Der Cookie-Hinweis ist für jede Webseite Pflicht – richtig? © Fotolia/Matic Štojs Lomovšek

6. Oktober 2020, 8:56 Uhr

Fake oder Fakt? Der Cookie-Hinweis ist für jede Webseite Pflicht – richtig?

Der Cookie-Hinweis ist inzwischen beinahe Standard für Webseiten. Aber ist er grundsätzlich vorgeschrieben und wie muss er aussehen? Diese Fragen sorgten schon nach dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 für Unsicherheit bei Webseitenbetreibern. Nach einem Urteil des Bundesgerichtshofs (BGH) aus dem Mai 2020 steht das Thema erneut im Fokus.

Wir helfen dir auch bei Ärger im Internet >>

Von Anfang an: Was sind Cookies?

Einfach gesagt ist ein Cookie – auch HTTP-Cookie, Web-Cookie, Internet-Cookie oder Browser-Cookie genannt – ein kleines Programm, mit dem Internetseiten (beziehungsweise deren Betreiber) Nutzer identifizieren und bei jedem Besuch wiedererkennen sowie ihre Aktivitäten dokumentieren. Das hat grob gesagt vor allem zwei Vorteile:

  • Die Nutzer müssen nicht bei jedem Aufrufen der Seite ihre Daten eingeben und sich anmelden.
  • Die Betreiber, bei­spiels­wei­se Online-Shops, können anhand der Cookies Besu­cher­pro­fi­le erstellen und diese bei­spiels­wei­se für Mar­ke­ting­zwe­cke verwenden oder Kunden das anzeigen, was sie am meisten interessiert.

Dabei wird zwischen verschiedenen Arten von Cookies unterschieden:

  • Not­wen­di­ge Cookies sind technisch erfor­der­lich, damit eine Website überhaupt funk­tio­niert. Eine konkrete Übersicht oder Auf­lis­tung, was genau darunter fällt, gibt es bislang aller­dings nicht.
  • Funk­tio­na­le Cookies speichern bei­spiels­wei­se Infor­ma­tio­nen zur aus­ge­wähl­ten Sprache der Webseite oder den Benut­zer­na­men. Sie ermög­li­chen u. a. eine per­sön­li­che Begrüßung auf der Website und können die Nutzung für den Nutzer bequemer machen.
  • Statistik-Cookies erfassen Infor­ma­tio­nen über das Nut­zer­ver­hal­ten, bei­spiels­wei­se ange­se­he­ne Produkte, ver­wen­de­te Such­be­grif­fe oder auch die Ver­weil­dau­er auf einer Website.
  • Marketing-Cookies dienen einzig und allein werb­li­chen Inter­es­sen. Sie werden genutzt, um Inter­net­nut­zern pass­ge­naue Werbung anzuzeigen.

Was hat die DSGVO damit zu tun?

Weil Cookies je nach Zweck personenbezogene Daten speichern, analysieren und weiterverarbeiten oder an Dritte leiten, stehen sie in der Diskussion. Deshalb sind "Cookie-Richtlinie" und "Cookie-Hinweis" zwei Begriffe, die Betreiber von Internetseiten spätestens seit dem 25. Mai 2018 kennen sollten. Denn sobald personenbezogene Daten gespeichert werden, kommt die europäische Datenschutzgrundverordnung (DSGVO) ins Spiel, die zu diesem Termin in bindendes Recht umgesetzt wurde.

Seitdem sind Webseitenbetreiber aufgefordert, einen Cookie-Hinweis samt Widerspruchsmöglichkeit auf Webseiten zu platzieren, auf denen Cookies gesetzt werden, die technisch nicht zwingend erforderlich sind. Allerdings ging in der öffentlichen Debatte offenbar einiges durcheinander, denn die DSGVO sagt im Grunde wenig über die Handhabung von Cookie-Hinweisen aus. Sie hat eher Konsequenzen für die Datenschutzerklärung auf einer Internetseite. Mehr Informationen zum Thema Rechtsschutz

Der konkrete Umgang mit Cookies sollte in der europäischen ePrivacy-Verordnung geregelt werden, die eigentlich parallel zur DSGVO in Deutschland eingeführt werden sollte. Dies wurde jedoch immer wieder verschoben, sodass sie bislang immer noch nicht in Kraft ist. (Stand: Oktober 2020)

Weitere recht­li­che Grund­la­gen: Tele­me­di­en­ge­setz und ePrivacy-Richtlinie

Und um die Verwirrung komplett zu machen, gibt es noch zwei weitere relevante rechtliche, Grundlagen, die für den Umgang mit Cookies von Bedeutung sind: Es existiert mit der  EU-Richtlinie 2009/136/EG vom 25. November 2009, auch Cookie-Richtlinie genannt, bereits eine europaweit geltende Bestimmung. Sie verfügt, dass Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung ihrer Daten zustimmen müssen. Diese Regelung sollte spätestens im Jahr 2011 in allen EU-Mitgliedsstaaten geltendes Recht sein. Ist sie aber nicht.

Auch Deutschland hat die Cookie-Richtlinie nicht umgesetzt. Die Bundesregierung hat stattdessen auf das bestehende deutsche Telemediengesetz (TMG) verwiesen. Dort heißt es in § 15 Abs. 3: "Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen."

Gängige Praxis: passive Zustim­mung statt aktiver Erlaubnis

Diese sogenannte Widerspruchslösung nach dem TMG setzte aber keine ausdrückliche und aktive Zustimmung des Nutzers zur Datenerhebung voraus. Viele Webseitenbetreiber begnügten sich mit einem diskreten Hinweis mit Link zur Datenschutzerklärung, dass mit dem Weitersurfen alle Cookies akzeptiert würden. Dieser Hinweis war einfach zu ignorieren, eine aktive Zustimmung wurde nicht eingefordert. Die Datenschutzkonferenz (DSK) hatte bereits 2019 darauf hingewiesen, dass dieses Vorgehen eigentlich nicht ausreichend ist, sobald personenbezogene Daten gemäß DSGVO erhoben werden.

Einige Webseitenbetreiber gingen einen Schritt weiter und versuchten Nutzern die Einwilligung abzuluchsen, indem sie ihre Cookie-Hinweise so gestalteten, dass ein versehentliches Akzeptieren sehr wahrscheinlich war. Etwa weil die Zustimmung zu allen Cookies schon vorausgewählt ist und ein Abwählen einzelner Cookie-Kategorien sehr aufwendig oder die Option dazu versteckt ist.

Mehr Klarheit durch BGH-Urteil 2020: Nutzer müssen aktiv werden

Im Mai 2020 hat der BGH ein wegweisendes Urteil in einem solchen Fall gesprochen (AZ I ZR 7/16). Das oberste deutsche Gericht bestätigte damit nach jahrelangem Rechtsstreit eine Entscheidung des Europäischen Gerichtshofs (EuGH). Der Verbraucherzentrale Bundesverband (vzbv) hatte gegen den Anbieter eines Online-Gewinnspiels geklagt, der im Cookie-Hinweis die Checkbox für die Zustimmung bereits vorausgewählt hatte, und hat recht bekommen.

Eine Auswirkung dieses Urteils, die dir womöglich schon beim Surfen im Netz aufgefallen ist: Auf den meisten Webseiten musst du seitdem direkt nach dem Aufruf erst einmal auf einen deutlich ausführlichen Cookie-Hinweis klicken. Damit wollen die Webseitenbetreiber sich rechtlich absichern, auch wenn die rechtlichen Grundlagen nach wie vor nicht ganz eindeutig sind.Also viel Lärm um nichts?

Nicht ganz, denn es gibt tatsächlich bereits eine europaweit geltende Bestimmung: die EU-Richtlinie 2009/136/EG vom 25. November 2009, auch Cookie-Richtlinie genannt. Sie verfügt, dass Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung ihrer Daten zustimmen müssen. Diese Regelung sollte spätestens im Jahr 2011 in allen EU-Mitgliedsstaaten geltendes Recht sein. Ist sie aber nicht.

Auch Deutschland hat die Cookie-Richtlinie nicht umgesetzt. Die Bundesregierung hat stattdessen auf das bestehende deutsche Telemediengesetz verwiesen.  Dort heißt es in § 15 Abs. 3 TMG: "Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen."

Eine ausdrückliche und aktive Zustimmung der Nutzer ist damit nicht erforderlich. Stattdessen genügt beispielsweise ein simpler Cookie-Hinweis, der auf die Datenschutzerklärung mit weiteren Informationen zum Widerrufsrecht führt.

Mann sitzt vor dem Laptop

Cookie-Hinweis: Pflicht oder nicht?

Was bedeutet das jetzt für deine Website? Die rechtlichen Grundlagen sind nach wie vor uneinheitlich. Trotzdem solltest du den Cookie-Hinweis eher als Pflicht betrachten und ihn vor allem so gestalten, dass Nutzer aktiv entscheiden müssen, ob sie Cookies annehmen oder nicht. Nur auf die Widerspruchslösung nach TMG zu setzen, ist nach dem jüngsten BGH-Urteil rechtlich riskant.

Auf der sicheren Seite bist du, wenn du deine Webseitenbesucher ausführlich darüber informierst, welche Cookies du einsetzt und diese sich aktiv mit der Verwendung der Daten einverstanden erklären. Das gilt übrigens auch, wenn es sich “nur” um deine ganz private Homepage oder die Seite deiner Laienspielgruppe handelt.

Dabei solltest du Folgendes beachten:

  • Hole die Zustim­mung des Nutzers direkt beim Sei­ten­auf­ruf ein, bevor Cookies gesetzt werden. Einzige Ausnahme: technisch not­wen­di­ge Cookies dürfen ohne vorherige Zustim­mung gesetzt werden.
  • Ein einfacher Hinweis, der nach dem Wei­ter­kli­cken auf der Seite ver­schwin­det oder sich einfach aus­blen­den lässt, reicht nicht aus.
  • Die Zustim­mung darf nicht vor­ausge­wählt sein.

Im Idealfall verzichtest du außerdem auf manipulative Formulare, bei denen etwa für das Abwählen mehr Klicks als für das Annehmen erforderlich sind. Oder der Annehmen-Button mehr hervorsticht als der fürs Ablehnen. Dies ist zwar nicht verboten, der Europäische Datenschutzausschuss (EDSA) sieht das aber in einer Richtlinie aus dem Jahr 2020 sehr kritisch. (Stand: Oktober 2020).

Ebenfalls kritisch: Sogenannte Cookie-Walls, bei denen der Nutzer gar nicht erst auf die Seite kommt, wenn er der Cookie-Vereinbarung nicht zustimmt. Nach Einschätzung des EDSA muss der Nutzer die Möglichkeit haben, eine Webseite auch dann zu nutzen, wenn er nicht unbedingt erforderlichen Cookies nicht zustimmt.

Das gehört in die Datenschutzerklärung

Unabhängig davon, ob und wie du die Besucher deiner Homepage über eingesetzte Cookies unterrichtest, musst du in deiner Datenschutzerklärung auf die Verwendung hinweisen.

Abgesehen von anderen notwendigen Aspekten solltest du darin detailliert und in verständlicher Weise über deine Praxis mit den Cookies informieren:

  • welche Art von Daten sie sammeln,
  • welchem Zweck sie dienen,
  • wie lange sie gespei­chert bleiben,
  • an wen du sie gege­be­nen­falls weiterleitest,
  • und wie sich die Ein­wil­li­gung zur Spei­che­rung der Daten zurück­neh­men lässt.

FAZIT

  • Die Rechts­la­ge in Sachen Cookies ist in Deutsch­land ver­wir­rend und noch nicht eindeutig geregelt.
  • Klar ist aber: Wer über Cookies per­so­nen­be­zo­ge­ne Daten erhebt, muss dafür zuvor die aktive Zustim­mung des betrof­fe­nen Nutzers einholen.
  • Nur technisch not­wen­di­ge Cookies dürfen ohne Ein­wil­li­gung des Nutzers gesetzt werden.
Artikel teilen

Bitte lesen Sie zu dem Inhalt auch unsere Rechtshinweise.

So einfach ist Rechtsschutz

Ein Rechtsstreit, ganz gleich in welchem Bereich, kommt oft unverhofft. Darum hat ADVOCARD mit dem 360°-Rechtsschutz einen besonders leistungsstarken Rundumschutz geschaffen.

Mehr erfahren

Mediation

Vertragen statt klagen: mit Mediation rechtliche Konflikte ohne Gerichts­ver­fahren lösen.

Strei­tatlas

Streit in Berlin? Zoff in München? Der interaktive Atlas zeigt, wo die deutschen Streithähne leben.

ADVOCARD-Service

Kompetente Beratung und professionelle Unterstützung rund um die Uhr.