Ende 2019 hat der Europäische Gerichtshof (EuGH) ein wichtiges Urteil erlassen. Kleine Textdateien, die Websites auf dem Endgerät des Seitenbesuchers speichern, sind ohne datenschutzrechtliche Einwilligung nur noch sehr eingeschränkt möglich.
Mit Cookie ist kein Keks zum Verspeisen gemeint, sondern eine kleine Textdatei, die eine Website auf dem Endgerät des Seitenbesuchers für eine bestimmte Lebensdauer ablegt und in die sie Informationen speichert. Ruft der Benutzer die gleiche Website später erneut auf, kann die Website auf die Informationen zugreifen, die im Cookie gespeichert sind. Ohne Cookie könnte sich der Browser nach einem neuen Seitenaufruf nicht mehr an den Benutzer erinnern. Dabei unterscheidet man unter anderem zwischen technisch notwendigen und technisch nicht notwendigen Cookies.
Technisch notwendige Cookies
Technisch notwendige Cookies ermöglichen wichtige Kernfunktionen einer Website. Sie sorgen zum Beispiel dafür, dass der Inhalt eines Warenkorbs nicht verloren geht, wenn ein Besucher die Seite neu lädt oder dass man sich nicht bei jedem neuen Aufruf einer Website erneut einloggen muss, etwa beim Online-Banking. Die dafür erforderlichen Informationen sind dann im Cookie gespeichert.
Technisch nicht notwendige Cookies
Darüber hinaus existieren aber auch Cookies, die technisch nicht notwendig sind, sondern vorwiegend Marketing- und Analysezwecken dienen. Hierzu zählen vor allem sogenannte Tracking-Cookies zum Erstellen von Profilen über das Surfverhalten des Benutzers. Solche Profile kann der Betreiber eines Online-Shops wiederum mit dem Namen sowie der E-Mail-Adresse seiner Kunden verknüpfen und dadurch sehr effektive, zielgruppenorientierte Werbemails verschicken. Denn das Cookie merkt sich, welche Produkte der Nutzer besonders interessant findet. Aber es geht sogar noch darüber hinaus: Eigentlich unbeteiligte Dritte können auf fremden Websites Cookies platzieren, wenn das der Website-Betreiber zulässt. Diese Art von Cookies nennt man „Third Party Cookies“. Sie werden meist mit einem Java-Script vom fremden Server eingebunden und ermöglichen es plattformübergreifenden Tracking-Anbietern, das Surfverhalten eines Benutzers nicht nur auf einer einzelnen Website, sondern auf allen Partner-Websites zu erfassen. Dadurch kann der Tracking-Anbieter nicht nur eine äußerst große Zahl von Nutzerprofilen erstellen, sondern dem einzelnen Internet-User auf einer Vielzahl von Partner-Websites zielgerichtet personalisierte Werbung anzeigen. Das verdeutlicht ein ganz alltägliches Beispiel: Wer kurz vor Weihnachten im Internet auf Einkaufstour geht und in der Suchmaschine Google diverse Artikel sucht, wird in der Folgezeit auf verschiedenen anderen Websites immer wieder diese oder ähnliche Produkte als Werbung eingeblendet bekommen. Die für den Benutzer interessanten Waren sind im Cookie gespeichert.
Welche Cookies darf man wie einsetzen?
Cookies beinhalten häufig die IP-Adresse des Nutzers sowie unter Umständen weitere personenbezogene Daten. Aber ganz unabhängig von den in Cookies gespeicherten Inhalten sind sie datenschutzrechtlich relevant. Denn die E-Privacy-Richtlinie (2002/58/EU) regelt in Art. 5 Abs. 3, dass technisch nicht notwendige Cookies eine aktive Einwilligung (Opt-in) des Seitenbesuchers erfordern. Nach der Opt-in-Lösung dürfen Cookies erst dann gespeichert werden, wenn der Nutzer zuvor aktiv dazu einwilligt. Eine datenschutzrechtliche Einwilligung, die sich mittlerweile nach Art. 4 Nr. 11 DSGVO richtet, muss aber immer ausdrücklich und nicht nur durch schlüssiges Verhalten erfolgen. Das erfordert ein aktives, zielgerichtetes Handeln des Betroffenen, beispielsweise den Klick auf einen Button oder das Setzen eines Häkchens in einer Checkbox. Zudem muss der Betroffene wissen, in was er durch seine Aktion überhaupt einwilligt. Technisch notwendige Cookies bedürfen hingegen keiner Einwilligung. Ihr Einsatz kann auf das berechtigte Interesse gemäß Art. 6 Abs. 1 Satz 1 f. DSGVO gestützt werden. Denn Website-Betreiber haben ein schützenswertes Interesse daran, Cookies einzusetzen, wenn diese für eine funktionierende Website erforderlich sind, etwa die Warenkorbfunktion. Das Interesse des Website-Betreibers überwiegt dann regelmäßig gegenüber dem Interesse des Nutzers.
Die frühere Rechtslage
Allerdings wollte die Praxis diese strenge Unterscheidung nicht wahrhaben, vor allem nicht die Akteure im Online-Marketing. Sie stützten sich darauf, dass es § 15 Abs. 3 Telemediengesetz (TMG) jedem Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien gestatte, Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen. Dem Nutzer müsse danach lediglich die Möglichkeit gegeben werden, Cookies nachträglich zu widersprechen (Opt-out). Zudem bestünde ja die Möglichkeit des Nutzers, Cookies manuell über die eigenen Browser-Einstellungen vom Rechner zu löschen beziehungsweise zu blockieren. Diese Auffassung übersah aber, dass § 15 Abs. 3 TMG im Widerspruch zur E-Privacy-Richtlinie stand und dass im Fall eines Widerspruchs zwischen europäischem und deutschem Recht das übernationale Gesetz Vorrang hat.
Bedeutung der EuGH-Entscheidung
Der Europäische Gerichtshof hat mit seinem Urteil vom 1. Oktober 2019 (Az. C-673/17) schließlich für Klarheit gesorgt. Technisch nicht notwendige Cookies erfordern nach Ansicht der EU-Richter die aktive Einwilligung des Nutzers. Die bloße Möglichkeit eines nachträglichen Opt-out genügt nicht. Offengelassen hat der EuGH hingegen die rechtlichen Vorgaben bei technisch erforderlichen Cookies. Das lag aber einfach daran, dass solche Cookies nicht Gegenstand des Streits waren. Für ein Einwilligungserfordernis bei den notwendigen Cookies gibt es also auch nach dem Urteil keinen erkennbaren Grund. Wie oben bereits skizziert wurde, ist die Beeinträchtigung des Nutzers durch technisch notwendige Cookies in der Regel äußerst gering. Denn hier geht es nicht um das Ausspähen des Nutzers, sondern um die Funktionalität der Website.
Was müssen Website-Betreiber tun?
Website-Betreiber müssen spätestens jetzt dafür sorgen, dass technisch nicht notwendige Cookies nur nach einer vorhergehenden Einwilligung des Website-Besuchers gespeichert werden. Solange also der Besucher seine Einwilligung nicht erteilt hat, muss der Seitenbetreiber durch technische Vorkehrungen das Speichern von Cookies aktiv verhindern. Vielen, auch heute noch verwendeten Cookie-Bannern fehlt genau diese wesentliche Funktion. Cookie-Einwilligungen werden in der Regel mit einem HTML-Formular realisiert. Im Formular bietet der Website-Betreiber dem Nutzer verschiedene Auswahlmöglichkeiten, die dieser mit einem Häkchen aktiv auswählen und dann durch einen Klick auf einen Button bestätigen kann. Wichtig ist, dass die Verwendung von technisch nicht notwendigen Cookies keinesfalls schon im Formular vorausgewählt ist. Denn das wäre eine datenschutzrechtlich unzulässige Überrumpelung des Nutzers. Unwirksam dürfte ferner die derzeit häufig noch verbreitete Praxis sein, einen Button zum Einwilligen in sämtliche Cookies farblich besonders zu gestalten (meist grün), sodass der Nutzer intuitiv darauf klickt, obwohl er eigentlich nur technisch notwendige Cookies zulassen möchte. Einwilligungsformulare mit fertigen Opt-in-Lösungen finden Webmaster mittlerweile für die meisten Website-Baukastensysteme (WordPress, Joomla, TYPO3) als einsatzbereite Plug-ins – häufig sogar kostenlos. Es ist also im Regelfall nicht notwendig, eine derartige Lösung individuell zu programmieren.
Auswirkungen auf die Praxis
Vor einem sei aber gewarnt: Nur ein sehr geringer Teil der Seitenbesucher wird bereit sein, die aktive Einwilligung in das Speichern sämtlicher Cookies zu erteilen. Man kann es aber auch positiv sehen, denn das Online-Marketing wird sich dadurch verändern. Es ist nämlich auf den Einsatz von Marketing-Cookies beziehungsweise auf vergleichbare technische Lösungen angewiesen. Die dazu erforderlichen Einwilligungen werden Webseiten-Betreiber zukünftig vermehrt gegen entsprechende Gegenleistung erhalten. Diese Gegenleistung kann in Form von kostenlosen Waren, beispielsweise E-Books, Musikalben, Eintrittskarten oder Dienstleistungen erfolgen. Die Möglichkeiten hierfür sind vielfältig. Korrekt angewendet verstößt das Modell Service gegen Daten auch nicht gegen das datenschutzrechtliche Koppelungsverbot.
Betrifft das EuGH-Urteil ausschließlich Cookies?
Das besagte EuGH-Urteil befasste sich zwar ausschließlich mit Cookies, es stehen aber auch andere technische Methoden zur Verfügung, mit denen Marketing-Experten das Nutzerverhalten über mehrere Websites hinweg verfolgen können, beispielsweise mit sogenannten Zählpixeln (Web Beacons). Zählpixel sind winzig kleine, meist transparente und damit unsichtbare Grafiken, die von einem externen Server im Internet geladen und in die Website eingebunden werden. Dabei wird jeder Zugriff auf das Pixel registriert, wodurch ein Webseiten-Betreiber erfahren kann, wann und wie oft seine Website besucht wurde. Über den Einsatz auf Websites hinaus können Zählpixel aber auch in E-Mails, vor allem in Newslettern, eingesetzt werden. So erfährt man, wie oft eine E-Mail geöffnet beziehungsweise welche Websites besucht wurden. Datenschutzrechtlich ist der Einsatz von solchen Zählpixeln nicht anders zu bewerten, als der von Cookies – sie gelten als nicht notwendig und erfordern eine aktive datenschutzrechtliche Einwilligung.
Fazit
Viele Webseiten-Betreiber sind sich der rechtlichen und wirtschaftlichen Risiken immer noch nicht bewusst, die der ungehemmte Cookie-Einsatz auslösen kann. Spätestens seit dem EuGH-Urteil von Ende 2019 steht aber fest: Technisch nicht erforderliche Cookies bedürfen einer aktiven Einwilligung. Es ist daher dringend erforderlich, hierfür die nötigen technischen Vorkehrungen zu treffen, sofern noch nicht geschehen. Denn ein Verstoß gegen die DSGVO kann zu erheblichen Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes des betroffenen Unternehmens führen. Und mittlerweile machen die deutschen Datenschutzbehörden mit den Sanktionen Ernst, wie das gegen den Internetprovider 1&1 verhängte Bußgeld in Höhe von zehn Millionen Euro zeigt.
Mehr dazu
Fachseminar: Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis, Art.-Nr. 73105
Fachseminar: Der zertifizierte Datenschutzbeauftragte in der Kanzlei (TÜV), Art.-Nr. 78075
Datenschutzberatungen: www.datev.de/datenschutz-beratungen
