DSGVO: Der Einsatz von Cookies

Angesichts der großen Nachfrage möchte ich die Rechtslage zum Thema „Cookies“ gerne zusammenfassend darstellen. 

1. Definitionen 

Cookies sind u. a. kleine Datensätze, die beim Öffnen einer Internetseite vom Webserver auf dem Rechner des Nutzers abgelegt werden. Sie werden mit einer erneuten Verbindung an den Cookie-setzenden Webserver zurückgesendet, um den Nutzer und seine Einstellungen wiederzuerkennen. Es gibt Cookies, die nur für die Dauer des Besuchs einer Internetseite gespeichert werden (sog. Session-Cookies), und Cookies, die über längere Zeiträume gespeichert werden (sog. Persistent Cookies). 

Darüber hinaus wird unterschieden zwischen Cookies der Internetseite, die gerade besucht wird (sog. First-Party-Cookies) und Cookies von Dritten (bspw. Facebook, Google, etc.; sog. Third-Party-Cookies). Bei First-Party-Cookies wird der Nutzer nur von der besuchten Webseite wiedererkannt, nicht aber über mehrere Domains hinweg.

Weiteres Unterscheidungsmerkmal ist der Zweck der Cookies. Es gibt insoweit

• technisch notwendige Cookies (bspw. zur Identifikation des Warenkorbes)
• Performance Cookies (bspw. zur Messung von Ladezeiten)
• funktionale Cookies (die nicht zwingend notwendig sind, aber die Nutzerfreundlichkeit unterstützen)
• Werbe-Cookies (die dem Nutzer basierend auf dessen Surfverhalten Werbung anzeigen)

2. Welche Änderungen hat die DSGVO gebracht?

Laut DSGVO dürfen personenbezogene Daten nur verarbeitet (also erhoben, gespeichert, übermittelt, etc.) werden, wenn das Gesetz dies erlaubt. Cookies unterfallen dieser Regelung. Gesetzliche Erlaubnistatbestände sind u. a.

• Einwilligung der betroffenen Person
• die Verarbeitung der Daten ist für vorvertragliche / vertragliche Maßnahmen erforderlich
• die Verarbeitung ist gesetzlich erlaubt (bspw. aus steuerrechtlichen Gründen)
• der Webseitenbetreiber hat ein berechtigtes Interesse an der Datenverarbeitung und die Rechte wiegen schwerer als die Rechte der betroffenen Person.

Die Aufzählung ist nicht abschließend.

3. Dürfen laut DSGVO Cookies verwendet werden?

Das kommt darauf an. Zu klären ist zunächst, um was für ein Cookie es sich handelt und zu welchen Zwecken das Cookie gesetzt wird.

3.1. Cookies des Webseitenbetreibers (First-Party-Cookies)

3.1.1. Technisch notwendige Cookies 

Kann bspw. ein Warenkorb nur unter Verwendung von technisch notwendigen Cookies angezeigt werden, ist die Nutzung des Cookies ohne Einwilligung unbedenklich, wenn keine Einbindung von Elementen Dritter erfolgt. Erlaubnistatbestände sind insoweit Art. 6 Abs. 1 lit. b) (vorvertragliche / vertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Betreibers). Allerdings müssen die weiteren datenschutzrechtlichen Vorgaben beachtet werden.

3.1.2. Technisch nicht notwendige Cookies 

Im Bereich der Cookies, die technisch nicht zwingend erforderlich sind, wird die rechtliche Beurteilung deutlich schwieriger.

Einzelfallbezogen muss sich der Webseitenbetreiber fragen:

1. Wozu wird das Cookie gesetzt? (Zweck)

2. Welche Daten werden gespeichert? (Maß der Verarbeitung / Datenminimierung)

3. Wie lange werden die Daten gespeichert? (Speicherbegrenzung)

Als Rechtsgrundlage dürfte hier in vielen Fällen nur noch das berechtigte Interesse des Webseitenbetreibers im Sinne von Art. 6 Abs. 1 lit. f DSGVO oder eben die Einwilligung des Nutzers, Art. 6 Abs. 1 lit. a DSGVO greifen.

Unter Abwägung aller Voraussetzungen sollte sich der Webseitenbetreiber fragen, inwieweit in die Rechte des Nutzers eingegriffen wird und ob seine Interessen überwiegen. Laut Landesbeauftragte für den Datenschutz in Niedersachsen sind im Rahmen der Interessenabwägung u. a. auch folgende Punkte zu berücksichtigen:

• Erwartung der betroffenen Person / Vorhersehbarkeit / Transparenz
• Interventionsmöglichkeiten der betroffenen Person
• Verkettung von Daten
• Beteiligte Akteure
• Dauer der Beobachtung
• Kreis der Betroffenen
• Datenkategorien
• Umfang der Datenverarbeitung

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg vertritt die Auffassung, dass Werkzeuge zur Reichweitenanalyse ohne Einwilligung des Nutzers verwendet werden dürfen, wenn dafür nicht auf die Dienste externer Dritter zurückgegriffen wird (bspw. Google Analytics). Alternativen zu Diensten Dritter sind bspw. Logfile-Analysen des Webseitenbetreibers oder lokal installierte Analysewerkzeuge ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg.

Laut Erwägungsgründen der DSGVO kann Werbung zwar ein berechtigtes Interesse des Webseitenbetreibers darstellen, die Anforderungen an ein berechtigtes Interesse dürften hier aber deutlich höher sein. Auch die dt. Datenschutzbehörden sehen dies eher restriktiv. Sie vertreten insbesondere die Auffassung, dass auch der Betreiber einer Website nicht beliebig personenbezogene Daten des Nutzers ohne Einwilligung zu Werbezwecken zusammenführen darf.

3.2. Cookies von eingebundenen Diensten (Facebook, Google, etc.) Third-Party-Cookies 

Noch problematischer wird das Setzen von Cookies, wenn es sich um sog. Third-Party-Cookies handelt, die das Nutzerverhalten über Website- und Geräte-Grenzen hinweg verfolgen und zusammenfassen. Dies gilt insbesondere bei der Einbindung von Social-Media-Plugins und Werbenetzwerken. 

Problematisch ist in dieser Konstellation, dass personenbezogene Daten (wie bspw. die IP-Adresse des Nutzers) von Dritten verwendet, ausgewertet und häufig für übergreifende Nutzerprofile verwendet werden.

Soweit Cookies Dritter zu Werbezwecken (Remarketing) gesetzt werden, vertreten die dt. Aufsichtsbehörden die Auffassung, dass eine ausdrückliche Einwilligung des Nutzers eingeholt werden muss.

Die Landesbeauftragte für den Datenschutz in Niedersachen erteilt der Einbindung von Remarketing-Technologien von Google ohne Einwilligung eine klare Absage, weil der Nutzer üblicherweise nicht erwarte, dass die Informationen, welche Internetseite er besucht, an Google weitergegeben werde. Vor dem Hintergrund, dass Google die Daten zudem zu eigenen Zwecken verwende, seien die Folgen und Risiken für den Nutzer nicht einschätzbar. Dies betreffe insbesondere das Risiko bei Nutzung anderer Geräte wiedererkannt und von Werbeanzeigen „verfolgt“ zu werden. Darüber hinaus gäbe es für den Nutzer kaum Interventionsmöglichkeiten und die Verkettung von Informationen erfolge nicht nur intern, sondern über Kooperationspartner und Werbekunden.

Besondere Brisanz erfährt die Thematik zusätzlich, wenn der Cookie-Anbieter außerhalb der EU sitzt, da die Datenübermittlung in Drittländer laut DSGVO an besondere Voraussetzungen geknüpft ist.

Im Ergebnis stellt das Setzen von sog. Third-Party-Cookies (insbesondere zu Werbezwecken) ein erhebliches Risiko dar, das letztendlich nur durch Einholung einer informierten und ausdrücklichen Einwilligung ausgeräumt werden kann.

4. Benötige ich ein Cookie-Banner?

Die in der Praxis genutzten Cookie-Banner sind in der Regel aus datenschutzrechtlichen Aspekten überflüssig. Ist die Verwendung von Cookies ohne Einwilligung des Nutzers erlaubt, weil ein berechtigtes Interesse oder eine andere Rechtsgrundlage greift, kann auch im Rahmen der Datenschutzerklärung /dem Datenschutzhinweis über die Datenverarbeitung informiert werden. Ein Banner / Pop-up ist in diesem Fall schlicht überflüssig und eher lästig.

Wird eine Einwilligung in die Datenverarbeitung benötigt, kann über ein Cookie-Banner die Einwilligung eingeholt werden. Sinn macht dies aber nur, wenn erst nach erteilter Einwilligung Daten verarbeitet werden. Greifen die Cookies schon beim Aufruf der Internetseite Daten ab (wie bei zahlreichen Social-Media Plugins), macht ein Cookie-Banner keinen Sinn.

Der einzige Grund, warum derzeit nahezu jede Internetseite Cookie-Banner vorhält, ist wohl eher dem Umstand geschuldet, dass Unternehmen wie Google Cookie-Banner und Einwilligungserklärungen über die Nutzungsbedingungen / AGB ihrer Tools vom Verwender fordern. Die Pflicht ergibt sich damit also aus dem Vertragsverhältnis zwischen Webseitenbetreiber und genutztem Dienst.

5. Handlungsempfehlung

Aufgrund der vorgenannten Probleme möchte ich folgende Handlungsempfehlungen geben:

1. Analysieren Sie die von Ihnen verwendeten Cookies.

2. Prüfen Sie, welche Cookies wirklich notwendig sind. Löschen Sie nicht notwendige Cookies.

3. Sorgen Sie dafür, dass nur die erforderlichen pb. Daten über das Cookie erhoben werden.

4. Löschen Sie diese Daten, wenn der Verwendungszweck entfallen ist und keine Rechtsgrundlage zur Speicherung der Daten greift.

5. Nutzen Sie nach Möglichkeit zu Analysezwecken lokal installierte Analysewerkzeuge (bspw. Matomo).

6. Wählen Sie bei derartigen Werkzeugen datenschutzfreundliche Voreinstellungen.

7. Holen Sie bei der Verwendung von nicht notwendigen Cookies, insbesondere bei der Einbindung Dritter, eine informierte und transparente Einwilligung des Nutzers ein.

8. Prüfen Sie bei der Einbindung Dritter, ob ein Auftragsverarbeitungsvertrag oder ein sog. Joint-Controller-Vertrag zu schließen ist.

9. Ermöglichen Sie dem Nutzer den Widerspruch gegen die Datenverarbeitung (Opt-Out).

10. Ermöglichen Sie dem Nutzer den Widerruf von erteilten Einwilligungen.

11. Informieren Sie ausführlich und leicht verständlich über die Datenverarbeitung (insbesondere auch im Hinblick auf First- und Third-Party-Cookies).

12. Halten Sie sich auf dem Laufenden. Es bleibt abzuwarten, welche Änderungen die e-privacy-Verordnung mit sich bringt. 

Haben Sie Fragen im Bereich des IT- / und Datenschutzrechts, stehe ich Ihnen gerne beratend zur Verfügung.