Rechtskonforme Cookie-Banner

DSGVO-Ratgeber: Wie rechtskonforme Cookie-Banner aussehen

Der rechtskonforme Einsatz von Cookies und Cookie-Bannern kann Unternehmen im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) sowie weitere rechtliche Vorschriften vor Herausforderungen stellen. Eine korrekte technische sowie juristische Ausgestaltung von Cookie-Bannern ist dennoch für jede Webseite verpflichtend. Wichtig ist an dieser Stelle insbesondere die eindeutige Einwilligung des Nutzers. Durch die Vorschriften und Grundsätze der DSGVO sollen die personenbezogenen Daten der User besser geschützt werden. Urteile des BGH sowie des EuGH haben zudem die gesetzlichen Vorschriften um eine klare Rechtsprechung ergänzt und Maßstäbe für die Umsetzung gesetzt. Für die meisten Unternehmen gestaltet es sich jedoch schwierig, einen Überblick über die rechtliche Zulässigkeit der Nutzung von Cookie-Bannern zu erlangen und aufgrund der Urteile auch zu behalten.

In diesem Ratgeber wird näher erläutert, was ein Cookie-Banner ist und welche rechtlichen Rahmenbedingungen bei der Implementierung auf einer Webseite beachtet werden müssen. In diesem Hinblick werden auch die Anforderungen der DSGVO betrachtet und erläutert, worauf beim Gestalten eines Cookie-Banners geachtet werden muss. Weiterhin betrachtet dieser Ratgeber die rechtlichen Hintergründe von Diensten wie Matomo oder FLoC.

Was ist ein Cookie-Banner?

Unter einem Cookie versteht sich eine kleine Textdatei, welche beim Surfen im Internet in dem jeweiligen Browser gespeichert wird. Einmal gespeicherte Cookies können die Suchergebnisse sowie angezeigte Werbung langfristig beeinflussen.

Ein Cookie-Banner ist dagegen ein Textfeld, welches beim Betreten einer Homepage im Vordergrund erscheint. Mit diesem Banner wird die Zustimmung eines Users zum Speichern von Cookies eingeholt. Im Jahr 2011 ist die EU-Datenschutzrichtlinie für elektronische Kommunikation erschienen, woraufhin Cookie-Banner erstmals auf Webseiten eingesetzt werden mussten. Vor der Einführung dieser Richtlinie wurden Nutzer beim Betreten einer Webseite lediglich über die Nutzung von Cookies informiert. Seit 2011 müssen Cookie-Banner detaillierter und umfangreicher als zuvor sein. Zudem müssen sie den User nicht nur informieren, sondern auch sein Einverständnis einholen. An dieser Stelle wird einem User die Möglichkeit eingeräumt, über die zugelassenen Cookies zu entscheiden. Mit dem Inkrafttreten der DSGVO im Mai 2018 sind Cookie-Banner auf Webseiten schließlich zur Normalität geworden.

Seit der verpflichtenden Nutzung dieser Cookie-Banner haben sich mehrere Designs und Ausführungen etablieren können. Doch nicht alle hiervon entsprechen den rechtlichen Vorschriften und Bestimmungen.

Wann wird ein Cookie-Banner benötigt?

Ein Cookie-Banner wird immer dann benötigt, wenn Webseiten über Features wie beispielsweise Google Analytics, GoogleAds, Facebook, YouTube oder andere Plug-in‘s und Tools verfügen. Diese Features erzeugen eine Notwendigkeit von Cookies, weshalb letztlich auch ein Cookie-Banner zur Pflicht wird. Ausgenommen sind lediglich Webseiten, welche über keine Features oder Plug-in‘s verfügen und keine personenbezogenen Daten erheben. Im Regelfall stellt dies jedoch eher die Ausnahme dar.

Die Vorschriften der DSGVO finden für sämtliche Webseiten und Blogs Anwendung, welche von Usern aus der EU besucht und genutzt werden können. Wenn die Cookies einer Webseite personenbezogene Daten speichern und damit mehr als nur den technischen Betrieb ermöglichen, greifen die Regelungen der DSGVO ein. Zu beachten ist hierbei insbesondere das Einholen einer DSGVO-konformen User-Einwilligung. An dieser Stelle wird ein Cookie-Banner zwingend benötigt. Dieser informiert den User und holt die notwendige Einwilligung in korrekter Form ein. Weiterhin ist eine Consent Management Plattform (CMP) zu empfehlen, welche die Einwilligungen der Webseitenbesucher automatisch einholt, verwaltet und lückenlos dokumentiert. Dies dient insbesondere dem Nachweis, dass sämtliche Anforderungen der DSGVO eingehalten wurden.

Datenschutz und Privatsphäre im Internet

Der Datenschutz sowie die Privatsphäre im Internet gewinnen zunehmend an Bedeutung. Im Hinblick auf die rechtskonforme Verwendung von Cookies müssen grundsätzlich zwei Regelungswerke beachtet werden. Zunächst werden Endgeräte unabhängig von der Art der dabei gespeicherten oder gelesenen Daten durch die ePrivacy-Richtlinie vor fremdem Zugriff geschützt. Dieses Regelwerk dient nicht vorwiegend dem Schutz von personenbezogenen Daten, sondern soll vielmehr die Integrität von Endgeräten und damit deren Schutz vor Fremdzugriff sicherstellen und wahren. Es werden der Computer, das Smartphone sowie andere Geräte oder das Smart Home vor einem unbefugten Zugriff geschützt. Die Regelungen der ePrivacy-Richtlinie sind in nationalen Gesetzen niedergeschrieben und werden von der EU vorgegeben. Weiterhin schützt die DSGVO als zweites Regelwerk die personenbezogenen Daten der betroffenen Nutzer und dies unabhängig davon, ob diese Daten sich innerhalb oder außerhalb von Endgeräten befinden. Der Datenschutz dient in erster Linie dem Schutz personenbezogener Daten und ist in der DSGVO geregelt. Mit dem Regelwerk sollen mitunter die Freiheit der Menschen und der Schutz vor Überwachung gewährleistet werden.

Oftmals bestehen Unklarheiten, welches Recht für einen Webseitenbetreiber einschlägig ist. In der Literatur ist es umstritten, in welchem Verhältnis die DSGVO und die Regelungen der ePrivacy-Richtlinie zueinanderstehen. In der Praxis ist die genaue Differenzierung jedoch meist eher von untergeordneter Bedeutung. Die Regelungen der ePrivacy-Richtlinie sind streng und verlangen für das Auslesen sowie das Schreiben von Cookies eine Einwilligung der User. Regelmäßig wird der Einsatz von Cookies lediglich anhand der Vorschriften der ePrivacy-Richtlinie geprüft. Wird von einem Nutzer eine ePrivacy-Einwilligung erteilt, kann zeitgleich eine wirksame datenschutzrechtliche Einwilligung eingeholt werden. Als Voraussetzung ist hierbei anzuführen, dass die User über die Erhebung der personenbezogenen Daten ausreichend informiert werden. Falls die strengen Regelungen der ePrivacy-Richtlinie im Einzelfall keine Einwilligung verlangen, so wird in der Regel auch nach der DSGVO keine Einwilligung erforderlich sein. In der Praxis konzentrieren sich daher viele Juristen auf die Prüfung der Regelungen der ePrivacy-Richtlinie.

Anforderungen der DSGVO

Die relevanten Normen zur rechtskonformen Nutzung von Cookie Bannern ergeben sich aus der DSGVO und der europäischen ePrivacy-Richtlinie, welche durch das TMG auch in Deutschland Anwendung findet und zu beachten ist. Die DSGVO ergänzt die Regelungen der ePricacy um die Vorschriften zur Verarbeitung personenbezogener Daten. Durch die ePricacy wird der Vorgang des Speicherns sowie des Auslesens von Informationen auf Endgeräten eines Users geregelt (vgl. hierzu Art. 5 Abs. 3 ePrivacy-Richtlinie).

Nach den Anforderungen der DSGVO bedarf es eines Cookie-Consent-Banners, mit welchem eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO eingeholt werden kann. Die DSGVO definiert eine Einwilligung demnach als jede freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder konkludenten Handlung. Mit dieser Handlung muss die betroffene Person klar zu verstehen geben, dass sie mit der Verarbeitung der personenbezogenen Daten einverstanden ist. Die Rechtsprechung ist sich einig, dass ein einfaches Weitersurfen auf einer Webseite keine konkludente Handlung darstellt. Ebenso sind vorab angekreuzte und lediglich abwählbare Kästchen (Opt-out statt Opt-in) nicht als Einwilligung zu werten.

Für die Nutzung bestimmter Web-Technologien und Plug-in‘s wie beispielsweise Cookies oder Tracking-Pixel wird gemäß Erwägungsgrund 30 DSGVO eine Einwilligung der Nutzer benötigt. Im Erwägungsgrund 32 Satz 1 DSGVO hat der Gesetzgeber eine Einwilligung als eindeutige bestätigende Handlung beschrieben und die möglichen Formen mit einer schriftlichen Erklärung, die auch elektronisch erfolgen kann oder einer mündlichen Erklärung abschließend benannt. Nach dem Erwägungsgrund 32 Satz 2 DSGVO kann eine solche Einwilligung in dem Anklicken eines Kästchens bei dem Besuch einer Webseite gesehen werden. Möglich ist ebenfalls die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder eine andere Erklärung oder Verhaltensweise, mit der ein User in dem jeweiligen Kontext eindeutig sein Einverständnis mit der Verarbeitung der personenbezogenen Daten signalisiert.

Der Erwägungsgrund 43 Satz 2 DSGVO stellt zusätzlich klar, dass eine Einwilligung nicht als freiwillig gewertet wird, wenn für unterschiedliche Vorgänge der Verarbeitung von personenbezogenen Daten nicht auch gesondert eine Einwilligung erteilt werden kann. Voraussetzung ist, dass eine gesonderte Einwilligung im Einzelfall angebracht ist oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist. Wird bei einer Webseite durch bereits vorgeschaltete Abfragen eine Einwilligung eingeholt, so müssen die jeweiligen Verarbeitungsvorgänge einzeln anwählbar sein. Eine grobe Aufteilung nach dem Zweck der Verarbeitung genügt hierbei regelmäßig. Jede Einwilligung, welche den Anforderungen der DSGVO nicht genügt, ist als unwirksam anzusehen und darf nicht als Rechtsgrundlage für die Verarbeitung personenbezogener Daten ausgelegt werden. Ein Abstellen auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO ist nicht mehr möglich.

Die bisherige Rechtsprechung zeigt, dass die datenschutzrechtlichen Einwilligungsvoraussetzungen in der Praxis meist nur lückenhaft gegen eine manipulative Verhaltenslenkung eines Nutzers schützen. Umso relevanter für die Praxis ist daher, dass eine übermäßige Verhaltenslenkung auch einen Verstoß gegen den Erwägungsgrund 25 DSGVO darstellen kann.

Entscheidung des BGH

In der Vergangenheit galt: Das Setzen von technisch notwendigen Cookies war auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f) DSGVO als berechtigtes Interesse zulässig. Hingegen bedurfte es vor dem standardmäßigen Setzen technisch nicht notwendiger Cookies der expliziten Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a) DSGVO). Nach dem Urteil des BGH wurde diese Regelung deutlich verschärft. Eine Einwilligung ist demnach für nahezu alle zu setzenden Cookies einzuholen. Dies gilt für Cookies zu Werbezwecken sowie gleichermaßen für Cookies, die zu sämtlichen weiteren Zwecken eingesetzt werden. Neben den personenbezogenen Daten soll damit auch die Selbstbestimmung eines Nutzers darüber geschützt werden, welche Dateien und Informationen auf seinem Gerät gespeichert werden.

Für technisch notwendige Cookies sowie technisch nicht notwendige Cookies ergibt sich jeweils eine andere Rechtsfolge. Über Cookies, welche technisch unabdingbar sind, muss der Betreiber einer Webseite vor dem Setzen lediglich informieren. Hierfür sind einfache Cookie-Banner in der Regel ausreichend. Werden hingegen Cookies verwendet, die nur mit einer Einwilligung gesetzt werden dürfen, muss der Betreiber der Webseite darüber informieren und die entsprechende Einwilligung des Nutzers einholen. Einfache Cookie-Banner reichen hierbei meist nicht aus, weshalb der Einsatz von Cookie-Consent-Bannern notwendig wird.

Der BGH kam nach einer Vorlage an den EuGH letztlich zu der Auffassung, dass die Verwendung vorangekreuzter Kästchen den Anforderungen einer Einwilligung für die Speicherung von Cookies auf dem Endgerät eines Nutzers nicht gleichkommt. Dennoch nutzen viele Webseiten dieses standardmäßige Setzen von Häkchen zur Zustimmung. Diese Vorgehensweise ist rechtswidrig, da die User der Verwendung von Cookies nicht explizit zugestimmt haben. Der BHG stellt jedoch auch klar, dass unbedingt erforderliche Cookies von den Betreibern einer Homepage vorausgesetzt werden dürfen. Um ein berechtigtes Interesse der Datenverarbeitung handelt es sich jedoch nur, wenn hierbei keine personenbezogenen Daten gespeichert werden. Die Leitentscheidung des BGH im Planet-49-Urteil wurde einmal mehr durch das Urteil des LG Rostock (Az.: 3 O 762/19) bestätigt. Mit dem Cookie-Einwilligung II-Urteil wurden grundsätzlich Maßstäbe für die rechtskonforme Einwilligung von Cookies gesetzt.

Das Planet49-Urteil des EuGH

Der BGH legte dem EuGH in der Revisionsinstanz die für den Streitfall maßgeblichen Fragen zur Auslegung von mitunter Art. 5 Abs. 3 ePrivacy-Richtlinie sowie Art. 6 Abs. 1 lit. a) DSGVO zur Vorabentscheidung vor. Daraufhin stellte der EuGH in seinem Planet49-Urteil sinngemäß die nachfolgenden Grundsätze auf:

Eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie für das Speichern sowie den Abruf von Cookies ist durch ein vorangekreuztes Kästchen nicht gegeben. Weiterhin müssen Einwilligungen im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie den Anforderungen an die Erteilung einer Einwilligung nach Art. 4 Nr. 11 sowie Art. 6 Abs. 1 lit. a) DSGVO entsprechen. Diese Anforderungen gelten laut dem Urteil des EuGHs unabhängig davon, ob mit den Cookies einer Webseite personenbezogene Daten oder lediglich sonstige andere Daten ohne den direkten Personenbezug im Endgerät des Nutzers gespeichert oder abgerufen werden.

Urteil des LG Rostock zu Dark Patterns

Bereits in mehreren Verfahren stellte sich die entscheidende Frage, wann eine Einwilligung zur Verarbeitung personenbezogener Daten auf einer Webseite durch Cookie-Consent-Banner rechtskonform gestaltet ist. Das Landesgericht Rostock (LG Rostock) urteilte darüber, in welchen Fällen die Freiwilligkeit sowie die Informiertheit eines Besuchers einer Webseite tatsächlich gewährleistet sind. Dabei bestätigte das Urteil nicht nur die Auffassung anderer Gerichte, sondern gibt auch erstmals konkrete, aber dennoch auch vorsichtig formulierte Hinweise auf die Ausgestaltung und die Designanforderungen eines Cookie-Consent-Banners. Hierbei wird insbesondere die Rechtswidrigkeit von Dark Patterns und Nudging betont. Als Dark Patterns werden spezielle Designmuster bezeichnet, welche gezielt zur Manipulation von Nutzern eingesetzt werden. Sie sollen die betroffenen Personen entgegen ihres eigentlichen Interesses zu einer Aktion und damit zu einer Einwilligung verleiten. Im Bereich der Software-Entwicklung werden diese auch als Anti-Patterns bezeichnet.

Die Verbraucherzentrale Bundesverband e.V. (VZBV) ist eine qualifizierte Einrichtung gemäß § 4 Unterlassungsklagengesetz (UklG) und hatte diese Klage angestrengt. Mit Urteil vom 15. September 2020 (Az.: 3 O 762/19) entschied das LG Rostock über gleich mehrere Ansprüche auf Unterlassen, welche sich auf datenschutzrechtliche Schutzansprüche gegen das Unternehmen advocado GmbH richteten. Als Betreiber einer Webseite setzte der Beklagte ein Cookie-Banner mit vorangekreuzten Feldern ein, bei welchem die Einwilligung der Nutzer zu unterschiedlichen Zwecken wie Analyse- oder Werbezwecken eingeholt werden sollte. Wählte der Nutzer die einzelnen Felder nicht aktiv ab, so akzeptierte er die Datenverarbeitung. In diesem speziellen Fall wurde zudem eine Einwilligung zur Datenübermittlung an das Unternehmen Google erteilt. Die Verbraucherschützer sahen in dem Vorgehen eine rechtswidrige Ausgestaltung des Cookie-Banners.

Die Kläger führten mitunter an, dass die verlinkte Datenschutzerklärung fehlerhaft war und damit gegen die Grundsätze von Treu und Glauben sowie der Transparenz verstoßen würden (vgl. hierzu Art. 12 ff. DSGVO). Weiterhin wurde den Nutzern der wesentliche Inhalt der Vereinbarung zwischen gemeinsamen Verantwortlichen im Sinne des Art. 26 Abs. 2 Satz 2 DSGVO vorenthalten. Im Einzelfall ging es hierbei um das Tracking, welches durch Google Analytics vorgenommen wurde.

Das LG Rostock urteilte in mehreren Punkten zugunsten des Klägers. Zunächst habe der Betreiber der Webseite ohne eine wirksame Einwilligung im Sinne des § 15 Abs. 3 Satz 1 TMG die personenbezogenen Daten der Nutzer durch Übermittlung an Dritte rechtswidrig verarbeitet. Zudem hatte das Unternehmen für die Datenübertragung an Dritte einen falschen Rechtfertigungsgrund angegeben, welcher jedoch nach Art. 45 ff. DSGVO rechtskonform vorliegen muss. Das Cookie-Banner sei weiterhin durch die vorangekreuzte Auswahl irreführend und könne aus diesem Grund nicht als Einwilligung zählen. Die Entscheidung gegen Dark Patterns hatte weitreichende Folge, da viele Unternehmen von dieser Gestaltung Gebrauch machten. Das Gericht urteilte weiterhin, dass es sich bei der Nutzung von Funktionen wie beispielsweise Google Analytics um in gemeinsamer Verantwortung stattfindende Datenverarbeitungen nach Art. 26 DSGVO handelt. Der Betreiber einer Webseite sowie der Datenschutzbeauftragte sind daher verpflichtet, einem Nutzer den wesentlichen Inhalt der Vereinbarung nach Art. 26 Abs. 2 Satz 2 DSGVO zur Verfügung zu stellen.

Durch das Urteil des LG Rostock wurden den Webseitenbetreibern klare Vorgaben hinsichtlich der Ausgestaltung rechtskonformer Cookie-Banner gemacht. Dark Patterns und andere irreführende Designs werden demnach als rechtswidrig angesehen. Weiterhin wird deutlich, dass es nicht nur um das Vorhandensein, sondern insbesondere um die genaue Ausgestaltung eines Cookie-Consent-Banners geht.

Verbot von Dark Patterns und Nudging

Dark Patterns und Nudging sind Sammelbegriffe für eine Vielzahl von Designs und Mechanismen, welche das Verhalten von Nutzern bewusst beeinflussen sollen. Durch das Urteil des LG Rostock wurden diese ganz klar als rechtswidrig eingestuft. Fraglich ist nur, wann genau es sich um solche Designs handelt. Unter Nudging werden Steuerungseffekte im positiven Sinne verstanden. Es soll den Nutzern erleichtert werden, Entscheidungen auf Basis ihrer festgestellten Interessen und Vorlieben zu treffen. Hierbei werden die zu treffenden Entscheidungen gezielt in eine Richtung gelenkt. Die Vereinfachung von bestimmten Handlungen ist eine beliebte Methode von Nudging. Ein solches System wird in den häufig verwendeten vorangekreuzten Feldern gesehen.

Dark Patterns sind dagegen digitale Entscheidungsumgebungen, welche Nutzer gezielt zu einer bestimmten Handlung verleiten sollen. Ergebnisse der Verhaltensforschung haben gezeigt, dass Dark Patterns das Ziel verfolgen, individuelle Präferenzen zu ignorieren und rationale Entscheidungen der Nutzer auszuschließen. Diese Art der Verhaltenssteuerung wird als äußerst kritisch eingestuft. Eine ausdrückliche gesetzliche Regelung existiert zu beiden Methoden bislang noch nicht. Weder die ePrivacy-Richtlinie noch das TTDSG oder die DSGVO sehen hierzu spezifische Regelungen vor. Als rechtswidrig gelten diese Formen der Ausgestaltung jedoch aufgrund der Rechtsprechung.

Einwilligung nur durch eindeutig bestätigende Handlung

Eine Einwilligung der betroffenen Person ist jede freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (DSGVO, Art. 4, Nr. 11).

Mit dieser Definition der DSGVO wird klar, dass eine Einwilligung nur durch eine aktive Handlung und damit durch Anklicken entsprechender Kästchen erteilt werden kann. Grundsätzlich kann eine Einwilligung in zwei Arten differenziert werden. Eine implizite Einwilligung bezeichnet eine Art der Zustimmung, bei welcher Kästchen vorangekreuzt sind und der Nutzer diese Auswahl lediglich bestätigt. Spätestens mit dem Urteil des EuGHs wurde diese Form der Einwilligung als nicht rechtskonform betrachtet.

Die explizite Einwilligung ist als aktive Zustimmung dagegen rechtskonform. In diesem Fall entscheidet der Nutzer bewusst selbst, welche Cookies er zulassen möchte. Regelmäßig wird hierbei von einer aktiven, spezifischen und positiven Entscheidung gesprochen. Sämtliche personenbezogenen Daten dürfen erst nach einer Einwilligung von der Webseite gespeichert und verwendet werden.

Welche Bereiche werden von der Einwilligungspflicht umfasst?

Die Einwilligungspflicht gilt grundsätzlich unabhängig davon, ob die gespeicherten Daten personenbezogen oder anonym sind. Erfasst wird der gesamte Datenstrom, welcher Kontakt mit einem Endgerät hat. Das Gesetz unterscheidet dabei auch nicht, woher die Daten kommen und wie lange sie gespeichert werden sollen. Einige Werbenetzwerke versuchen mithilfe von digitalen Fingerabdrücken die Einwilligungspflicht zu umgehen. Hierunter wird ein Verfahren verstanden, welches die Nutzer ohne Verwendung von Cookies wiedererkennen soll. Die Nutzer einer Webseite werden durch auf dem Server hinterlegte Informationen erkannt. Dieses Verfahren wird in der Regel jedoch auch von Daten angereichert, welche von den Endgeräten der Nutzer ausgelesen werden. In diesen Fällen liegt daher immer ein Zugriff vor, welcher der Einwilligungspflicht unterliegt.

Ausnahmen der Einwilligungspflicht

Von den Regelungen und Vorschriften im Hinblick auf die Einwilligungspflicht werden nahezu alle Cookie-Verfahren erfasst. Der Gesetzgeber sieht jedoch zwei wesentliche Ausnahmen vor, wodurch der Datentransfer und die technische Funktionsweise einer Webseite sichergestellt werden sollen. Bei der ersten Ausnahme geht es um den reinen Datentransfer. Dieser Datentransfer berücksichtigt sämtliche Informationen, welche über ein elektronisches Kommunikationsnetz übertragen werden. Eine weitere Ausnahme liegt in der Notwendigkeit, um den eigentlichen Dienst zur Verfügung zu stellen. Demnach sind die Speicherung sowie der Zugriff auf das Endgerät immer dann zulässig, wenn dies notwendig ist, um den entsprechenden Dienst funktionsfähig und vollständig zur Verfügung zu stellen.

Nach der Formulierung des Gesetzgebers muss dieser Dienst ausdrücklich erwünscht und die Cookies müssen hierfür unbedingt erforderlich sein. Was genau sich ein Nutzer wünscht, wird regelmäßig anhand äußerer Umstände analysiert. Neben den technischen Notwendigkeiten könnten hierzu auch vertragliche Vereinbarungen gehören. Ob AGB als tauglicher Einwilligungsersatz zählen könnten, ist noch umstritten. Ein Einverständnis der AGB impliziert nicht zwingend den Wunsch, mit dem Geschäft und den dazu benötigten Cookies einverstanden zu sein.

Unbedingt erforderliche Cookies

Bei unbedingt erforderlichen Cookies wird keine Einwilligung des Nutzers benötigt. Die Begrifflichkeit der unbedingt erforderlichen Cookies wurde bisher jedoch von keinem Gericht genau definiert. Unter diesen Cookies werden nach der allgemeinen Auffassung solche verstanden, welche keine Daten weitergeben. Hierunter fallen auch technisch notwendige Cookies, welche für die Funktionalität der Webseite bedeutend sind. Aufgrund ihrer Bedeutung kann ein Nutzer diese notwendigen Cookies nicht deaktivieren. Nach dem Schließen des Browsers werden sie gelöscht und nicht in irgendeiner Weise gespeichert. Einige Webseiten verfügen zudem über Third-Party-Cookies, mit welchen statistische Daten und Werte erhoben werden können. Diese Cookies sind in der Regel anonym und erheben keine personenbezogenen Daten.

Cookies lassen sich grundlegend in die vier Kategorien „Essentiell, Analyse, Marketing und Funktional“ gliedern. Essentielle Services sind unbedingt erforderlich und verantwortlich für eine korrekte Funktionsweise der jeweiligen Webseite. Die Cookies werden ausschließlich für den Betrieb einer Webseite benötigt und auch nur an diese gesendet. User können diese Services daher nicht manuell deaktivieren. Die anderen drei Kategorien gelten nicht als unbedingt erforderlich, weshalb sie im nächsten Abschnitt näher betrachtet werden.

Entsprechend der Literatur können die nachfolgenden Cookies als unbedingt erforderlich angesehen werden:

  • Warenkorb-Cookie: Wenn Produkte durch Cookies im Warenkorb eines Onlineshops gespeichert werden, so gelten diese Cookies als erforderlich.
  • Log-In-Daten: Die Speicherung des Login-Status sowie von dem jeweiligen Benutzername und Passwort wird von einem Nutzer erwartet und daher ebenfalls als erforderlich angesehen.
  • Sicherheit der Nutzer: Werden Cookies zur Sicherheit der Nutzer eingesetzt, so sind diese als unbedingt erforderlich zu betrachten. Inbegriffen sind hierbei alle Maßnahmen, welche dem Schutz der Nutzer oder deren Daten dienen.
  • Session-Code: Hierunter versteht sich ein Cookie, welches sämtliche Daten nach dem Schließen des Browsers löscht.
  • Sprachauswahl: Wählt ein Nutzer auf einer Website eine bestimmte Sprache aus, so wird diese gespeichert und bleibt beim nächsten Aufruf der Webseite bestehen.
  • Lastenverteilung: Einige Cookies dienen der optimalen Lastenverteilung einer Webseite und gelten daher als unbedingt erforderlich.

Nicht unbedingt erforderliche Cookies

Funktionale Cookies speichern anonyme Daten wie die Log-In-Daten oder die Sprachauswahl. Grundsätzlich können sie daher auch unbedingt erforderlich sein. Es gibt jedoch auch funktionale Services, welche dies ganz klar nicht sind. Daher zählen sie zu den einwilligungspflichtigen Services und müssen von einem Nutzer zunächst akzeptiert werden.

Cookies zu Analysezwecken speichern im Gegensatz zu essentiellen Services insbesondere Informationen zum Nutzerverhalten auf einer Website. Das Ziel dieser Cookies liegt darin, das Hauptinteresse eines Nutzers zu erkennen und die Suchergebnisse entsprechend zu optimieren. Analyse Services speichern keine personenbezogenen Daten und geben keine Daten an Dritte weiter. Dennoch lassen sie sich individuell von jedem Nutzer abwählen.

Cookies aus der Kategorie Marketing speichern vorwiegend Informationen über besuchte Webseiten eines Nutzers. Auf der Basis der gesammelten Informationen können dem Nutzer individuelle Werbeanzeigen angezeigt werden. In einem Cookie-Banner lassen sich Marketing Services abwählen.

Anders als unbedingt erforderliche Cookies benötigen diese Cookies die explizite Einwilligung eines Nutzers. Diese Zustimmung muss über ein Opt-In-Verfahren erfolgen. Keine zuverlässige Rechtsprechung gibt es bislang zu Cookies, welche das Design oder den Komfort einer Website beeinflussen.

Ausgestaltung der Cookie-Consent-Banner

Viele Unternehmen stehen bei der Ausgestaltung der Cookie-Consent-Banner vor einer Herausforderung. Da nach der höchstrichterlichen Rechtsprechung eine aktive Einwilligung erfolgen muss, sind vorangekreuzte Kästchen nicht mehr zulässig. Zudem wird auch der bislang beliebte Hinweis, nach dem ein User durch das Weitersurfen auf der Webseite vermeintlich seine konkludente Einwilligung erteilt und ein Cookie-Banner lediglich mit einem „OK“ bestätigt wird, als nicht rechtskonform betrachtet.

Fraglich ist jedoch, wie weit der Betreiber einer Webseite den Nutzern entgegenkommen muss oder darf. Der Markt wurde durch „neue“ Cookie-Banner ergänzt, welche dem Nutzer die Auswahl informativ und übersichtlich gestalten sollen. Die Möglichkeiten variieren zwischen der einfachen Wahl „Akzeptieren/Nicht akzeptieren“ sowie dem komplexeren Design „Akzeptieren/Einstellungen“. Hierbei werden in der Regel unter der Option „Einstellungen“ mehrere Cookie-Präferenzen in unterschiedlichem Detailgrad vorgestellt, welche von dem Nutzer angewählt werden können. Dies soll dem Nutzer einen besseren Überblick verschaffen und ihn schnell zur Webseite führen. Letztendlich sollte die Ausgestaltung der eigenen Webseite und des Cookie-Banners dem Betreiber einer Webseite überlassen werden.

Optimale Platzierung von Cookie-Bannern

Neben der Ausgestaltung stellt sich auch die Frage der korrekten Platzierung eines Cookie-Banners. Vielen Webseitenbetreibern ist unklar, ob ein Cookie-Banner am unteren oder oberen Seitenrand anzuzeigen ist oder ob ein Banner über die gesamte Seite ausgerichtet werden darf. Die zweite Variante wird gerne genutzt, um den Nutzer zu einer Auswahl zu bewegen. Grundsätzlich soll den Nutzern eine größtmögliche Auswahlfreiheit gelassen werden, wenn es um die individuelle Einwilligung in Cookies geht. Die Praxis hat jedoch gezeigt, dass je komplexer und feingliedriger die Einstellungsmöglichkeiten des Cookie-Banners sind, desto eher wird einfach die Option „Akzeptieren“ angewählt. Wäre der Betreiber einer Webseite hingegen verpflichtet, auch einen „Alle ablehnen“-Button einzurichten, so würden möglicherweise mehr Nutzer diese leichte Abwahlmöglichkeit wählen. Dem Webseitenbetreiber soll grundsätzlich aber die Möglichkeit gegeben werden, die angebotenen Optionen nach seiner Wahl zu gestalten. Wichtig ist dabei nur, dass der Nutzer hinreichend über seine Möglichkeiten informiert wird und nicht durch gestalterische Hürden irritiert und beeinflusst wird.

Demnach liegt auch die Entscheidung über ein bildschirmgroßes Cookie-Banner im Ermessen des Betreibers einer Webseite. Nach einer Forderung der Aufsichtsbehörde soll die Aufforderung zur Erteilung einer Einwilligung lediglich nicht „unnötig störend“ sein. Dies kann bei Cookies jedoch so verstanden werden, dass ganzseitige Banner, die dem Nutzer eine Entscheidung „abnötigen“, nicht zulässig sein sollen. Dies verträgt sich jedoch nicht mit der höchstrichterlichen Rechtsprechung, nach welcher der Nutzer eine aktive Einwilligung erteilen soll, bevor die Cookies gesetzt werden. Wenn ein Webseitenbetreiber nun dazu verpflichtet wird, weiterhin ein dezentes und möglichst nicht störendes Cookie-Banner am oberen oder unteren Rand einer Webseite vorzuhalten, dann würde auch dies bedeuten, dass sich der Betreiber in gewisser Weise dazu verpflichtet, seine Webseite auch weitgehend ohne Cookies anzubieten.

Wenn man stattdessen dem Webseitenbetreiber gestattet, den Zugang zur Webseite nur unter der Bedingung einer Einwilligung oder Verweigerung der Cookies freizugeben, spricht nichts dagegen, dass von dem Nutzer vor dem Weitersurfen eine Auswahl oder Entscheidung verlangt wird.

Erforderlichkeit einer zusätzlichen Datenschutzerklärung

Neben einem rechtskonformen Cookie-Banner sollte eine Webseite über eine verständliche, vollständige und adressatengerecht formulierte Datenschutzerklärung verfügen. Diese enthält Pflichtinformationen gemäß Art. 13 – 14 DSGVO und informiert den Nutzer insbesondere über seine Rechte sowie über den Verantwortlichen und die Möglichkeit der Löschung seiner Daten. Zudem sollten in einer Datenschutzerklärung weitere Erklärungen und Ausführungen zu den eingesetzten Funktionen und Cookies enthalten sein. Für den Nutzer muss es klar erkenntlich sein, welche personenbezogenen Daten auf welcher Rechtsgrundlage und für welche Verwendung erhoben werden. Die einzelnen Zwecke wie Onlinemarketing oder Tracking müssen in diesem Zuge ebenfalls näher erläutert werden.

Google Tag Manager

Der Google Tag Manager speichert selbst keine Cookies, benötigt aber dennoch eine klare Einwilligung des Nutzers. Der Manager wird im Browser der Nutzer ausgeführt, wodurch auch Daten auf dem Endgerät gespeichert werden. Aus diesem Grund ist der Google Tag Manager grundsätzlich einwilligungspflichtig.

Google FLoC Federated Learning of Cohorts – eine Alternative?

Google und auch andere Unternehmen der Werbebranche versuchen mit neuen Entwicklungen und Technologien den strengen Regulierungen entgegenzuwirken. Mit Federated Learning of Cohorts (FLoC) hat Google ein neues Verfahren entwickelt und möchte dieses auf dem Markt etablieren. Die Idee ist, die personenbezogenen Daten der Nutzer in deren eigenen Browsern und nicht auf Servern von Google zu speichern. Die Speicherung der Nutzerprofile erfolgt auf deren Endgeräten, womit auch dieses Verfahren wieder unter die strengen Vorschriften fällt.

Erste Tests führte Google zunächst in Ländern wie Australien, Brasilien oder Mexiko durch. Anders als in Deutschland gelten dort keine strengen Regelungen, die mit denen der DSGVO vergleichbar wären. FLoC ist ein Kompromiss, welcher die Privatsphäre der Nutzer schützen und dennoch das Interesse der Werbetreibenden fördern möchte. Datenschutzbehörden haben bereits signalisiert, dass FLoC jedoch keine rechtskonforme Lösung darstellt. Auch bei dieser Methode müssen die Nutzer einer Einwilligung in die Cookies aktiv zustimmen.

Matomo ohne Einwilligung

Matomo ist ein Open-Source-Analysedient, welcher über einen Host betrieben wird. Der Dienst kann auch ohne eine Einwilligung rechtskonform betrieben werden, sofern die Voreinstellungen datenschutzfreundlich sind. Grundsätzlich dient Matomo der Werbeanalyse und verarbeitet sämtliche Daten auf dem eigenen Server. Zur Wahl stehen eine Nutzung mit oder ohne Cookies, wobei eine Nutzung ohne Cookies in der Regel zu empfehlen ist. In diesem Fall werden keine Daten auf dem Endgerät des jeweiligen Nutzers gespeichert. Bezüglich Matomo besteht unter den Aufsichtsbehörden teilweise noch Unklarheit. Im Rahmen der Rechenschaftspflicht sind daher Nachweise darüber zu archivieren, dass der Zweck sowie der Umfang des Trackings vorab festgelegt wurde.

Spätere Änderung der Einwilligung

Dem Nutzer einer Webseite muss die Möglichkeit gegeben werden, seine Cookie-Einstellungen nachträglich zu ändern. Auf diese Weise soll auch das Widerspruchsrecht gewahrt werden. Die Betreiber sollten daher auf ihrer Webseite eine Möglichkeit der Änderung von Einstellungen sichtbar platzieren. Empfehlenswert ist die Platzierung in der Fußzeile der Webseite sowie in der Datenschutzerklärung des Webseitenbetreibers.

Nachweis der Cookie-Einwilligung

Entsprechende Cookie-Management Lösungen können den Nachweis der Einhaltung aller Richtlinien der DSGVO sowie der ePrivacy-Verordnung erleichtern. Die Betreiber einer Webseite können die Einwilligungen der Besucher im Hinblick auf die Nutzung von Cookies speichern. Dadurch ermöglichen sie den Usern eine jederzeitige Einsicht sowie Änderung der eigenen Einstellungen und Auswahlmöglichkeiten. Zudem wird auch in eigenem Interesse der Nachweis der vorhandenen Einwilligung eines funktionsfähigen Cookie-Opt-In-Verfahrens erbracht. Im Streitfall kann dies als Beweismittel dienen. Die Ablehnung einer Einwilligung darf ebenfalls gespeichert werden. Durch diese Speicherung von Informationen kann sichergestellt werden, dass Nutzer nicht erneut mit Cookie-Bannern konfrontiert werden.

Folgen bei Verstößen gegen die Einwilligungspflicht

Wer gegen die Vorschriften und Regelungen der ePrivacy-Richtlinie, DSGVO oder die höchstrichterliche Rechtsprechung verstößt, hat mit unterschiedlichen Konsequenzen zu rechnen. Diese treten insbesondere dann ein, wenn die Webseite einem User keine Opt-In Möglichkeit bietet. Die nachfolgenden Konsequenzen können in diesen Fällen auf die Betreiber einer Website zukommen:

  • Untersagungsverfügung – Diese wird bei Verstößen gegen die Einwilligungspflicht regelmäßig von den Behörden ausgesprochen.
  • Abmahnung – Bei Verstößen gegen die Einwilligungspflicht können auch Abmahnungen mit Unterlassungsforderungen und Vertragsstrafen drohen. Die Vertragsstrafen belaufen sich auf 2.500 – 5.000 Euro und hängen insbesondere davon ab, ob es sich um eine Wiederholung handelt. Weiterhin können Schadensersatzforderungen von betroffenen Nutzern drohen.
  • Abmahnung – Klagebefugte Organisationen wie die Verbraucherzentrale oder die Wettbewerbszentrale sowie Mitbewerber eines Unternehmens können ebenfalls eine Abmahnung erwirken. Es war zunächst unklar, ob eine Klage durch einen Mitbewerber eingereicht werden kann. Das LG Köln bestätigte dies nun jedoch in einem Urteil, 29.10.2020 – 31 O 194/20.
  • Bußgelder – Diese hängen in der Regel von dem Umsatz eines Unternehmens ab und werden in Deutschland nach einem einheitlichen Verfahren berechnet.

Im Hinblick auf die amtlichen Maßnahmen ist derzeit noch nicht abschließend geklärt, welche Behörde die Zuständigkeit für die Verhängung von Bußgeldern gegen die privatwirtschaftliche Cookie-Nutzung hat. Grundsätzlich ist die Aufsicht über Telemedien eine Sache der Bundesländer. Im Hinblick auf Datenschutzbestimmungen sind jedoch die Datenschutzbehörden zuständig. Verstöße gegen die Regelungen der ePrivacy-Richtlinie und gegen die der DSGVO können demnach derzeit noch getrennt betrachtet werden.

Fazit

Mit ihren Urteilen „Planet49“ und „Cookie-Einwilligung II“ haben der EuGH und der BGH grundsätzliche Maßstäbe zum Einsatz von Cookies aufgestellt. Diese haben bereits zu Umgestaltungen von vielen Webseiten geführt. Der Schutz der Privatsphäre der Nutzer sowie auch die Interessen der Webseitenbetreiber am Einsatz von Cookies sollen in der Gesamtbetrachtung nicht aus den Augen verloren werden. Die Spielräume sind durch die DSGVO sowie die ePrivacy-Richtlinie begrenzt.

Für Unternehmen und Betreiber von Webseiten empfiehlt es sich, die Verarbeitung personenbezogener Daten über die eigene Homepage oder andere Internetauftritte im Hinblick auf die Rechtmäßigkeit zu überprüfen. Die konkrete Umsetzung von abstrakten, rechtlichen Vorgaben kann einen entscheidenden Einfluss auf die spätere Auslegung und die rechtliche Sicherheit haben. Die Auslegungs- und Deutungshoheit obliegt der nationalen und europäischen Rechtsprechung. Betreiber einer Webseite haben dagegen regelmäßig kein Mitspracherecht und keine Entscheidungsgewalt bei der individuellen Gestaltung eines Cookie-Consent-Banners.

Das Urteil des LG Rostock hat klar aufgezeigt, dass eine konsequente Umsetzung der rechtlichen Vorgaben und Anforderung von hoher Bedeutung ist. Auf individuelle Designs und freiwillige Transparenzkodizes sollte weitestgehend verzichtet werden. Mit dem Urteil wird der Maßstab festgesetzt, an welchem die konkrete Gestaltung sowie die technisch umgesetzte Einwilligung zu messen ist. Dabei stehen die Freiwilligkeit sowie die Informiertheit des Besuchers einer Webseite im Mittelpunkt. Der Nutzer soll nicht verwirrt werden, sondern vielmehr seine Einwilligung mit Wissen und Wollen abgeben können.

Rechtssicheres Online-Marketing

Sie möchten uns unverbindlich kennenlernen oder haben Fragen, wie Sie mit rechtssicherem Online-Marketing mehr Kunden und damit mehr Umsatz erzielen können? Wir sind nur eine E-Mail oder ein Telefonat entfernt!

PS: Hier geht es zu unserem Online-Marketing-Leistungen.

Adresse
St.-Jürgen-Str. 160A
28203 Bremen
Öffnungszeiten
Montag - Freitag
10:00 Uhr - 18:00 Uhr
Öffnungszeiten
Montag - Freitag
10:00 Uhr - 18:00 Uhr
Adresse
St.-Jürgen-Str. 160A
28203 Bremen
Wir freuen uns auf Sie!
Lajkonik Content Logo
Interesse
am Marketing
Kontakt
aufnehmen
Kostenloses
Beratungsgepräch
Strategie und
Implementierung
Steigende Umsätze
und Gewinne

Wollen Sie wirklich nichts unternehmen?

Mit unserer Unterstützung konnten wir bereits zahlreichen glücklichen Kunden zu mehr Umsatz und höheren Gewinnen verhelfen.

Lassen Sie sich unverbindlich und kostenlos beraten, wie auch Sie in den Genuss höherer Umsätze und Gewinne kommen. Wir sind nur ein Telefonat oder eine E-Mail entfernt.

Vielen Dank!

Ihre Nachricht wurde erfolgreich gesendet.
Wir werden uns schnellstmöglich bei Ihnen melden.