Was gilt? Cookie Hinweis, Cookie opt out oder Cookie opt in?

CookiesPhoto by Leighann Renee on Unsplash

Cookies?! Ohne sie geht das Internet kaum, aber dem Datenschützer sind sie ein Dorn im Auge. Darfst Du nach der DSGVO trotzdem noch Cookies verwenden? Erfahre hier, wie Du mit Cookie Hinweisen umgehen musst.

von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

 

I. Cookies und DSGVO

Die DSGVO hat eigentlich an der Rechtslage für Cookies nichts geändert. Das ist genau der Rechtsbereich, der der noch mit der neuen ePrivacy Richtlinie überlassen werden sollte. Diese ist aber noch nicht verabschiedet. Dennoch hat sich mit der DSGVO offenbar die Wahrnehmung der Juristen geändert. Plötzlich ist für alles und jedes ein Opt In erforderlich.

Die DSGVO hat zu manchen Auswüchsen geführt, bei denen die DSGVO aber tatsächlich gar nicht galt. Bestes Beispiel sind die Wiener Klingelschilder, die plötzlich zu anonymisieren gewesen sein sollten, obwohl die DSGVO gar nicht anwendbar war. Dennoch fragt man sich manchmal, ob man nicht für die Restaurantbestellung bereits einen Opt In braucht. So ergeht es auch den Cookies, Rechtslage gleich, aber dennoch soll plötzlich ein Opt In erforderlich sein.

Grade wird über Twitter die Meldung gesendet, dass die Bayrische Datenschutzbehörde Cookie Verwendungen untersuchen will und davon ausgeht, nur ein Opt In sei wirksam.

II. Was gilt denn jetzt für Cookies?

Nach einer bisher nicht in deutsches Recht umgesetzten europäischen Richtlinie (sog. Cookie-Richtline, ABl. 2009/136/EG vom 25.11.2009) sind Cookies weitgehend unzulässig, wenn der Nutzer nicht vorher in Ihre Verwendung eingewilligt hat (Ausnahmen bestehen für bestimmte technisch erforderliche Cookies).

Obwohl die entsprechende Verpflichtung damit hier nicht gilt (bzw. allenfalls, wenn die Richtlinie direkt anwendbar wäre, was unter Juristen umstritten ist), sollte die Einwilligung eingeholt werden. Davon geht die herrschende Meinung in Deutschland inzwischen aus.

III. Reicht ein Hinweis oder brauche ich ein opt out oder gar ein opt in?

Die Frage, ob Du einen bloßen Hinweis erteilen musst oder ein opt out oder gar ein opt in anbieten musst, ist nicht der richtige Gegensatz. Die Frage ist, wie und mit welcher Bequemlichkeit ermögliche ich dem Nutzer, sich gegen Cookies zu entscheiden.

Einen Cookie Hinweis brauchst Du immer! Wenn Du gar nicht erst hinweist, kann sich der Nutzer schließlich gar nicht entscheiden. Die Frage ist nur, was schließt sich daran an.

1. theoretische Lösung: Problem des Kunden

Brauchst Du nur einen Cookie Hinweis setzen, ist es dem Nutzer überlassen, seinen Browser oder Drittsysteme so einzustellen, dass die Cookies bei ihm nicht gespeichert werden. Die bequemste Lösung für Dich als Websitebetreiber. Das ist eine Art der Einwilligung durch Unterlassen mit einer wenig bequemen und kaum praktikablen Möglichkeit der Abwahl.

2. theoretische Lösung: Angebot eines Cookie opt out

Weitergehend könnte erforderlich sein, dass Du dem Nutzer mit dem  immer erforderlichen Cookie Hinweis auch ein Opt Out anbieten musst. Dann kann der Nutzer schnell und bequem entscheiden, ob und ggf. welche Arten von Cookies er zulassen will. Das ist eine Art Einwilligung durch Unterlassen mit einer bequemen Möglichkeit der Abwahl.

3. theoretische Lösung: Erfordernis eines opt in

Noch weiter geht ein opt in. Ist das erforderlich, werden die Cookies nur dann gesetzt, wenn der Nutzer aktiv zugestimmt hat. Das ist eine echte aktive Einwilligung des Nutzers.

IV. Brauche ich immer einen Cookie Hinweis?

Ein Hinweis ist jedoch insoweit nicht erforderlich, wie die Cookies technisch notwendig sind, um den Dienst in Anspruch zu nehmen.

1. Welche Cookies sind ohne weiteres zulässig?

Nach Auffassung der Art.-29-Datenschutzgruppe gilt dies für folgende Arten von Cookies:

  • Login-Session-Cookie,
  • Warenkorb Cookie,
  • Sicherheits-Cookie, z. B. zur Erkennung von Nutzern, die sich bereits angemeldet haben.

2. Was gilt für Tracking Cookies?

Weitergehende Anforderungen gelten aber für Cookies, die üblicherweise zur Analyse des Nutzerverhaltens und zu Werbezwecken verwendet werden, wie:

  • Tracking-Cookies sozialer Plugins,
  • Third-Party-Cookies zu Werbezwecken,
  • First-Party-Analyse-Cookies.

Es kommt damit darauf an, welche Art von Cookies Du verwendest. Nutzt Du Google Analytics, den Facebook Pixel und sonstige Analyse Cookies, dann musst Du als erstes alle Nutzer auf die Cookies hinweisen. Wenn Du nur die erste Art von Cookies setzt, würde ich trotzdem einen Hinweis setzen, der reicht dann aber in jedem Fall aus.

3. Wie muss ich den Cookie Hinweis erteilen?

In dem Hinweis musst Du auf die von Dir verwendeten Cookies hinweisen. Das kann durch Verweis auf Deine Datenschutzerklärung erfolgen. In dieser ist dann allgemein über Cookies aufzuklären und speziell anzugeben, welche Cookies bzw. welche die Tools, die personenbezogene Daten an Dritte übertragen, verwendet werden.

Die Einwilligung des Nutzers (ob durch unterlassen oder aktive Zustimmung) setzt also immer voraus, dass er klar und umfassend über die Cookies informiert wurde. Damit muss der Nutzer

  • über die in dem Cookie gespeicherte Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • die datenverarbeitende Stelle (Verantwortlicher) und
  • sein Widerrufsrecht

informiert werden.

Zwischenergebnis: Du solltest immer möglichst einen Cookie Hinweis verwenden, in dem dem Nutzer gesagt wird, dass Cookies verwendet werden.

V. Muss ich ein Cookie opt in oder opt out anbieten?

Wie bereits angemerkt ist leider unklar, was sich an den Cookie Hinweis anschließen muss. Muss der Nutzer durch

  • Opt-In
  • durch Nicht-Betätigung eines Opt-Out oder
  • durch Nicht-Verhinderung von Cookies durch allgemeine Browsereinstellung

einwilligen? Das deutsche Recht spricht für die zweite Option, da § 15 Abs. 3 TMG davon ausgeht, dass die Einwilligung durch fehlenden Widerspruch des Nutzers erteilt wird. Die Privacy Richtlinie der EU spricht von einer ausdrücklichen Einwilligung, was der ersten Option entspräche. Erwägungsgrund Nr. 66 zu der Richtlinie (die aber nicht verbindlich ist), lässt für die Einwilligung aber ausreichen, dass der Nutzer die Setzung von Cookies in seinem Browser nicht verhindert.

1. Was sagen Gerichte zum Cookie Hinweis?

Immerhin ist vor Kurzem obergerichtlich entschieden worden, dass eine ausdrückliche Einwilligung durch opt in (wie bei der Newsletter-Anmeldung) nicht erforderlich ist, sondern vielmehr ein opt out Angebot ausreicht (Oberlandesgericht Frankfurt am Main, Urt. v. 17.12.2015, Az.: 6 U 30/15), also wenn dem Nutzer die Gelegenheit gegeben wurde, an deutlich erkennbarer Stelle durch Setzen (oder Abwählen eines voreingestellten) Häkchens sein fehlendes Einverständnis zu erklären.

Ebenso ist in der Entscheidung festgehalten, dass die für die Einwilligung erforderlichen Informationen auch über einen Link erteilt werden können. Hier bietet sich ein Link auf die eigene Datenschutzerklärung an, in der die Verwendung der Cookies ohnehin erläutert werden muss.

2. Was gilt nach der DSGVO für Cookie opt out?

Diese Entscheidung ist aber noch vor der DSGVO ergangen. Auch wenn sich durch die DSGVO an der Rechtslage nichts geändert hat, geht jetzt offenbar die Bayrische Datenschutzbehörde davon aus, dass ein opt in erforderlich ist. Ob das nun eindeutig so ist, kann dahingestellt bleiben. Es gibt definitiv seit der DSGVO nicht wenige Juristen, die dieser Auffassung sind.

VI. Warum ein Cookie Hinweis nicht reicht

Rechtlich bleibt es dabei, dass sich an der Rechtslage vor der DSGVO eigentlich nichts geändert hat, ein Cookie Hinweis müsste ausreichen. Das entspricht aber nicht mehr der herrschenden Meinung unter den Juristen. Von daher muss von einer reinen Hinweis Lösung, bei der der Nutzer selbst seinen Browser einstellen muss, abgeraten werden.

VII. Warum ein Opt Out die bessere Wahl ist

Von daher muss man nach dem Grundsatz des sichersten Weges trotz der sehr unübersichtlichen Rechtslage jedem Website Betreiber mindestens raten:

  • ein opt out anzubieten und
  • Vorkehrungen zu treffen, dass bei Widerspruch des Nutzers eine Speicherung von nicht technisch notwendigen Cookies unterbleibt.

Wird dagegen verstoßen, kann dies als wettbewerblich relevant eingestuft werden und zur Abmahnung berechtigen. Die durch die Cookies ermöglichte bessere Werbeansprache des Kunden stellt einen Vorteil im Wettbewerb dar.

Es ist aber nicht sicher, dass ein Cookie opt out reicht. Die Bayrische Datenschutzbehörde geht offenbar weiter. Dennoch kann ein Opt Out vor allem dann ausreichen, wenn Du nur weniger invasive Cookies verwendest. Ein opt out sollte immer ausreichen, wenn Du nur notwendige oder sicherheitsrelevante Cookies verwendest und nur auf Deine Website beschränkte Analysetools (zB intern gehostetes Matomo). Dann sollte opt out ausreichen, auch wenn ich nach dem Grundsatz des sichersten Weges ein opt in empfehlen muss.

VIII. Warum nur ein Cookie opt in sicher ist

Vorsichtige verwenden in jedem Fall sogar ein Cookie Opt In. Die Conversion solcher Hinweise ist aber nur sehr gering, dann spricht wahrscheinlich oft manches dafür, etwa ein websiteübergreifendes Tracking wie bei Google Analytics ganz auszuschalten.

IX. Muss ich die Cookie Einwilligung nachweisen?

An sich muss eine Einwilligung für den Abmahnfall von dem Website Betreiber nachgewiesen werden (wie etwa beim Double opt in für den Newsletter). Wer einen opt in verwendet, braucht aber keinen Nachweis, da ohne Einwilligung die Cookies gar nicht geladen werden. Wer ein oot out verwendet, muss aber dokumentieren und durch Zeugen (etwa den Webdesigner) beweisbar sein, dass der entsprechende Code für Hinweis und opt out installiert war.

X. Was passiert, wenn der Nutzer nicht einwilligt?

Wählt der Nutzer nicht den opt out, können Cookies verwendet werden. Widerspricht der Nutzer aber durch opt out, sollte auf der Website technisch sicher gestellt werden, dass keine technisch nicht notwendigen Cookies bei dem Nutzer gespeichert werden. Dies kann durch die Verweigerung des Weitersurfens auf der Site oder eine Funktion geschehen, die das Speichern der Werbe- und Analyse Cookies in dem Browser dieses Nutzers unterbindet (nach Art. 5 Abs. 3 Satz 2 der Datenschutz-Richtlinie v. 20.07.2002, Nr. 2002/58/EG, steht es “einer technischen Speicherung und einem Zugang – zur Website, der Verf. – nicht entgegen, wenn” es sich um technisch notwendige Cookies handelt.; diese Formulierung lässt nur den Schluss zu, dass die Website dafür verantwortlich ist, dass bei Widerspruch des Nutzers die Website Speicherung und Zugang regeln muss und dies nicht dem Nutzer überlassen werden darf).

XI. Kein verdeckender Hinweis

Hinweise auf Cookies sieht man inzwischen auf vielen Startseiten. Oft verdecken sie aber wesentliche Menüs wie etwa zu Impressum oder AGB. Das kann dann wiederum zu einer Abmahnung oder sonstigen Rechtsnachteilen führen, weil dann diese Elemente nicht rechtskonform verwendet werden.

XII. Datenschutzerklärung

Für welche Lösung auch immer Du Dich entscheidest, wichtig ist auch, dass Datenschutzerklärung die von Dir gewählten Einstellungen abbildet. Diese kannst Du mit unserem Datenschutz-Generator und unserem Datenschutz-Plugin für WordPress schnell und bequem umsetzen.

  Zum Komplett-Schutz 

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und 
Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von 
Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 
automatisierte Lösungen für rechtliche Probleme von Unternehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.