegt, wo Redakteure z.B. ein iFrame einbinden, dass Cookies setzt oder auch ein Javascript einbinden, dass Cookies setzt.
    Wie stelle ich dann sicher, dass die “neuen” Cookies entdeckt werden?
    2: Oder auch bei z.B. beim Borland Labs Banner, wo keine aktives Crawling nach Cookies stattfindet?
    Früher oder später lande ich damit doch wieder bei Cookiebot, etc. – also einem Anbieter, der regelmässig meine Seite crawlt und meine Cookies aufzählt?

    1. 1. Das können Sie nur feststellen, indem Sie die Dokumentation lesen oder die Webseite aufrufen und schauen, ob Cookies hinzugekommen sind.

      2. Das ist richtig, wenn Sie ein größeres Projekt betreiben, bei dem vor allem Mitarbeiter selbst Inhalte, Widgets, Code, etc. einbinden können, empfiehlt sich ein Cookie-Opt-In-Tool mit einer automatischen Cookie-Erkennung und automatischen Updates (das ist übrigens auch der Grund, warum wir kein Abo & automatisch Updates für die mit unserem Generator erstellten Datenschutzerklärungen verlangen; während die Cookie-Angaben häufiger aktualisiert werden müssen, bedarf eine Datenschutzerklärung in der Regel keiner häufigen Updates).

  49. Hallo Herr Dr. Schwenke,
    gibt es bereits eine Entscheidung des BGH und im Postivfall eine Beurteilung von ihnen dazu? Der Termin war ja Ende Januar.

    Vielen Dank für die verständliche Aufklärung.
    Viele Grüße

  50. Sehr geehrter Herr Dr. Schwenke,

    meine Webseiten verwenden generell keine Cookies, mit Ausnahme des essentiellen Login Session Cookies. Ich möchte jedoch das eine oder andere selbst programmierte Modul anbieten, welche zusätzlich noch ein Session Cookie benötigen.

    Muss ich dafür einen Cookie Consent eines Drittanbieters verwenden oder kann ich diesen Consent auch selbst programmieren und verwenden?

    Wenn ja, reicht es die Entscheidung des Nutzers in ein eigenes Cookie zu speichern oder muss ich zusätzlich die Auswahl jedes einzelnen Webseitenbesuchers am Server speichern und protokollieren? gibt es spezielle Vorgaben wie detailliert die Cookies beschrieben werden müssen?

    Danke für die Antworten.
    Freundliche Grüße.

  51. Sehr geehrter Herr Dr. Schwenke,

    die meisten Cookie Consent Anbieter haben Lösungen, die von deren Servern bereitgestellt werden. Sprich einen Javascript-Code, welcher eingebunden wird. Technisch betrachtet, bedeutet das, dass die Anbieter bevor der Nutzer überhaupt eine Zustimmung geben kann über den Request, der vom Browser zu dem Server des Aabieters ausgelöst wird, getrackt werden kann („server side cookies“).
    Ist dieser Sachverhalt bedenklich? Wäre es denkbar, dass der Gesetzgeber sagt, dass dies unzulässig ist? Und in wiefern ist man als Webseitenbetreiber durch entsprechende Verträge mit dem jeweiligen Anbieter, dass kein Tracking auf Constent-Tool-Anbieterseite stattfindet, abgesichert?

    Danke im Voraus,
    Matthias

    1. Ich halte es nicht für bedenklich, weil dieses Feedback erforderlich ist, um den Pflichten nachzukommen. Nach meiner ersten Ansicht handelt es sich um einen Fall der Auftragsverarbeitung, die eines entsprechenden Auftragsverarbeitungsvertrages bedürfte.

  52. Vielen Dank für den ausführlichen Artikel.
    Uns als Verein stellen sich aber noch einige Fragen.
    Wir binden auf unserer Webseite Spendenanbieter wie Gooding, betterplace und andere ein. Diese setzen teilweise mehrere Cookies. Muss ich nun in unserem Consent Tool (wir nutzen Borlabs) jeden dieser Cookies anzeigen oder reicht es, den Anbieter pauschal zu nennen?
    Wenn hier jeder Cookie angezeigt werden soll, dann wird das eine ziemlich lange Liste und es kann dadurch ja auch zu technischen Problemen kommen, wenn ein Besucher einige dieser Cookies aktiviert aber eben nicht alle. Eventuell werden dann die Spenden nicht richtig zugeordnet usw.
    Kann man sich bei den Spenden als verein nicht auf berechtigtes Interesse und eine Zwangssetzung der Cookies berufen?
    Vielen Dank für Ihre Mühe
    Thomas Rapp
    1. Vorsitzender Sozialfelle e.V.

  53. Ich hatte die Einstellungen bisher so gesetzt, dass alle Cookies und Webseiteneinstellungen beim Schließen der Browsers automatisch gelöscht werden. So konnte ich fröhlich surfen und beim Wunsch nach Diskretion konnte ich den Browser einfach kurz schließen und danach sicher sein, dass alle weg ist.

    Dank des neuen tollen EU- Urteils werde ich nun jedes mal auf jeder kack Seite mit den Cookie- Einstellungen belästigt. Jedes mal aufs Neue. War klar, dass es mal wieder auf eine Verschlimmbesserung hinausläuft. Schließlich ist alles was mit EU zutun hat, entweder teuer oder schachsinnig!

  54. Vielen Dank für den Beitrag, der einiges klärt. Ich habe noch folgende Frage: Im Video “Internet-Cookies: gut gemeint, schlecht gemacht | extra 3 | NDR” (YouTube, 15.10.2020) wird bei 2:30 gesagt: “Nun schreibt die EU aber eigentlich folgendes vor: Die Entscheidung gegen Cookies darf für die User nicht komplizierter sein, als die Entscheidung für Cookies. Vorbildlich ist eine Gestaltung, wenn [..] eine Wahlfreiheit zwischen zwei gleich gestaltetes Auswahlmöglichkeiten besteht”.
    Die Auswahlmöglichkeiten sind aber bei 99% der Cookie Banner nicht gleich gestaltet, sondern der “Alle akzeptieren” Button ist meist präsenter, der Abwählen-Button grau und möglichst unsichtbar. Ist das so zulässig? Leider nennt extra 3 keine Quelle.

  55. Hallo Herr Dr. Schwenke,
    vielen Dank für den ausführlichen Beitrag.
    Verstehe ich das richtig, dass ich damit bei einem geräteübergreifenden Tracking, Einwilligungen für das jeweils genutzte Gerät einholen muss, da es auf das Auslesen der Informationen auf dem jeweils genutzten Endgerät ankommt?
    VG

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert