„Diese Website verwendet Cookies“ – beim Besuch von Webseiten stoßen Internetnutzer immer häufiger auf solche Hinweise zum Datenschutz. Webseitenbetreiber kommen damit ihrer Pflicht nach, über die Speicherung nutzerrelevanter Daten aufzuklären. Laut der E-Privacy-Richtlinie der EU – allgemein bekannt als „Cookie-Richtlinie“ – ist das Speichern dieser Informationen allerdings nur erlaubt, wenn die User darin einwilligen. Ein sogenanntes Opt-in-Verfahren ist demnach – zumindest bei Tracking-Cookies – obligatorisch. Das hat auch der Europäische Gerichtshof in einem neuerlichen Urteil bestätigt: Nutzer müssen aktiv zustimmen, bevor Cookies gesetzt werden dürfen.
Durch das europaweite Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben sich viele Vorschriften rund um die Speicherung von sensiblen Nutzerdaten innerhalb der EU geändert. Eigentlich sollte die neue e-Privacy-Verordnung, deren Entwurf die EU am 10. Januar 2017 offiziell vorstellte, zeitgleich rechtskräftig werden. Sie ist speziell im Anwendungsbereich von Cookies als detaillierte Ergänzung zur DSGVO geplant, allerdings steht die Entwicklung derzeit still. Das Parlament konnte sich bisher nicht auf einen Entwurf einigen und ein Inkrafttreten ist daher in naher Zukunft nicht abzusehen. Deshalb bleibt die EU-Cookie-Richtlinie weiterhin in Kraft. Doch was ist der aktuelle Stand der Rechtsprechung?
In Deutschland hatte die Verbraucherzentrale gegen eine Glückspiel-Website geklagt, auf der die Frage nach dem Setzen von Cookies zwar gestellt, das entsprechende Antwortkästchen aber bereits angekreuzt war. Nutzer mussten also, wollten sie der Speicherung von Cookies entgegenwirken, diese Zustimmung widerrufen – ein Opt-out. Der Europäische Gerichtshof, der hierüber zu entscheiden hatte, hat sich für den Datenschutz ausgesprochen. Es soll ein Opt-in stattfinden. Nutzer müssen also selbst das Häkchen zur Zustimmung setzen können. Außerdem stellte das Gericht erneut fest, dass Nutzer über die verwendeten Cookies informiert werden müssen. Website-Betreiber sollen demnach Informationen liefern, wie lange die Dateien gültig sind und zu welchem Zweck sie gespeichert werden.
Nach einer Revision hat 2020 auch der Bundesgerichtshof sein Urteil zu der Problematik gefällt und den Glücksspielbetreiber für schuldig erklärt:
"Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar." – Bundesgerichtshof.
Aus dem Gerichtsurteil lässt sich ablesen, dass die Einwilligung der Nutzer aktiv, freiwillig und nach vorheriger Informierung erfolgen muss. Das bedeutet zunächst, dass die Besucher einer Website das Häkchen für die Zustimmung selbst setzen müssen (aktiv). Gleichzeitig darf durch eine fehlende Zustimmung der Besuch der Website nicht unterbunden werden (freiwillig). Und schließlich muss den Besuchern klar sein, wozu sie gerade zustimmen – und zwar deutlich, und nicht in langen Rechtstexten versteckt (informiert). Damit geht nun auch die Justiz gegen sogenannte Dark Patterns vor, bei denen möglichst unklares Webdesign verwendet wird, um Nutzern eine bestimmte Tätigkeit (zum Beispiel die Einwilligung zu Werbe-Cookies) aufzudrängen.
Das Urteil des Bundesgerichtshofes bezieht sich auf Cookies, die zu Werbezwecken oder zur Markforschung eingesetzt werden. Cookies, die für den technischen Betrieb der Website notwendig sind (beispielsweise für digitale Warenkörbe), sind von der Rechtsprechung nicht betroffen.
Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten zum Besuch von Websites und erhöhen damit deren Benutzerfreundlichkeit: Zum Beispiel merkt sich Ihr Browser Log-in-Daten und Spracheinstellungen, die Sie dann nicht ständig aufs Neue eingeben müssen. Dem nützlichen Aspekt gegenüber steht die Kritik, dass Cookies mit dem Datenschutz oft nicht vereinbar seien. So werden viele Cookies eingesetzt, um bestimmte Aspekte des Surfverhaltens aufzuzeichnen, worüber z. B. personalisierte Werbung im Browser möglich wird. Vor allem Tracking- und Targeting-Cookies sind Datenschützern häufig ein Dorn im Auge.
Ein Cookie enthält normalerweise eine Angabe über die Lebensdauer der Textdatei sowie eine zufällig generierte Nummer, über die Ihr Computer wiedererkannt wird. In der Regel erfolgt die Datenspeicherung von Cookies anonymisiert. Personenbezogene Daten können nur dann gesammelt werden, wenn die entsprechende Seite ein Log-in erfordert.
Die in einer Textdatei hinterlegten Daten kann allein der Webserver auslesen, der das Cookie gesetzt hat.
In der Europäischen Union soll die Richtlinie 2009/136/EG den Schutz personenbezogener Daten bei Website-Besuchen gewährleisten und stärken. Die 2009 erlassene EU-Cookie-Richtlinie sollte spätestens im Jahr 2011 von allen Mitgliedsstaaten umgesetzt werden – was so allerdings nicht geschah.
Die Cookie-Richtlinie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.
Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Das betrifft alle Cookies, die technisch nicht notwendig für das Funktionieren des Internetangebots sind. Vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Die EU-Richtlinie gibt allerdings nicht vor, wie die genannten Auflagen genau umzusetzen sind. Vor allem hinsichtlich der Einverständniserklärung durch Website-Besucher herrscht Ungewissheit.
Die Europäische Union möchte mit der Cookie-Richtlinie die personenbezogenen Daten der Internetnutzer stärker schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:
Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.
Das ist der Unterschied zwischen Opt-out und Opt-in:
Das Urteil des Europäischen Gerichtshofs hat diese klare Unterscheidung ins Wanken gebracht: Laut EuGH gilt die Opt-in-Pflicht auch für nicht personenbezogene Cookies. Ob nun also auch technisch relevanten Cookies zugestimmt werden muss, wird derzeit noch diskutiert.
In Deutschland wurde die Cookie-Richtlinie bislang nicht eigens mit einem neuen Gesetz umgesetzt. Der Grund: Die Bundesregierung sieht die Richtlinie bereits mit dem deutschen Telemediengesetz (TMG) als erfüllt an. Jedoch deckt das TMG die Forderungen der EU-Richtlinie nicht umfassend ab. Denn viele verstehen die Cookie-Richtlinie der EU als Anordnung einer Opt-in-Pflicht, wogegen das TMG allein eine Opt-out-Variante vorschreibt. Datenschützer kritisieren deshalb die schwache Umsetzung der EU-Richtlinie.
Der Bundesgerichtshof stellte allerdings in seinem Urteil vom Mai 2020 fest, dass das TMG und die EU-Cookies-Richtlinie doch konform seien, und das deutsche Gesetz ebenfalls ein Opt-in verlangen würde. Deutsche Websitebetreiber sollten sich demnach nicht an die alte Auslegung des TMG klammern.
2020 ist ein neues Gesetz ins Gespräch gekommen, das im Dezember 2021 in Kraft getreten ist: Das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) bündelt alle datenschutzrelevanten Gesetze aus Telemediengesetz und Telekommunikationsgesetz, greift das BGH-Urteil auf und setzt gleichzeitig die e-Privacy-Richtline (2002/58/EG) in nationales Recht um. In puncto Cookies ist vor allem der erste Abschnitt des Paragraphs § 25 „Schutz der Privatsphäre bei Endeinrichtungen“ von Interesse:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“ – Bundesministerium der Justiz
Es ist somit nun vorgeschrieben, dass das Sichern und Zugreifen auf Daten von Internetnutzern erst gestattet ist, wenn diese DSGVO-konform zugestimmt haben. Als Ausnahme gelten Situationen, in denen die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz oder die Einrichtung eines erbetenen Telemediendienstes vorgenommen wird.
Bisherige Entwürfe der ePrivacy-Verordnung sahen ein Verbot von technisch nicht notwendigen Cookies generell vor, mit der Ausnahme, dass Nutzer deren Verwendung vorher zustimmen. Der Erstentwurf sprach dabei lediglich von Webanwendungen. Die Version vom 22. März 2018 schließt jede Art der maschinengestützten Kommunikation ein, also beispielsweise Apps, E-Mail und die Erhebung von Metadaten bei VoIP-Telefonaten. Das betrifft auch die Kommunikation zwischen zwei Maschinen, sogenannte M2M-Kommunikation.
Die ePrivacy-Verordnung sollte auch internationale Anbieter von Kommunikationsservices interessieren. Denn die Verordnung schreibt vor, dass die Regelungen Anwendung finden, sobald sich ein Endgerät innerhalb der EU-Grenzen befindet. Dabei ist es unerheblich, wo die Datenverarbeitung eines angesteuerten Dienstes stattfindet.
Der Datenschutz in den USA ist beispielsweise weniger streng ausgelegt. Da der Anwendungsbereich der ePrivacy-Verordnung gilt, sobald ein Endgerät in Europa auf Kommunikationsdienste zugreift, werden amerikanische Unternehmen überlegen müssen, ob Sie Ihre Angebote in Bezug auf Cookies für Europa lokalisieren und somit weniger zielgerichtete Werbung schalten können oder ob sie Kunden möglicherweise mit einer „Bezahlschranke“ konfrontieren.
Der Erstentwurf der ePrivacy-Verordnung verlangte, dass in den Browser-Einstellungen vom Hersteller generell die höchste Privatsphärenstufe voreingestellt sein sollte. In dieser akzeptiert der Browser keine Cookies von Dritten. Somit würden die aktuell viel genutzten Cookie-Banner wegfallen, da sich User bei jeder Software-Installation aktiv dafür entscheiden müssten, Cookies zu akzeptieren. Diese Vorgabe basierte auf dem Prinzip „Privacy by Design“, das bereits in der DSGVO festgeschrieben ist. Ein neuerer Entwurf lockerte allerdings die Regelungen für die Browsereinstellungen. Dies lässt User wieder von Domain zu Domain entscheiden, ob Sie Cookies zulassen.
Das sogenannte Koppelungsverbot schreibt vor, dass die Nutzung einer Website nicht davon abhängig gemacht werden darf, ob User der Verwendung von Cookies zustimmen. Es gibt jedoch berechtigte Zwecke, die notwendige Cookies voraussetzen können. Muss sich ein User beispielsweise beim Onlinebanking authentifizieren oder möchte er den Warenkorb eines Onlineshops nutzen, sind häufig Cookies notwendig. Informieren Website-Betreiber die User klar verständlich über den Zweck, können Einverständnis und Nutzung gekoppelt werden.
Website-Betreiber sollten die weiteren Entwicklungen rund um die Umsetzung der EU-Cookie-Richtlinie aufmerksam verfolgen – denn die Rechtslage wird sich mit der ePrivacy-Verordnung definitiv ändern, auch wenn noch nicht ganz klar ist, wie streng diese ausfallen wird. Die Datenschutz-Grundverordnung der EU enthält weitere Bestimmungen für die Sicherheit von personenbezogenen Nutzerdaten. Solange die ePrivacy-Verordnung noch nicht rechtskräftig ist, fallen Cookies zumindest unter den Einflussbereich der in Kapitel 1 der DSGVO definierten personenbezogenen Daten – sofern sie Daten erfassen, die einen User auf irgendeine Weise (Kennnummer, Userprofil etc.) identifizierbar machen.
In den letzten Jahren mussten sich deutsche Websites lediglich dann stärker an der Cookie-Richtlinie orientieren, wenn sie beispielsweise Waren ins EU-Ausland über einen Onlineshop verkauften und entsprechende Zielmärkte das EU-Recht strenger auslegten. Die Cookie-Richtlinie in der EU hatte zudem Einfluss auf das sogenannte Retargeting, bei dem Onlinemarketing-Experten versuchen, mithilfe von Tracking-Cookies Käufer zu weiteren Transaktionen zu bewegen.
Doch seit Inkrafttreten der Datenschutz-Grundverordnung in die Gesetzgebung gelten auch hierzulande strengere Regeln für die Verarbeitung personenbezogener Daten. Diese Regelungen genau umzusetzen, wird Website-Betreibern zudem ein gutes Stück Arbeit ersparen, wenn später die „neue Cookie-Richtlinie“ in Form der e-Privacy-Verordnung rechtsgültig wird.
Wie Sie gespeicherte Cookies in Ihren Browser löschen können, zeigen wir Ihnen in diesem Video:
Mit dem weiteren Klick laden Sie das Video von YouTube. In diesem Fall kann YouTube Cookies setzen, auf welche wir keinen Einfluss haben.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.
Seit dem 25. Mai 2018 gibt es das neue europäische Gesetz zum Datenschutz. Wir fassen alles Wissenswerte zur neuen Datenschutz-Grundverordnung für Unternehmer und Onlinehändler zusammen. Welche relevanten Gesetze haben sich geändert? Welche Maßnahmen muss man ergreifen, um weiterhin datenschutzkonform wirtschaften zu können? Und was halten Experten eigentlich von den Neuregelungen?
Sie legen beim Onlineshopping etwas in den Warenkorb, sind sich aber nicht ganz sicher und möchten noch eine Nacht über die Neuanschaffungen schlafen? Dank Cookies müssen Sie Ihren Warenkorb am nächsten Tag nicht erneut befüllen. Aber nicht alle Cookies machen das Surfen im Internet komfortabler. Deshalb empfiehlt es sich, ab und an Cookies zu löschen.
Bei Cookies, den kleinen Textdateien für Internetbrowser, ist zwischen First-Party-Cookies und Third-Party-Cookies zu unterscheiden. First-Party-Cookies verbessern die Nutzerfreundlichkeit einer Internetseite, indem Nutzerpräferenzen und schon einmal eingegebene Informationen gespeichert werden, um sie später automatisch anzuwenden. Diese Cookies kann nur der jeweilige Webseitenbetreiber selbst...
Seit Anfang 2020 hat der amerikanische Bundesstaat Kalifornien ein neues Verbraucherschutzgesetz. Der California Consumer Privacy Act, kurz CCPA, gewährt kalifornischen Bürgern ein stärkeres Mitspracherecht bei der Speicherung und Weitergabe personenbezogener Daten. Was genau es mit dieser neuen Verordnung auf sich hat und für wen sie von Relevanz ist, erfahren Sie hier.
WordPress-Cookie-Plugins sind für die Betreiber von WordPress-Projekten von entscheidender Bedeutung, wenn es darum geht, Cookies rechtssicher einzusetzen. Wer technisch nicht erforderliche Cookies verwendet, muss heute mittels „Opt-in“ die aktive Zustimmung der Website-Besucher einholen. In diesem Beitrag zeigen wir Ihnen die vier besten Plugins zur Gestaltung von entsprechenden...
Das Auszeichnen von Preisen geschieht nicht willkürlich. Die sogenannte Preisangabenverordnung regelt zum Beispiel, wie Rabatte gekennzeichnet werden dürfen. Dies betrifft nicht nur den stationären Einzelhandel, sondern auch Onlineshops. Damit Sie mit Ihrem Webshop über die PAngV Bescheid wissen, zeigt Ihnen unser Übersichtsartikel wichtige Punkte der Verordnung auf.
Nur für kurze Zeit: So erhalten Sie zwei Gratis-Domains!
Kaufen Sie eine .de-Domain und erhalten Sie eine .com und .info Domain gratis dazu.
Sie empfehlen unsere Produkte über unseren Partner Aklamio weiter. Wir bedanken uns mit einer Geldprämie.
Weiterempfehlen
Professionell: 100% werbefrei