Datenschutz im Internet: Was gilt für den Umgang mit Cookies?

Spätestens seit der großen DSGVO-Reform kennt wirklich jeder den Begriff Cookies. Dass es sich dabei nicht um amerikanische Gebäckspezialitäten handelt, hat sich mittlerweile auch in nichtunternehmerischen Kreisen herumgesprochen. Dass Cookies einen in den Wahnsinn treiben können, weiß seitdem auch fast jeder Unternehmer, der eine Homepage betreibt.

Grund: Als die DSGVO kam, waren deutsche Unternehmer in vielen Punkten recht gut vorbereitet – jedenfalls im Vergleich zu einigen europäischen Nachbarländern. Denn das Bundesdatenschutzgesetz hatte einen relativ vergleichbaren Schutz schon vor der DSGVO für Unternehmer vorgesehen. Es gab jedoch Ausnahmen. Und dazu gehörte die Frage: Was muss ich tun, wenn ich Cookies einsetzen möchte? Hier war die neue Rechtslage auch mit der DSGVO nicht eindeutig.

Zum Grundsatz: Wer Cookies einsetzt, die für den technischen Betrieb der Website nicht notwendig sind, muss sich eine ausdrückliche Zustimmung der Nutzer holen. So ist die mittlerweile klare Rechtslage. Aber was sind Cookies überhaupt und was müssen Sie als Websitebetreiber jetzt genau tun?

Was sind Cookies?

Cookies sind Textinformationen, die in Browser auf dem PC des Nutzers gespeichert werden können, wenn er eine Website besucht hat. Bei einem späteren Besuch kann der Webserver die Informationen auslesen. Dadurch kann der Besucher identifiziert, sein Login gemerkt oder ein Warenkorb gespeichert werden.

Viele Websitebetreiber mit Onlineshop verwenden Cookies aber auch, um Benutzerprofile über das Surfverhalten zu erstellen und ihm zum Beispiel zielgruppenorientierte Werbemails zuzusenden. Um sich über das Surfverhalten auf anderen Websites als der eigenen zu informieren, müssen Betreiber Tracking-Anbieter miteinbinden. Dieser registriert die Besuche von mit ihm verbunden Onlineshops, ordnet sie einzelnen Benutzern zu und stellt sie dem Onlineshop zur Verfügung, sodass dieser seinen Onlineshop entsprechend personalisieren kann.

Was ist bei Cookies erlaubt?

Das Ergebnis vorneweg: Um auf Nummer Sicher zu gehen, sollten Sie eine ausdrückliche Einwilligung Ihrer Nutzer einholen, wenn Sie Cookies verwenden möchten.

Im Detail: Ein kleiner Ausflug in die rechtlichen Grundlagen des Datenschutzrechts

Die Rechtslage zu den Cookies ist noch immer unklar. Das liegt daran, dass die DSGVO keine ausdrückliche Regelung zu Cookies vorsieht und auch die ePrivacy-VO noch nicht in Kraft ist. Und die EU-Cookie-Richtlinie hilft auch nicht weiter.

Die DSGVO verlangt, dass der Nutzer die Rechtsgrundlagen in der Datenschutzerklärung nennt. Nur leider spricht sie nicht ausdrücklich über den Datenverarbeitungsvorgang „Verwenden von Cookies“ und führt damit nicht gerade zu rechtlicher Sicherheit. Denn die DSGVO ist nur so etwas wie der große Rahmen für alle personenbezogenen Daten im Internet, enthält aber keine konkreten Datenverarbeitungsvorgänge wie „Cookies, Social Media, Newsletter“ und so weiter.

Die EU-Cookies-Richtlinie wird da genauer: Sie sieht eine ausdrückliche Einwilligung des Nutzers vor, wenn Sie Cookies setzen möchten. Problem ist nur, dass Deutschland die EU-Cookie-Richtlinie gar nicht umgesetzt wurde. Sonst gilt sie streng genommen in Deutschland nicht. Der Witz an der Sache: Deutschland müsste die Regelungen eigentlich umsetzen. Die EU-Kommission hat Deutschland aber aus der Pflicht genommen mit der Begründung, das deutsche Regelungen sähen einen genauso strengen Schutz bereits vor. Das sehen wir anders. Der Grund:

In Deutschland gibt es das Telemediengesetz, das vorschreibt: Sie müssen den Nutzer über das Setzen der Cookies unterrichten. Zudem müssen Sie ihn auf sein Widerspruchsrecht hinweisen. Denkbar ist das, indem Sie einen Banner schalten, der einen Cookie-Hinweis mit einem Link auf die Datenschutzerklärung enthält. Und damit verlangt das Gesetz weniger als die EU-Cookie-Richtlinie. Verrückt, nicht wahr?

Dann gibt es da noch die ePrivacy-Verordnung. Sie regelt spezielle Bereiche wie den Schutz personenbezogener Daten. Sie soll auch den Bereich Cookies ausdrücklich regeln. Die ePrivacy-Verordnung ist aber noch immer noch in Kraft getreten und wird es auch nicht vor 2021. Wenn überhaupt.

Man greift deshalb auf Entscheidungen des EuGU und des BGH zum Thema Cookies zurück, um einigermaßen Klarheit in die Rechtslage zu bringen. Und diese Gerichte unterscheiden zwischen notwendigen und nicht-notwendigen Cookies. Notwendig sind Cookies, die technisch für den Betrieb einer Website und deren Funktionen erforderlich sind. Dazu gehören keine Tracking Cookies. Also brauchen Sie, wenn Sie als Online-Shop solche Tracking-Cookies verwenden, eine ausdrückliche Zustimmung des Nutzers.

Das bedeutet: Sie müssen bei Cookies unterscheiden

→ Cookies ohne Einwilligung
Sie als Website-Betreiber können ein berechtigtes Interesse daran haben, bestimmte Cookies zu verwenden, ohne dass Sie dafür extra eine Einwilligung einholen müssen. Dafür keine Einwilligung einholen zu müssen spricht, dass dies Cookies geben keine Daten weitergeben.

Das betrifft:

  • Session-Cookies
  • Cookies für Logins
  • Cookies für Warenkörbe

→ Cookies mit Einwilligung
Etwas anderes gilt für Tracking- und Werbe-Cookies. Für diese brauchen Sie nach der aktuellen Rechtsprechung eine Einwilligung, wenn Sie sicher sein wollen. Denn diese die eigentlichen Funktionen der Webseite nicht zwingend notwendig. Sie geben die Daten an Dritte weiter, indem sie sie mit ihnen verknüpfen oder teilen.

Exkurs: Was sind First Party und Third Party Cookies?

Die Begriffe First Party und Third Party Cookies sind ebenfalls öfter im Umlauf. Diese sind wie folgt einzuordnen:

First Party Cookies sind Cookies, die auf Ihrer Website gesetzt werden, auf der Ihr Nutzer gerade surft. Diese gibt der Browser nicht an andere Domains, also nicht an Dritte weiter. Zu First Party Cookies gehören vor allem notwendige Cookies, Performance-Cookies, funktionale Cookies und Werbe-Cookies.

Third Party Cookies sind gleichbedeutend mit Tracking Cookies. Mit ihnen können Unternehmer den Nutzer einer Website markieren, damit sie ihn später wiedererkennen können. Unternehmer können so das Surfverhalten über längere Zeit beobachten und dann gezielt Werbung schalten. Sie als Betreiber der Website erlauben also den Unternehmern anderer Firmen, ihre Werbebanner bei sich zu setzen und dadurch Cookies zu setzen. Sie sammeln nützliche Informationen wie die Navigation Ihres Nutzers über Links, die Verweildauer auf verschiedenen Webseiten und Seitenaufrufe sowie die Häufigkeit der Seitenaufrufe.

Wie sollte ich die Anforderungen an Cookies umsetzen?

Wenn Sie auf Nummer Sicher gehen wollen, holen Sie für Tracking- und Werbe-Cookies also eine Einwilligung ein. Wie soll man nun eine ausdrückliche Zustimmung des Nutzers zur Verwendung solcher Cookies einholen?

Hier eine Checkliste, wie Sie es am besten umsetzen sollten.

  1. Der Nutzer muss aktiv zustimmen. Es geht also nicht, dass Sie einen Banner mit vorangekreuzter Checkbox integrieren. Auch ein Hinweis, nach dem man durch Weitersurfen sämtliche Cookies akzeptiert, ist unzureichend.
  2. Sorgen Sie dafür, dass der Einwilligungstext erstmals eingeblendet wird, wenn die Nutzer die Seite erstmals aufrufen. Beschreiben Sie in Ihrem Einwilligungstext so konkret wie möglich,
    • um welche Daten es geht
    • wozu die Daten genutzt werden
    • an wen Sie die Daten weitergeben
  3. Blockieren Sie die Cookies, solange und soweit der Nutzer noch nicht eingewilligt hat.

Praxistipp: Umsetzen lassen sich die Vorgaben auf verschiedene Weisen. Idealerweise verwenden Sie ein sogenanntes Consent Tool.

Mit einem Consent Tool können Sie als Webseitenbetreiber mit einem Klick die Einwilligung der Nutzer zur Verwendung ihrer persönlichen Daten einholen. Sie können damit

    • Festlegen, welche Nutzerdaten Sie speichern
    • Festlegen, welche Nutzerdaten Sie verarbeiten
    • Ihren Nutzern ermöglichen, die erteilten Einwilligungen zu verwalten und zu widerrufen.

Es gibt zahlreiche Anbieter von Cookie Consent Tools, mit denen Sie die Einwilligung der Nutzer auf Ihrer Webseiten einholen können. Hier eine Auswahl mit den Bestandteilen und wichtigsten Infos:

Tool Was ist enthalten? Wo bekomme ich es?
Cookie Consent mit Usercentrics

 

Individuelle Profi-Lösung, funktioniert mit jedem CMS, setzt die wichtigsten 50 Tools um (unter anderem Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager)

 

Exklusiv in eRecht24 Premium enthalten; auch für Websites von Kunden nutzbar
Cookie Consent Tool von Borlabs Cookie Leicht zu bedienendes Plugin für WordPress; keine Programmierung notwendig Rabatt von 45% für eRecht24 Premium Nutzer; Rabatt auch für Websites von Kunden nutzbar
Consent Management Provider Funktioniert unabhängig von einem bestimmten CMS (keine Beschränkung auf WordPress), leicht integrierbar durch Cookie Crawler, Design selbst gestalten, an CI anpassen möglich Rabatt von 25 % auf kostenpflichtige Version für eRecht24 Premium Nutzer, kostenlose Variante ist auf 10.000 Page Views im Monat beschränkt

Darüber hinaus gibt es noch weitere Anbieter:

WordPress:

https://de.wordpress.org/plugins/cookie-notice/

WIX: 
https://support.wix.com/en/article/adding-and-setting-up-a-cookie-alert-popup

Cookie Consent Kit von Silktide: 
https://silktide.com/tools/cookie-consent/

Cookie Consent Kit der Europäischen Kommission: 
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5 

Cookie Control: 
http://www.civicuk.com/cookie-control/index

… oder Sie lassen sich eine eigene Lösung für Ihre Webistes und Dienste programmieren.

Cookies: Was habe ich noch für Möglichkeiten?

Wenn Sie eher ein Risikomensch sind und sich sagen „Wenn die Rechtslage unklar ist, probiere ich es mit der Variante, bei der meine Nutzer nicht so viel tun müssen. Sie können ja schließlich selbst nach den Informationen suchen“, dann raten wir davon zwar dringend ab. Aber wir stellen Ihnen die Wege hier trotzdem vor:

Info per Cookie Banner (auch: Cookie Warnung. Cookie Popup, Cookie Meldung)

Der Nutzer sieht einen Banner, wenn er Ihre Seite erstmals aufruft. Dort liest er den Hinweis darauf, dass Sie Cookies verwenden und er ein Widerspruchsrecht hat. Einwilligen muss er bei dieser Lösung nicht.

Eine gesetzliche Vorgabe für einen Text in einem Cookie Banner gibt es nicht. Oft verwendet wird dieser Textbaustein:

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.

Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung

Aber Achtung: Datenschutzexperten weisen darauf hin, dass für viele Tracking- und Retargeting Cookies dieser Hinweis nicht ausreicht. Eine echte Einwilligung empfehlen wir dringend.

Cookie Hinweis in der Datenschutzerklärung (auch: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweis für Webseiten)

Sie nehmen in Ihrer Datenschutzerklärung einen Passus zu den verwendeten Cookies auf. Achtung: Das ist ein klarer Verstoß gegen geltendes Recht (EuGH, Datenschutzbehörden).

Praxistipp: Wenn Sie dieses hohe Risiko schon eingehen wollen, können wir Sie vermutlich nicht davon abhalten. Nehmen Sie aber in allen Fällen einen Hinweis in der Datenschutzerklärung über die Verwendung von Cookies auf. Nutzen Sie dafür unseren kostenlosen Datenschutz-Generator, um wenigstens hier ein wenig Sicherheit zu haben.

https://www.e-recht24.de/muster-datenschutzerklaerung.html

Auf Nummer Sicher gehen Sie dagegen jederzeit mit dem DSGVO-konformen Datenschutz-Generator von eRecht24 Premium.

https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

Abschließend noch einmal eine Checkliste mit den wichtigsten Punkten zu Cookies:

 1) Bei nicht notwendigen Cookies: Einwilligung einholen

    • Tracking Cookies
    • Werbe Cookies
    • Beispiel: Google Ads, Affiliate Cookies

2) am besten per Consent Tool

3) Cookie Banner reicht nicht aus

4) Für alle Cookies Hinweis in der Datenschutzerklärung aufnehmen, kostenloser Datenschutz Generator unter …

a) Notwendige Cookies

      • Login
      • Warenkorb
      • Session Cookies

b) Nicht notwendige Cookies

5) Am besten eRecht24 Premium verwenden