Überblick der aktuellen Rechtsgrundlage zu Einwilligungsprozessen bei der Speicherung von Cookies
Inhalt
- Was sind Cookies?
- Welche Arten von Cookies gibt es?
- Wie kann herausgefunden werden, ob eine Website Cookies nutzt und welche?
- Rechtliche Schlussfolgerungen bei der Verwendung von Cookies
- Welche Rechtsgrundlagen gibt es?
- Was bedeutet das für Consent-Layer?
- Für welche Cookies brauche ich welche Art von Consent-Layer?
- Fazit
1. Was sind Cookies?
Cookies sind kleine Textdateien, die auf dem Rechner des Users gespeichert werden, und auf die die Website über den Browser zurückgreift, um Informationen auszulesen. Zum Beispiel darüber, ob der aktuelle User eingeloggt ist (Session-Cookies), welche Seiten sie schon besucht hat (Performance- oder Werbecookies) oder welche Produkte sie in den Warenkorb gelegt hat.
2. Welche Arten gibt es?
Cookies haben unterschiedliche Aufgaben. Je nach Einsatzzweck lassen sie sich wie folgt unterscheiden:
- Technisch „notwendige“ Cookies: Solche Cookies werden für Funktionen genutzt, die ohne Cookies (derzeit) technisch gar nicht umsetzbar wären. Zum Beispiel für Anmeldungen in einem Kunden-/Benutzerkonto oder Warenkorbfunktionen.
- Funktionscookies: Diese Cookies erhöhen die Usability einer Website, indem sie zum Beispiel Einstellungen speichern, damit die Nutzer sie nicht immer wieder neu treffen müssen. Ein klassischer Einsatzzweck sind Sprachen-Umschalter, die die einmal getroffene Sprachauswahl beibehalten und für alle weiteren Seitenaufrufe anwenden. Über Funktions-Cookies können aber auch Formulardaten gespeichert werden.
- Trackingcookies: Wenn herausgefunden werden soll, über welchen Kanal die User kamen, wie sie mit der Website interagieren, wie lange sie bleiben und welche Inhalte besonders gut angenommen werden, können mit Analytics-Programmen Statistiken und Auswertungen über die Websitebesuche erstellt werden. Hierfür werden Tracking-Cookies eingesetzt, um einzelne User auseinanderhalten und Bewegungsprofile erstellen zu können. Je nach verwendetem System werden User “nur” gezählt, zugeordnet oder Profile von ihnen erstellt.
- Werbecookies: Solche Cookies werden verwendet, um Usern auf Basis ihres Bewegungsprofils passende Werbeanzeigen ausspielen zu können, Webseiten übergreifendes „Re-Targeting“.
- Darüber hinaus lassen sich Cookies auch anhand ihrer Gültigkeitsdauer unterscheiden:
- Sessioncookies bleiben nur für die Dauer der aktuellen Browsersitzung (Session) gespeichert. Wird der Browser geschlossen, wird damit auch das Cookie gelöscht.
- Permanente Cookies bleiben unabhängig von der Browsersession für einen vorher definierten Zeitraum auf dem Rechner des Users gespeichert. Es sei denn, sie werden manuell gelöscht.
Darüber hinaus unterscheiden sich Cookies auch darin, von wem sie gesetzt werden:
- First-Part
- y-Cookies werden von Drittunternehmen gesetzt, deren Services in die Website eingebunden werden (etwa von YouTube, Facebook oder Google Maps). Dies können für den User sichtbare Services sein, oder unsichtbare, die nur im Hintergrund arbeiten.
3. Wie kann ein User herausgefunden, ob eine Website Cookies nutzt und welche?
Da das Speichern und Auslesen von Cookies beim Besuch einer Webseite im Hintergrund passiert, ist nicht sofort zu erkennen welche auf einer Seite zum Einsatz kommen. Hierfür werden spezielle Tools benötigt, die entweder vom jeweiligen Browser bereitgestellt oder als PlugIn installiert werden. Dazu zählen u.a. Entwicklertoolsdes Chrome-Browsers oder die Firefox Developer Edition sowie das PlugIn Ghostery, das neben der Bezeichnung der Cookies in vielen Fällen auch deren Funktion und Speicherdauer angibt.
4. Rechtliche Schlussfolgerungen bei der Verwendung von Cookies
In anderen EU-Ländern gehören Consent-Layer oder Consent-Layer bereits deutlich länger zum Standard als in Deutschland. Das liegt daran, dass bei uns die EU-Cookie-Richtlinie nicht in geltendes Recht umgesetzt wurde, weil es schon §15 Abs.3 des Telemediengesetzes (TMG) gab und die EU-Kommission das als ausreichend ansah. Dabei war darin eigentlich nur von Informationen und einem Hinweis auf das Widerspruchsrecht die Rede – ohne eine explizite Einwilligung vorzusehen. In Sachen Cookies ist die Rechtslage in Deutschland also noch undurchsichtiger als in anderen EU-Ländern.
Nun gilt aber auch in Deutschland inzwischen die DSGVO. Und diese verbietet erstmal jedwede Speicherung und Verarbeitung personenbezogener Daten – es sei denn, es gibt eine Rechtsgrundlage, die diese Speicherung und Verarbeitung erlaubt. „Verbot mit Erlaubnisvorbehalt“ heißt dieses Konstrukt.
Fallen Cookies in die Kategorie „personenbezogene Daten“?
Seit der DSGVO ja, denn sie dienen dazu den User, bzw. dessen verwendetes Device wiederzuerkennen. Personenbezogen sind sie, wenn zum Beispiel Logindaten für ein Benutzerkonto oder E-Mail-Adressen aus einem Formularfeld darin gespeichert werden. Da die DSGVO explizit auch „Online-Kennungen“ zu den personenbezogenen Daten zählt, genügt es, dass ein Cookie einen Website User als „unique user“ identifizieren kann, um als „personenbezogen“ eingestuft zu werden. Deshalb sind auch sogenannte pseudonyme Daten – also solche, die zwar keinen direkten Personenbezug herstellen, es aber ermöglichen, eine Person beispielsweise als Adressaten einer Werbemaßnahme zu identifizieren – von den Regelungen für personenbezogene Daten betroffen.
Wenn Cookies verwendet werden, die sich als personenbezogene Daten einstufen lassen, wird für deren Verwendung eine Rechtsgrundlage benötigt. Denn wie oben beschrieben, ist seit der DSGVO eine Speicherung und Verarbeitung personenbezogener Daten ohne entsprechende Rechtsgrundlage verboten.
5. Welche Rechtsgrundlagen gibt es?
In Art.6 der DSGVO werden sechs unterschiedliche Bedingungen definiert, unter denen die Speicherung und Verarbeitung personenbezogener Daten zulässig ist. Für unsere Frage sind davon vor allem zwei relevant:
- die Einwilligung und
- das sogenannte „berechtigte oder legitime Interesse“.
Und welche Rechtsgrundlage greift bei welchen Cookies?
- Bei technisch notwendigen Cookies ebenso wie bei Funktionscookies greift im Regelfall das berechtigte Interesse des Webseitenbetreibers.
- Relativ einig sind sich IT-Anwälte inzwischen in der Einschätzung, dass für reine Analyse-/Tracking Cookies ebenfalls das berechtigte Interesse des Betreibers überwiegt. Vorausgesetzt, die Daten werden z.B. durch Kürzung der IP-Adressen pseudonymisiert. Eine datenschutzfreundliche Konfiguration von Trackingtools wie Google Analytics oder IntelliAd sollte also selbstverständlich sein. Ein kurz vor dem DSGVO-Stichtag veröffentlichtes Positionspapier der Datenschutzkonferenz (DSK) sowie ein Update von März 2019 ist allerdings anderer Meinung und verlangt beim Einsatz von Trackingmechanismen eine vorherige Einwilligung des Nutzers. An dieser Interpretation gab es viel Kritik, u.a. weil sowohl Erwägungsgründe der DSGVO als auch der aktuelle Entwurf der ePrivacy-Verordnung gegen eine solche strikte Einschätzung spricht. Hier hat die Wahl der Rechtsgrundlage also auch mit eigener Risikoeinschätzung zu tun. Die DSK-Positionierung hat keine rechtliche Bindungswirkung, sondern gibt lediglich eine Meinung wieder. Über diesen “Graubereich” werden wohl die Richter in den kommenden Verfahren entscheiden. Bis dahin liegt es in der Verantwortung des Website Betreibers für sich eine Einstufung vorzunehmen.
- Bei Werbecookies fällt die Interpretation leicht, denn damit bspw. Retargeting funktioniert, muss eine eindeutige Benutzerkennung vorgenommen werden. Hier gilt, bevor konkrete Einzelfallentscheidungen oder die ePrivacy-Richtlinie nicht für mehr Klarheit gesorgt haben, dürfte es die sicherste und von IT-Anwälten meist empfohlene Variante sein, eine entsprechende Einwilligung einzuholen.
6. Was bedeutet das für Consent-Layer?
Consent-Layer oder auch Cookie-Banner genannt sollen die Kommunikation zwischen Website, bzw. dessen Betreibers und den User übernehmen. Sie sollen informieren über die verwendeten Cookies und deren Zweck und sie sollen dem User, wenn kein berechtigtes Interesse des Betreibers vorliegt, die Wahl geben, einem Verfahren zuzustimmen oder dieses abzulehnen.
Die meisten der heute verwendeten Consent-Layer informieren den User jedoch lediglich, dass Cookies verwendet werden. Oft werden im Hintergrund bereits Cookies geladen. Eine Wahl hat der User nicht und über die Sinnhaftigkeit dieser Consent-Layer lässt sich streiten.
Das Optimum: Opt-In
Es gibt aber auch Consent-Layer, die dem Nutzer tatsächlich eine Wahl lassen. Und ihn diese sogar treffen lassen, BEVOR Fakten geschaffen werden. Wenn der Benutzer gefragt wird, ob er mit der Nutzung von Cookies einverstanden ist, bevor die ersten Cookies tatsächlich gesetzt werden, ist das selbstverständlich die beste Lösung. Dieses Opt-In ist zu empfehlen und rechtlich sicher, wird jedoch im Augenblick noch zu selten angewendet. Erstens sicherlich, weil es technisch aufwändiger ist. Hierfür ist eine Consent Management Plattform (CMP) notwendig, welche die Einstellung des Nutzers verarbeitet und speichert und dann anschließend die Information, welches Cookie nachgeladen werden darf, an das Tag-Management übergeben muss. Und zweitens, weil viele Marketer Angst haben, dass ihnen die Benutzerdaten verloren gehen, wenn man den Nutzern tatsächlich die Wahl lässt.
Die Fine Tuning-Version des Opt-In gibt nicht nur die Wahlmöglichkeit „Ja“ oder „Nein“, sondern macht Unterschiede zwischen verschiedenen Arten von Cookies. Auf die Art und Weise kann ein Nutzer beispielsweise funktionelle Cookies, die ein bequemeres Surfen ermöglichen, erlauben, während er Werbecookies ausschaltet.
Der Kompromiss: Opt-Out
Den Nutzer erst auswählen zu lassen, dass er keine Cookies akzeptieren möchte, NACHDEM bereits Cookies gesetzt wurden, klingt erstmal wenig logisch. Trotzdem ist diese Form der Umsetzung ziemlich weit verbreitet und gerade für Trackingcookies absolut üblich.
7. Für welche Cookies brauche ich welche Art von Consent-Layer?
Ein Consent-Layer ist nur dann wirklich sinnvoll, wenn es eine wirksame Einwilligung einholt. Ein Click auf ein alternativloses „OK“ nach der allgemeinen Ansage „Diese Website verwendet Cookies“ ist ebenso wenig eine wirksame Einwilligung wie das Weiterverwenden durch Click oder sogar nur durch Scrollen.
Da für eine Verarbeitung personenbezogener Daten, die sich auf die Rechtsgrundlage des berechtigten Interesses des Betreibers stützt, keine Einwilligung nötig ist, braucht es in einem solchen Fall auch keinen Consent-Layer.
Daraus ergibt sich:
- Technisch „notwendige“ Cookies (also etwa Session-Cookies oder Warenkorb-Cookies) brauchen keinen Consent-Layer.
- Dasselbe gilt für Funktionscookies, die die Nutzung der Seite vereinfachen (z.B. Sprachumschalter).
Wichtig: Für beide sollte aber eine entsprechende Information in der Datenschutzerklärung vorgehalten werden.
Bei den Tracking-/Analysecookies scheiden sich die Geister. Gemäß der oben beschriebenen Sicht der Datenschutzkonferenz wären die gängigen Opt-Out-Mechanismen für Google Analytics, IntelliAd & Co. nicht ausreichend. Es wäre ein explizites Opt-In des Users VOR dem Beginn des Trackings nötig.
Die Entscheidung muss also jeder Webseitenbetreiber nach eigener Einschätzung treffen: Möchte man es überkorrekt machen und der (umstrittenen und rechtlich wie gesagt nicht bindenden) Einschätzung der Datenschutzkonferenz folgen? Oder schließt man sich der Mehrheit an und bleibt bei der gängigen Opt-Out-Möglichkeit in der Datenschutzerklärung? Dann kann sich ein Consent-Layer anbieten, in dem man auf die Opt-Out-Möglichkeit hinweist. Ob das nötig ist, bleibt eine andere Frage – im Zweifel genügt auch ein Hinweis in der Datenschutzerklärung. Je nach Risikobereitschaft und Usability-Vorlieben ergeben sich also beim Einsatz von Trackingcookies drei Möglichkeiten:
- gar kein Consent-Layer setzen, sondern nur in der Datenschutzerklärung informieren und einen Opt-Out anbieten;
- ein Consent-Layer setzen, das auf die Opt-Out-Möglichkeit hinweist;
- ein Consent-Layer setzen, das einen expliziten Opt-In ermöglicht und Trackingcookies erst nach diesem Opt-In setzen.
Bleiben noch die Werbecookies. Da für deren Einsatz, wie oben gesehen, laut aktueller Rechtseinschätzung eine Einwilligung nötig ist, sollte hier wohl ein Consent-Layer eingesetzt werden. Allerdings empfiehlt es sich eine Opt-In-Lösung anzubieten, die die Werbecookies erst dann setzt, wenn der User dem zugestimmt hat.
8. Fazit
Um rechtlich auf der sicheren Seite zu sein, verwenden Sie einen Consent-Layer und informieren Sie Ihre User über Ihre Cookies und deren Zweck.
Unterscheiden Sie darin zwischen den technisch notwendigen Cookies, für die Sie dem User kein Opt-Out anbieten müssen und den Cookies, die nicht zwingend technisch notwendig sind.
Für die Marketingcookies benötigen Sie ein Opt-In, bevor diese geschossen werden. Dieser Opt-In muss entsprechend verarbeitet, dokumentiert werden und widerrufbar sein.
Bei den Trackingcookies liegt es derzeit an Ihnen zu entscheiden, für welche Sie sich ein Opt-In einholen oder für welche Sie ein Opt-Out anbieten. Beobachten Sie hierbei die aktuellen und zukünftigen Verfahren und Rechtsprechungen (z.B. den am 01.10.2019 zu erwartenden Entscheid zum Fall EuGH – C-673/17, Planet49)
Meine derzeit persönliche Empfehlung ist, bei den Trackingcookies wiederum zwei Verfahren zu unterscheiden. Für solche, die “nur” anonym User zählen und Marketingkanälen zuweisen, sollte ein Opt-Out angeboten werden. Solche, die profilbildend sind, Trackingcodes ausführen oder sogar Drittanbieter-Codes aufrufen, sollten ein Opt-In bekommen.
Und neben der Zuordnung der Cookies in Opt-Ins und Opt-Outs sollte die Gestaltung des Consent-Layers eine wichtige Rolle übernehmen. Denn von ihm ist es abhängig wie hoch Ihre für das Marketing so wichtige Consent Conversion ist.