Cookie-Richtlinie: Ist eine Einwilligung erforderlich wenn Cookies genutzt werden?

Cookie Richtlinie Einwilligung erforderlichIm Rahmen der rechtlichen Prüfung von Webseiten taucht im Vorfeld oft die Frage nach der Einwilligung in die Nutzung von Cookies auf. Hier herrscht nach unserer Erfahrung einerseits oft Unsicherheit seitens der Betreiber von Internetseiten und deren Online-Agenturen. Es ist eher unklar, wie diese sich im Hinblick auf die deutsche Umsetzung der meist als Cookie-Richtlinie bezeichneten EU-Richtlinie 2009/136/EG verhalten sollen. In diesem Beitrag stellen wir die aktuelle Situation dar und zeigen mögliche Lösungswege auf. Bildnachweis: der geht immer… © MPower photocase.com

 

Was sind Cookies? Wofür werden Cookies eingesetzt?

Cookies sind kleine Datenpakete, welche auf dem Rechner eines Nutzers installiert werden, wenn dieser eine bestimmte Website besucht. Ein Cookie ist in seiner ursprünglichen Form eine Textdatei auf einem Computer. Sie enthält typischerweise Daten über besuchte Webseiten, die die Browser-Software beim Surfen im Internet ohne Aufforderung speichert. In der Regel sind dies Anmeldedaten oder aber auch Informationen über das bisherige Nutzerverhalten.

Diese Cookies können entweder personenbezogen, also unter Angabe individueller Daten des Nutzers, oder aber pseudonym sein, wobei ein Nutzerprofil ohne identifizierende Angaben gebildet wird. Für die personenbezogenen Cookies ist bereits nach derzeitiger Rechtslage eine Einwilligung erforderlich, für pseudonyme Cookies jedoch nicht.

Der Anwender kann die Cookies grundsätzlich in seinen Browsereinstellungen einsehen und löschen. Tut er dies jedoch nicht, hat er keinen Einfluss auf den Inhalt der Cookies und seiner Daten oder den späteren Empfänger.

Die Gefahr dieser Cookies liegt in der ungefragten Übermittlung von privaten Daten. Durch diese Daten werden die Nutzer für die Anbieter „gläsern“. Für die Werbebranche sind diese Daten sehr interessant, um z.B. ganz spezielle auf den User zugeschnittene, individualisierte Werbung zu gestalten. Es können jedoch auch von Drittanbietern individuelle Analysen der Nutzerdaten vorgenommen werden. Nicht nur das Konsumverhalten, sondern auch politische, sexuelle, oder religiöse Ansichten und Meinungen können so analysiert werden.

Was steht konkret in der Cookie-Richtlinie der EU?

Der Wortlaut der Cookie- Richtlinie ist eigentlich eindeutig. Der Einsatz von Cookies ist nur möglich,

“wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassen den Informationen, die er gemäß der Richtlinie 95/46/E G u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.”

Bisher gilt in Deutschland § 15 Abs. 3 TMG, welcher klar eine Opt-Out-Lösung vorgibt. Der Nutzer muss im Rahmen einer Datenschutzerklärung über die Verwendung von Cookies aufgeklärt werden. Durch Einstellungen im Browser kann der Nutzer der Verwendung und Speicherung von Cookies widersprechen.

§ 15 Abs. 3 TMG ‚Nutzungsdaten‘

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

Ziel der Änderung von Art. 5 Absatz 3 der RICHTLINIE 2009/136/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz ist die Schaffung von Transparenz und Sicherheit für den Verbraucher.

Wir berichteten bereits 2011 über den damals aktuellen Stand.

Die ursprüngliche Richtlinie wurde dahingehend geändert, dass der Nutzer bei den meisten Cookies, auch bei denen, die nicht nur personenbezogene, sondern pseudonyme Daten sammeln, vorher seine Einwilligung geben muss. Wie genau diese aussehen soll, überlässt die Richtlinie der Ausformung durch den nationalen Gesetzgeber. Ein ausdrückliches Zustimmungserfordernis des Nutzers läge nahe, wenn es nicht den Erwägungsgrund 66 der Richtlinie gäbe. Darin wird festgehalten, dass die nun in vielen Fällen verlangte Einwilligung des Nutzers

„über die (…) Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“

kann. Die Einwilligung muss zwar vorab vorliegen, aber eben nicht ausdrücklich. Die Erwägungsgründe einer EU-Richtlinie gehören zwar nicht zum Gesetzestext der Richtlinie, stellen jedoch Erläuterungen und Hinweise des EU-Gesetzgebers zur Interpretation und zum Hintergrund einer Richtlinie dar. Somit kann daraus gefolgert werden, wie die EU die eigenen Gesetze verstanden und in die Praxis umgesetzt haben möchte. Recht eindeutig liest man nun in dem dargestellten Erwägungsgrund 66 der Cookie-Richtlinie heraus, dass die EU wohl bereits in der entsprechenden Browser-Voreinstellung („Cookies akzeptieren“) die ausdrückliche Einwilligung des Nutzers sieht; dies würde auch der von der EU betonten möglichst benutzerfreundlichen Handhabung entsprechen. Betreiber von Webseiten können somit wohl davon ausgehen, dass Nutzer mit einer solchen Browser-Voreinstellung mit der Verwendung von Cookies auf ihrer Webseite einverstanden sind.

Allerdings bedarf es weiterhin keiner Einwilligung, wenn der Cookie technisch erforderlich ist, um den jeweiligen Dienst zu erbringen und der Nutzer den Dienst ausdrücklich gewünscht hat (Session-Cookie, z.B. bei einem „Warenkorb“).

Gilt die Richtlinie aktuell überhaupt in Deutschland?

Die Rechtslage um den Einsatz von Cookies war bisher insbesondere in Deutschland relativ unklar. Schon am 25. November 2009 hatten das Europäische Parlament und der Rat der Europäischen Union beschlossen, die alte E-Privacy-Richtlinie um neue Regelungen für Cookies zu ergänzen. Allerdings entfalten die Regelungen in EU-Richtlinien keine unmittelbare Wirkung, sondern bedürfen zu ihrer Wirksamkeit der Umsetzung in das jeweilige nationale Recht durch die einzelnen EU-Mitgliedstaaten. Ihnen verbleibt dabei ein gewisser Umsetzungsspielraum, so dass die auf einer EU-Richtlinie beruhenden Gesetze durchaus unterschiedlich ausfallen können.

Meist enthalten diese EU-Richtlinien deshalb Umsetzungsfristen, nach denen sich bestimmt, bis wann die Mitgliedstaaten die Richtlinien in das jeweilige nationale Recht umsetzen müssen. Versäumt ein Mitgliedstaat – egal aus welchen Gründen – diese Umsetzungsfrist, so hat dies zwei Folgen: zum einen verstößt der Mitgliedstaat dadurch gegen die EU-Verträge und muss mit einem Vertragsverletzungsverfahren der EU-Kommission rechnen. Zum anderen ist nach Ablauf der Umsetzungsfrist das nationale Recht dieses Mitgliedstaates im Sinne der Richtlinie so auszulegen, wie dies im Rahmen des Wortlauts der nationalen Gesetze möglich ist.

Die Cookie-Richtlinie ist nach der Regelungssystematik der EU kein direktes deutsches Gesetz, welches Bürger sofort betrifft. Viele EU-Staaten haben die Cookie-Richtlinie bereits in nationale Gesetze übernommen haben. In Deutschland fehlt es bislang an einer Umsetzung. Naheliegend wäre also, dass die Richtlinie einfach noch nicht gilt und Webseitenbetreiber sie getrost ignorieren können.

Es gibt jedoch auch gewichtige Stimmen von Datenschützern – so auch die des ehemaligen Bundesbeauftragten für Datenschutz, Peter Schaar-, die der Ansicht sind, die Richtlinie gelte bereits direkt und sei daher von allen Website-Betreibern zu beachten. Die Frage ist allerdings dabei, ob die Richtlinie hinreichend konkret genug gefasst ist, um unmittelbar anwendbar zu sein. Dafür spricht unter anderem, dass die Richtlinie in den meisten EU-Staaten tatsächlich Wort für Wort übernommen wurde. Stellt man sich auf diesen Standpunkt, so könnte der Nutzer sich gegenüber dem Webseitenbetreiber direkt auf diese Regelung berufen und auf dessen Pflichten zur Information und zum Einholen der Einwilligung bestehen.

Es ist daher eine gute Idee, auch in Deutschland Websites richtlinienkonform zu gestalten. Nach Ansicht des Bündnisses der Datenschutzbeauftragten der Bundesländer seien die Vorgaben der Richtlinie eindeutig: „Die bisherige Opt-out-Lösung wird durch eine Opt-in-Lösung mit einer vorherigen umfassenden Information über die Zwecke der Verarbeitung ersetzt.“

Fazit: Wie sollen sich Betreiber von Webseiten in der Praxis verhalten?

Vorab: Es gibt hier zur Zeit (November 2014) keine „richtige“ Lösung. Die Rechtslage ist noch nicht abschließend geklärt und es sollte immer eine Abwägung im Einzelfall stattfinden. Hier können z.B. die Risiken einer möglichen Abmahnung oder eines Bußgeldes gegen die unschönere Gestaltung durch die Einwilligung abgewogen werden.

Die sicherste Lösung

Die sicherste Lösung besteht unzweifelhaft darin, die Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster über die Verwendung von Cookies auf der Seite zu informieren und sie zur Einwilligung via Opt-In über den Einsatz der Cookies aufzufordern. Der Vorteil dieser Lösung ist, dass sie dem Wortlaut der Vorgaben aus der Cookie-Richtlinie entspricht und somit rechtskonform sein müsste. Hier sollte natürlich darauf geachtet werden, dass an dieser Stelle vor der Einwilligung noch kein Cookie gesetzt wird. In anderen Ländern wird die Cookie-Richtlinie häufig so ausgelegt, dass beim Aufrufen der Webseiten entsprechende Fenster aufpoppen. Der Nachteil ist natürlich vor allem das Nutzerverhalten. Die meisten Nutzer werden es als lästig empfinden, so dass Ihre Conversion-Rates unter Umständen sinken. Das Design der Website wird durch diese Einwillgung auch in der Regel nicht schöner.

Abwägung – Kompromiss aus Sicherheit und Nutzen

Eine weitere mögliche Lösung wäre es, die Nutzer der Website durch eine auf den ersten Blick sichtbaren Einblendung am oberen oder unteren Rand der Webseite auf die Verwendung von Cookies hinzuweisen und darüber zu informieren, dass der Betreiber der Webseite von der Einwilligung des Nutzers ausgeht, wenn er die Nutzung der Webseite daraufhin fortsetzt. Die Suchmaschine Google folgt aktuell dieser Lösung und verwendet folgende Formulierung:

„Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.“ [Mehr erfahren] „OK“

Der Vorteil dieser Lösung ist, dass die Vorgaben der EU-Richtlinie – bei benutzerfreundlicher Interpretation – eingehalten werden, insbesondere weil der Nutzer durch die entsprechende Voreinstellung seines Browsers die Cookies offensichtlich zugelassen hat. Die Einschränkungen beim Design und in der Anwendbarkeit beschränken sich zudem auf ein Minimum. Ein Nachteil bleibt bestehen: es gibt hier keine abschließende Sicherheit, auch wenn rechtliche Konsequenzen bei dieser Lösung eher unwahrscheinlich scheinen. Bei beiden oben genannten Modellen stellt sich allerdings das Problem, dass vor der Erklärung der Zustimmung zur Cookienutzung die Website frei von Cookies sein muss, um den Anforderungen der Cookie-Richtlinie zu genügen. Hier müssen Websitebetreiber gegebenenfalls nachbessern.

Cookie-Richtlinie nicht beachten

Schließlich könnten sich die Betreiber von Webseiten einfach weiterhin so verhalten wie bisher. Immerhin gibt es kein neues Gesetz in Deutschland, das ihnen vorschreibt, dass sie von ihren Nutzern eine ausdrückliche Einwilligung für die Verwendung von Cookies einholen müssen. Von dieser Lösung ist abzuraten, da irgendwann eine ausdrückliche nationale Umsetzung erfolgen wird. Bei alten Websites ist es möglich zu argumentieren und diese so zu lassen wie Sie sind. Bei neuen Websites macht es ggf. Sinn hier zumindest die oben dargestellte, abgewogene Lösung, umzusetzen.


Wenn Sie weitere Fragen zur rechtssicheren Gestaltung Ihrer Internetseite haben, können Sie uns gerne kontaktieren. Rufen Sie uns einfach unter der Durchwahl 0681-9400543-55 an oder schreiben Sie uns eine E-Mail an info@website-check.de. Gerne informieren wir Sie auch über unser Angebot an Schutz- und Prüfpaketen, die wir Ihnen im Rahmen des Website-Check anbieten.

Autor: Johnny Chocholaty LL.B. (Verfasst am 19. November 2014)

Johnny Chocholaty LL.B. ist Wirtschaftsjurist und Geschäftsführender Gesellschafter bei der Website-Check GmbH. Außerdem ist er vom TÜV-Rheinland zertifizierter interner und externer Datenschutzbeauftragter. Johnny Chocholaty ist verantwortlich für die Betreuung von mehr als 1.000 Website-Check Kunden im In – und Ausland.
Xing Twitter Facebook Linkedin

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!