Was gilt? Cookie Hinweis, Cookie opt out oder Cookie opt in?

CookiesPhoto by Leighann Renee on Unsplash

Cookies?! Ohne sie geht das Internet kaum, aber dem Datenschützer sind sie ein Dorn im Auge. Darfst Du nach der DSGVO trotzdem noch Cookies verwenden? Erfahre hier, wie Du mit Cookie Hinweisen umgehen musst.

von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

I. Cookies und DSGVO

Die DSGVO hat eigentlich an der Rechtslage für Cookies nichts geändert. Das ist genau der Rechtsbereich, der noch der neuen ePrivacy Richtlinie überlassen werden sollte. Diese ist aber noch nicht verabschiedet. Dennoch hat sich mit der DSGVO offenbar die Wahrnehmung der Juristen geändert. Plötzlich soll für alles und jedes ein Opt In erforderlich sein.

Die DSGVO hat zu manchen Auswüchsen geführt, bei denen die DSGVO tatsächlich gar nicht galt. Bestes Beispiel sind die Wiener Klingelschilder, die plötzlich zu anonymisieren gewesen sein sollten, obwohl die DSGVO gar nicht anwendbar war. Dennoch fragt man sich manchmal, ob man nicht für die Restaurantbestellung bereits einen Opt In braucht. So ergeht es auch den Cookies, Rechtslage gleich, aber dennoch soll plötzlich ein Opt In erforderlich sein.

Grade wird über Twitter die Meldung gesendet, dass die Bayrische Datenschutzbehörde Cookie Verwendungen untersuchen will und davon ausgeht, nur ein Opt In sei wirksam.

II. Was gilt denn jetzt für Cookies?

Nach einer bislang nicht in deutsches Recht umgesetzten europäischen Richtlinie (sog. Cookie-Richtline, ABl. 2009/136/EG vom 25.11.2009) sind Cookies weitgehend unzulässig, wenn der Nutzer nicht vorher in Ihre Verwendung eingewilligt hat (Ausnahmen bestehen für technisch erforderliche Cookies).

Obwohl die entsprechende Verpflichtung damit hier nicht gilt (bzw. allenfalls, wenn die Richtlinie direkt anwendbar wäre, was unter Juristen umstritten ist), sollte die Einwilligung eingeholt werden. Davon geht die herrschende Meinung in Deutschland inzwischen aus.

III. Reicht ein Hinweis oder brauche ich ein opt out oder gar ein opt in?

Die Frage, ob Du einen bloßen Hinweis erteilen musst oder ein opt out oder gar ein opt in anbieten musst, ist nicht der richtige Gegensatz. Die Frage ist, wie und mit welcher Bequemlichkeit ermögliche ich dem Nutzer, sich gegen Cookies zu entscheiden.

Einen Cookie Hinweis brauchst Du immer! Wenn Du gar nicht erst hinweist, kann sich der Nutzer schließlich gar nicht entscheiden. Die Frage ist nur, was schließt sich daran an.

1. theoretische Lösung: Problem des Kunden

Brauchst Du nur einen Cookie Hinweis setzen, ist es dem Nutzer überlassen, seinen Browser oder Drittsysteme so einzustellen, dass die Cookies bei ihm nicht gespeichert werden. Die bequemste Lösung für Dich als Websitebetreiber. Das ist eine Art der Einwilligung durch Unterlassen. Der Nutzer kann Cookies nur selbst sperren, für ihn wenig bequem und kaum praktikabel.

2. theoretische Lösung: Angebot eines Cookie opt out

Weitergehend könnte erforderlich sein, dass Du dem Nutzer mit dem  immer erforderlichen Cookie Hinweis auch ein opt out anbieten musst. Dann kann der Nutzer schnell und bequem entscheiden, ob und ggf. welche Arten von Cookies er zulassen will. Auch das ist eine Art Einwilligung durch Unterlassen, hier ist es dem Nutzer aber einfach möglich, den Cookies zu widersprechen.

3. theoretische Lösung: Erfordernis eines opt in

Noch weiter geht ein opt in. Ist das erforderlich, werden die Cookies nur dann gesetzt, wenn der Nutzer aktiv zugestimmt hat. Das ist die einzige Form mit einer echten aktiven Einwilligung des Nutzers.

IV. Brauche ich immer einen Cookie Hinweis?

Ein Hinweis ist jedoch insoweit nicht erforderlich, wie die Cookies technisch notwendig sind, um den Dienst in Anspruch zu nehmen.

1. Welche Cookies sind ohne weiteres zulässig?

Nach Auffassung der Art.-29-Datenschutzgruppe sind folgende Arten von Cookies ohne weiteres zulässig:

  • Login-Session-Cookies,
  • Warenkorb Cookies,
  • Sicherheits-Cookies, z. B. zur Erkennung von Nutzern, die sich bereits angemeldet haben.

2. Was gilt für Tracking Cookies?

Weitergehende Anforderungen gelten aber für Cookies, die üblicherweise zur Analyse des Nutzerverhaltens und zu Werbezwecken verwendet werden, wie:

  • Tracking-Cookies sozialer Plugins,
  • Third-Party-Cookies zu Werbezwecken,
  • First-Party-Analyse-Cookies.

Es kommt damit darauf an, welche Art von Cookies Du verwendest. Nutzt Du Google Analytics, den Facebook Pixel und sonstige Analyse Cookies, dann musst Du als erstes alle Nutzer auf die Cookies hinweisen. Wenn Du nur die erste Art von Cookies setzt, würde ich trotzdem einen Hinweis setzen, der reicht dann aber in jedem Fall aus.

3. Wie muss ich den Cookie Hinweis erteilen?

In dem Hinweis musst Du auf die von Dir verwendeten Cookies hinweisen. Das kann durch Verweis auf Deine Datenschutzerklärung erfolgen. In dieser ist dann allgemein über Cookies aufzuklären und speziell anzugeben, welche Cookies bzw. welche Tools, die personenbezogene Daten an Dritte übertragen, verwendet werden.

Die Einwilligung des Nutzers (ob durch Unterlassen oder aktive Zustimmung) setzt also immer voraus, dass er klar und umfassend über die Cookies informiert wurde. Damit muss der Nutzer

  • über die in dem Cookie gespeicherte Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • die datenverarbeitende Stelle (Verantwortlicher) und
  • sein Widerrufsrecht

informiert werden.

Das gilt entsprechend für alle anderen Tracking-Tools, die das Nutzerverhalten erfassen, wie Zählpixel oder Browser Fingerprints. Für diese gelten die gleichen Anforderungen an den Hinweis (und opt in bzw. opt out).

Zwischenergebnis: Du solltest immer möglichst einen Cookie Hinweis verwenden, in dem dem Nutzer gesagt wird, dass Cookies verwendet werden.

V. Muss ich ein Cookie opt in oder opt out anbieten?

Wie bereits angemerkt, ist es leider unklar, was sich an den Cookie Hinweis anschließen muss. Muss der Nutzer durch

  • Opt-In
  • durch Nicht-Betätigung eines Opt-Out oder
  • durch Nicht-Verhinderung von Cookies durch allgemeine Browsereinstellung

einwilligen? Das deutsche Recht spricht für die zweite Option. § 15 Abs. 3 TMG geht davon aus, dass die Einwilligung durch fehlenden Widerspruch des Nutzers erteilt wird. Die Privacy Richtlinie der EU spricht aber von einer ausdrücklichen Einwilligung, was der ersten Option entspräche. Erwägungsgrund Nr. 66 zu der Richtlinie (die aber nicht verbindlich ist), lässt für die Einwilligung aber ausreichen, dass der Nutzer die Setzung von Cookies in seinem Browser nicht verhindert. Die Rechtslage ist und bleibt also unklar.

1. Was sagen Gerichte zum Cookie Hinweis?

Immerhin ist vor Kurzem obergerichtlich entschieden worden, dass eine ausdrückliche Einwilligung durch opt in (wie bei der Newsletter-Anmeldung) nicht erforderlich ist, sondern vielmehr ein opt out Angebot ausreicht (Oberlandesgericht Frankfurt am Main, Urt. v. 17.12.2015, Az.: 6 U 30/15),. Danach reicht es, wenn dem Nutzer die Gelegenheit gegeben wurde, an deutlich erkennbarer Stelle durch Setzen (oder Abwählen eines voreingestellten) Häkchens sein fehlendes Einverständnis zu erklären.

Ebenso ist in der Entscheidung festgehalten, dass die für die Einwilligung erforderlichen Informationen auch über einen Link erteilt werden können. Hier bietet sich ein Link auf die eigene Datenschutzerklärung an, in der die Verwendung der Cookies ohnehin erläutert werden muss.

2. Was gilt nach der DSGVO für Cookie opt out?

Diese Entscheidung ist aber noch vor der DSGVO ergangen. Auch wenn sich durch die DSGVO an der Rechtslage nichts geändert hat, geht jetzt offenbar die Bayrische Datenschutzbehörde davon aus, dass ein opt in erforderlich ist. Ob das nun eindeutig so ist, kann dahingestellt bleiben. Es gibt definitiv seit der DSGVO nicht wenige Juristen, die dieser Auffassung sind.

3. Was sagt der EuGH ganz neu (29.07.2019)?

Der EuGH hat in seinem ganz neuen Urteil zu Like Buttons geprüft, ob der Nutzer vor der Übertragung seiner Daten an Dritte in die Übertragung seiner Daten einwilligen muss. Der EuGH verweist für die Verpflichtung zur Einwilligung in Rn. 88f. nur lapidar auf die Cookie Richtlinie:

Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

EuGH, Urteil vom 29.07.2019

Danach ist immer eine vorherige Einwilligung des Nutzers in die Weitergabe seiner Daten erforderlich. Daraus ist verbreitet gefolgert worden, dass ab jetzt immer ein Cookie Opt In erforderlich ist. Andere verweisen aber darauf, dass die Cookie Richtlinie nicht unmittelbar geltendes Recht ist.

Ob das Gegenargument wirklich greift ist in Anbetracht einer möglichen direkten Geltung der EU-Cookie-Richtlinie aber zweifelhaft. 

VI. Warum ein Cookie Hinweis nicht reicht

Rechtlich bleibt es dabei, dass sich an der Rechtslage vor der DSGVO eigentlich nichts geändert hat, ein Cookie Hinweis müsste ausreichen. Das entspricht aber nicht mehr der herrschenden Meinung unter den Juristen. Von daher muss von einer reinen Hinweis Lösung, bei der der Nutzer selbst seinen Browser einstellen muss, abgeraten werden.

VII. Warum ein opt out die bessere Wahl ist

Von daher muss man nach dem Grundsatz des sichersten Weges trotz der sehr unübersichtlichen Rechtslage jedem Website Betreiber mindestens raten:

  • einen opt out anzubieten und
  • Vorkehrungen zu treffen, dass bei Widerspruch des Nutzers eine Speicherung von nicht technisch notwendigen Cookies unterbleibt.

Wird dagegen verstoßen, kann dies als wettbewerblich relevant eingestuft werden und zur Abmahnung berechtigen. Die durch die Cookies ermöglichte bessere Werbeansprache des Kunden stellt einen Vorteil im Wettbewerb dar.

Es ist aber nicht sicher, dass ein Cookie opt out reicht. Jedenfalls aber kann ein Opt Out vor allem dann ausreichen, wenn Du nur weniger invasive Cookies verwendest. Ein opt out sollte immer ausreichen, wenn Du nur notwendige oder sicherheitsrelevante Cookies verwendest und nur auf Deine Website beschränkte Analysetools (z.B. intern gehostetes Matomo) nutzt. Dann sollte opt out ausreichen, auch wenn ich nach dem Grundsatz des sichersten Weges ein opt in empfehlen muss.

VIII. Warum nur ein Cookie opt in sicher ist

Vorsichtige verwenden in jedem Fall sogar ein Cookie Opt In. Die conversion rate solcher Hinweise ist aber sicher nur gering. Von daher solltest Du Dir primär überlegen, ein website-übergreifendes Tracking wie Google Analytics ganz auszuschalten.

Bist Du für Online Werbung darauf angewiesen, musst Du selbst abwägen, ob Du eine nicht rechtssichere Gestaltung wählen willst. Ich muss davon abraten und gehe auch davon aus, dass das Thema Cookies kurzfristig auch einiges an Fahrt aufnehmen wird. Damit kommt es oft auch zu mehr Abmahnungen und Bußgeldern.

Ganz allgemein lässt sich aber sagen, je weniger belastend der Nutzer getrackt wird, desto eher reicht ein opt out aus. Eine solche Maßnahme ist insbesondere die Pseudonymisierung der analysierten Daten, wie das insbesondere bei Google Analytics möglich ist. Leider hat die Datenschutzkonferenz in der zitierten Orientierungshilfe pauschal gemeint, das eine Pseudonymisierung nicht relevant sei, doch ist diese Auffassung berechtigt kritisiert worden.

Von daher, wer keinen opt in nutzen will, sollte in jedem Fall alles unternehmen, um sein Tracking so weit als irgend möglich einzuschränken. Je weniger Du trackst, desto größer ist Deine Chance rechtlich konform zu sein.

IX. Muss ich die Cookie Einwilligung nachweisen?

An sich muss eine Einwilligung für den Abmahnfall von dem Website Betreiber nachgewiesen werden (wie etwa beim double opt in für den Newsletter). Wer einen opt in verwendet, braucht aber keinen Nachweis, da ohne Einwilligung die Cookies gar nicht geladen werden. Wer ein opt out verwendet, muss aber dokumentieren und durch Zeugen (etwa den Webdesigner) beweisen können, dass der entsprechende Code für Hinweis und opt out installiert war.

X. Was passiert, wenn der Nutzer nicht einwilligt?

Wählt der Nutzer nicht den opt out, können Cookies verwendet werden. Widerspricht der Nutzer aber durch opt out oder nutzt Du ein opt in und willigt der Nutzer nicht ein, sollte auf der Website technisch sicher gestellt werden, dass keine technisch nicht notwendigen Cookies bei dem Nutzer gespeichert werden.

1. Keine Cookies laden

Dies kann durch eine Funktion geschehen, die das Speichern der Werbe- und Analyse Cookies in dem Browser dieses Nutzers unterbindet (nach Art. 5 Abs. 3 Satz 2 der Datenschutz-Richtlinie v. 20.07.2002, Nr. 2002/58/EG, steht es “einer technischen Speicherung und einem Zugang – zur Website, der Verf. – nicht entgegen, wenn” es sich um technisch notwendige Cookies handelt.; diese Formulierung lässt nur den Schluss zu, dass die Website dafür verantwortlich ist, dass bei Widerspruch des Nutzers die Website Speicherung und Zugang regeln muss und dies nicht dem Nutzer überlassen werden darf).

2. Achtung, nicht Weitersurfen verhindern!

Nach Ansicht niederländischer Datenschutzbehörden darfst Du dem Nutzer aber nicht das weitersurfen auf der Website untersagen, wenn er nicht in die Cookies einwilligt. Nach deren Ansicht zwingst Du damit den Nutzer praktisch, die Cookies zu akzeptieren.

Darüber kann man zumindest bei sehr marktstarken Websites von Großunternehmen nach denken. Es kann kaum sein, das etwa jemand nicht mehr Bahn fahren kann, wenn er die Cookies der DB nicht akzeptiert. Bei kleineren Websites wird man aber kaum von einem Zwang ausgehen können. Dennoch solltest Du nicht die Option nutzen, den Zugang zu der Website zu verweigern, wenn der Nutzer keine Cookies akzeptiert.

XI. Kein verdeckender Hinweis

Hinweise auf Cookies sieht man inzwischen auf vielen Startseiten. Oft verdecken sie aber wesentliche Menüs wie etwa zu Impressum oder AGB. Das kann dann wiederum zu einer Abmahnung oder sonstigen Rechtsnachteilen führen, weil dann diese Elemente nicht rechtskonform verwendet werden.

XII. Datenschutzerklärung

Für welche Lösung auch immer Du Dich entscheidest, wichtig ist auch, dass Datenschutzerklärung die von Dir gewählten Einstellungen abbildet. Diese kannst Du mit unserem Datenschutz-Generator und unserem Datenschutz-Plugins für WordPress, Joomla und andere CMS-Systeme schnell und bequem umsetzen.

  Zum Komplett-Schutz 

XIII. Aktualisierung April

XIV. Ergebnis

Obwohl die DSGVO auf Cookies einheitlich nicht anwendbar ist, hat sie die Rechtslage für Cookies wohl verändert. Ein Hinweis auf Cookies mit link zur Datenschutzerklärung und einer Erläuterung, wie man sie abstellt, ist jedenfalls das absolute Minimum.

Das reicht aber aus, wenn Du nur technisch notwendige Cookies verwendest und insbesondere kein Tracking installiert hast. Nutzt Du jedoch auch tracking Cookies, ist mindestens ein opt out anzubieten, bei dem der Nutzer leicht erreichbar den Cookies widersprechen kann. Das lässt sich z.B. mit dem Borlabs Cookie Plugin* umsetzen.

Nutzt Du aber ein Website-übergreifendes Tracking, ist ein opt in wenigstens ratsam. Nach Ansicht der Datenschutzkonferenz muss ein opt in im Falle von Tracking-Cookies aber gesetzt werden. Zwar entscheidet die Datenschutzkonferenz nicht verbindlich über die Rechtslage, sondern am Ende die Gerichte, doch ist die Gefahr einer solchen Gerichtsentscheidung durch die Meinung der Datenschutzerkonferenz sicher nicht kleiner geworden. Dennoch ist das opt in gesetzlich nicht verankert, es kann also sein, dass es „gut“ geht. Das Risiko musst Du für Dich abwägen. Ich rate zum opt in als sicherste Lösung.

 

Mehr über die DSGVO erfährst du hier.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

4 Kommentare

  1. Charlott B.

    Charlott B. – Wiederholung wegen falscher @-Adresse … Sorry …
    2. Juli 2019

    Komme ich ohne Cookie-Hinweis aus?
    Meine (kommende) vollkommen private Website beherbergt in ihrem Inhalt allen Ernstes nichts, was als Cookie-nutzend (oder -setzend) angesehen werden kann. Sie ist im Vorlauf auch anwaltlich als nicht impressumspflichtig eingestuft worden. Inwieweit ich dem nachkomme, weiß ich noch nicht.
    Der Webseitendesigner hat mir (auch im Bezug auf die SEO-Nutzung) schriftlich versichert, keine entsprechenden Tools, die als Cookies zum Erkennen, Behandeln, Verfolgen oder Speichern und Weitergeben irgendwelcher Besucherdaten betrachtet werden können, eingesetzt zu haben.
    Lediglich der Provider bestätigte den Einsatz der … „Server-Files“ (hab den Namen vergessen), die nach 7 Tagen gelöscht werden (Sessions-Cookies wohl?). Beide Texte stehen bereits im „Datenschutz“.
    Die Frage steht oben schon, oder (auch im Hinblick DSGVO) anders gestellt:
    Wäre folgender Text in einem Cookie-Hinweis rechtlich falsch und somit ungültig:
    „Unsere Website setzt in Ihrem Gerät keinerlei Tools, Cookies, techn. Vorrichtungen, um es wieder zu erkennen oder um Sie irgendwo/-wie zuzuordnen.“

    Dankeschön

    Charlott

    • ronald kandelhard

      Hallo Charlott, da kann ich mich kurz fassen: Nein, keine Cookies, keine Hinweise 🙂

      Aber der Text wäre dann nicht „keine“, sondern nur die notwendigen Cookies (zB eben die
      Session Cookies), die sind aber erlaubt und sind ja auch bereits erwähnt, wie Du geschrieben hast.
      Ansonsten findest Du passende Texte natürlich auch mit unserem Komplett-Schutz: https://easyrechtssicher.de/datenschutz-generator/
      Viel Erfolg mit Deiner Website.

  2. Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher

  3. Pingback: 29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich - easyRechtssicher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.