Cookie-Hinweis und Einwilligung [Stand 27.11.2019]

  1. Cookies sind Softwareelemente, die vom Server einer Webseite aus direkt auf dem Gerät des Endnutzers gespeichert werden und unterschiedliche Informationen enthalten. Die gespeicherten Cookies können vom Webbrowser ausgelesen werden, und so beispielsweise zum Zwischenspeichern von Dateien (z.B. Webshop-Warenkorb), zu statistischen Zwecken (z.B. reine Messung der Anzahl an Webseitenbesuchern), technischen Zwecken (Auslesen von Browsertyp, Betriebssystem, Bildschirmauflösung etc. um die Webseite an das Endgerät angepasst darstellen zu können) oder zur Nachverfolgung bestimmter Nutzer (sog. Webtracking) dienen. Insbesondere dieses sog. Webtracking bedingt die Erhebung personenbezogener Daten des jeweils „getrackten“ Nutzers.
  2. Der Einsatz von Cookies auf Webseiten erfordert nach der aktuellen Rechtslage die Einwilligung des Nutzers, dessen Daten durch die Cookies erhoben werden. Dabei gilt folgendes:
    1. Gesetzlich verankert ist das Einwilligungserfordernis in  Art. 6 Abs. 1 Buchstabe a) DSGVO. Dieser besagt, dass eine Verarbeitung personenbezogener Daten nur erfolgen darf, wenn hierfür ein Rechtfertigungsgrund besteht – in der überwiegenden Zahl der Anwendungsfälle hinsichtlich des Einsatzes von Cookies stellt diese die Einwilligung dar.
    2. Einige Cookies sind technisch notwendig. Dazu zählen solche Cookies, die nur dazu dienen, die Webseite ordnungsgemäß darstellen zu können, indem sie z.B. Browsertyp, Bildschirmauflösung, etc. zwischenspeichern. Hier besteht eine abweichende Rechtslage, denn solche Cookies erheben regelmäßig keine persönlichen Daten, und sind daher nach der derzeitigen Rechtslage nicht einwilligungspflichtig.
    3. Wenn auf einer Webseite Cookies verwendet werden, ist erst einmal unerheblich, wer diese einbringt, da die Webseite für den Nutzer als „aus einem Guss“ dargestellt wird. Wenn der Anbieter also selbst keine Cookies implementiert hat, ein eingebundener Dienst – etwa von Google – das aber tut, dann muss dennoch für einwilligungspflichtige Cookies eine entsprechende Einwilligung eingeholt werden.
  3. Die störungsfreie Einbindung des Cookie-Hinweises wird sich an dem Maßstab messen müssen, den die Rechtsprechung (zuletzt EuGH Urteil vom 01.10.2019, C-673/19) an die Einwilligung in die Datenverarbeitung durch Cookies stellt:
    1. Die Einwilligung muss aktiv und unmissverständlich erfolgen – am besten durch das Anwählen einer nicht vorangekreuzten Checkbox.
    2. Die Einwilligung muss freiwillig erfolgen.
    3. Schmale Banneranzeigen, die eine konkludente Einwilligung durch Benutzung der Webseite vorsehen, dürften nach der aktuellen Rechtslage und Rechtsprechung nicht mehr ausreichen.
    4. Banner oder Pop-Ups müssen, um die erforderliche Einwilligung einzuholen, so ausgestaltet sein, dass, wenn der Nutzer sie wegklickt, an seiner Zustimmung keine Zweifel mehr bestehen.
  4. Die Einwilligung in die Datenverarbeitung muss nur einmal für die ganze Webseite gegeben werden. Eine erneute Einwilligungseinholung auf der Anmeldeseite wäre nur erforderlich, wenn dort andere Cookies als auf der Hauptseite verwendet werden oder der Nutzer das Webangebot auf der Anmeldeseite erstmalig besucht. Ein Hinweis auf die Datenverarbeitung allgemein, also unabhängig von der Datenverarbeitung mit Cookies, muss überall da angegeben werden, wo eine solche stattfindet. Da bei der Anmeldung auf jeden Fall die Anmeldedaten verarbeitet werden, müsste dort ohnehin ein Hinweis auf die Verarbeitung der Daten erfolgen.
  5. Aktuell arbeitet der europäische Verordnungsgeber an der e-Privacy-VO. Für die erwartete Regelung sieht der aktuelle Entwurf der Verordnung (Stand 08.11.19) hinsichtlich des Einsatzes von Cookies überschlägig folgendes vor:
    1. Die Nutzung von Cookies zu technisch notwendigen Zwecken darf auch ohne Einwilligung erfolgen (Erwägungsgrund 21). Technisch notwendig sind z.B. Cookies, die Nutzereingaben während des Ausfüllens eines Formulars speichern, Warenkorbeinträge speichern oder bei Transaktionen die Identität des Nutzers bestätigen.
    2. Eine weitere Ausnahme besteht für Werbefinanzierte journalistische Angebote.
    3. Cookies, die zu rein statistischen Zwecken eingesetzt werden, also keinen Rückschluss auf den einzelnen Nutzer ermöglichen, erfüllen ebenfalls einen rein technischen Zweck und bedürfen daher keiner Einwilligung.
    4. Cookies die eingesetzt werden um einzelne Nutzer zu identifizieren (Webtracking) bedürfen auch weiterhin der Einwilligung des Nutzers (Erwägungsgrund 21).

Cookie-Hinweis/ Cookie-Einwilligung [Stand März 2016]

Setzt ein Anbieter innerhalb seiner Internetpräsenz Cookies ein, so ist der Nutzer über den herkömmlichen Datenschutzhinweis ausdrücklich darauf hinzuweisen, § 13 I S. 2 TMG

Nach sich inzwischen abzeichnender Rechtsauffassung bedarf die Abspeicherung von Cookies auf dem Rechner eines Nutzers zudem der Einwilligung des Nutzers. Diese Einwilligung kann - so die derzeit zu der Thematik bekannte Rechtsprechung - über eine voraktivierte Checkbox eingeholt werden. Möchte der Nutzer die Einwilligung nicht erteilen, so obliegt es ihm, die Checkbox zu deaktivieren.

 

Das Einwilligungserfordernis war lange Zeit umstritten und ergibt sich nicht aus in einem Gesetz niedergelegtem deutschem Recht, sondern aus unmittelbar anzuwendendem, nicht innerhalb der Umsetzungsfrist in deutsches Recht übernommenem EU-Recht. Hierzu im Einzelnen:

Gesetzlich ist in Deutschland bislang nicht geregelt, dass ein Nutzer in die Speicherung von Cookies auf seiner Festplatte gegenüber dem Anbieter einwilligen muss, bevor der Anbieter eine entsprechende Cookie-Speicherung vornehmen darf.

Allerdings setzt sich inzwischen mehr und mehr die Meinung durch, dass die Einwilligung des Nutzers in eine Cookie-Setzung erforderlich ist.

Die Rechtslage erscheint auf den ersten Blick geringfügig verwirrend. In der EU-Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation) wurde vor vielen Jahren festgelegt, dass „die Speicherung von Informationen oder [der] Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie […] klare und umfassende Informationen über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, die Verarbeitung zu verweigern“, Art. 5 Abs. 3 der Richtlinie.

In Umsetzung dieser Bestimmung wurde der oben zitierte § 13 Abs. 1 S. 2 TMG in das Deutsche Telemedienrecht übernommen.

Die Bestimmung des Art. 5 Abs. 3 TMG wurde durch die Richtlinie 2009/136/EG (sog. „Cookie-Richtlinie“) anschließend modifiziert. Der Richtliniengeber hat ein neues Einwilligungserfordernis formuliert: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie […] über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

Dieses für den Bereich der EU so vorgegebene Einwilligungserfordernis wurde durch zahlreiche Mitgliedsstaaten in nationales Recht umgesetzt. In Deutschland wurden Gesetzesentwürfe erstellt, eine Umsetzung des Erfordernisses wurde aber nie beschlossen.

Die den Mitgliedsstaaten gesetzte Frist zur Umsetzung der in der Richtlinie enthaltenen Vorgaben ist mit dem 25.05.2011 abgelaufen. Seit diesem Datum gehen in der rechtlichen Literatur die Meinungen, wie nun in Deutschland im Zusammenhang mit Cookies verfahren werden soll, auseinander. Auf der einen Seite wird vertreten, dass in Deutschland das gilt, was im TMG festgeschrieben ist. Es muss also keine gesonderte Einwilligung eingeholt werden, wenn ein Cookie gesetzt werden soll. Sehr gut nachvollziehbar wird seit dem Zeitpunkt des Ablaufs der Umsetzungsfrist von namhaften Autoren daneben die Meinung formuliert, dass die Europäischen „Cookie-Regeln“ seit Ablauf der Frist in Deutschland direkt und unmittelbar anwendbar sind.

Dieser Streit hatte lange eher theoretische Natur. Nahezu 100 % der aus Deutschland angebotenen Internetpräsenzen orientierten sich an dem Bestimmungen des TMG und boten keine Möglichkeit an, in die Cookie-Setzung einzuwilligen.

Seit etwa 2014 Jahren lassen sich immer mehr Internetseiten mit einen ausdrücklichen Hinweis auf eine Cookie-Nutzung oder sogar mit einer Möglichkeit, die Cookie-Speicherung zu deaktivieren, finden. Vermutet wurde hierzu eine gewisse Zeit lang, dass der Trend zu entsprechenden Gestaltungen mit einer daraus resultierenden Verbesserung der Suchmaschinenfindbarkeit zusammenhing.

Anfang des Jahres 2016 wurde dann ein Urteil des OLG Frankfurt a. M. vom 17.12.2015, Az. 6 U 30/15, veröffentlicht. In dem Urteil führt das OLG Frankfurt a. M. ohne große Umschweife aus, dass die in Deutschland geltenden datenschutzrechtlichen Bestimmungen nach Ablauf der Umsetzungsfrist der Richtlinie 2009/136/EG konform eben dieser Richtlinie auszulegen sind. Diese richtlinienkonforme Auslegung führt nach dem OLG Frankfurt a. M. dazu, dass die Speicherung eines Cookies auf dem Rechner eines Nutzers die vorhergehende Einwilligung dieses Nutzers erfordert.

Der beklagte Internetanbieter hatte Nutzer mit einer voraktivierten Checkbox in die Speicherung von Cookies einwilligen lassen. Hierzu hat das Gericht ausgeführt, dass eine datenschutzrechtliche Einwilligung nicht eine aktive Handlung im Sinne eines „Ankreuzens“ verlangt, sondern dass es zur Abgabe einer datenschutzrechtlich genügenden Einwilligung genügt, wenn der Nutzer eine voraktivierte Checkbox nicht deaktiviert.

Das Gericht hat hier eine Parallele zu der zu datenschutzrechtlichen Einwilligungen außerhalb des Internet ergangenen Rechtsprechung gezogen. Nach dieser Rechtsprechung ist, wenn im Gesetz eine einfache „Einwilligung“ gefordert wird, nicht zwingend eine „Opt-in-Einwilligung“ gefordert. Es genügt vielmehr, wenn der Nutzer beispielsweise eine drucktechnisch hervorgehobene, verständlich formulierte Einwilligungserklärung eigenständig durchstreichen kann o.ä.

Ein Unterschied besteht hier zwischen der datenschutzrechtlichen Einwilligung und der in § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb geforderten ausdrücklichen Einwilligungserklärung des Nutzers in die Versendung von E-Mail-Werbung. Diese ausdrückliche Einwilligungserklärung verlangt nach einhelliger Auffassung eine proaktive Aktion des Nutzers in Form eines Ankreuzens/ eines „Opt-in“.

Für den Bereich der datenschutzrechtlichen Einwilligung soll dies, so das OLG Frankfurt am Main, nicht gelten. Bis eine höchstgerichtliche Entscheidung vorliegt, wird man diese Bewertung der Rechtslage im Rahmen der Gestaltung einer Internetpräsenz eher zu berücksichtigen haben.

 

QUELLEN:

Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation) - Auszug

Artikel 5 Vertraulichkeit der Kommunikation

(1) Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht - unbeschadet des Grundsatzes der Vertraulichkeit - der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.

(2) Absatz 1 betrifft nicht das rechtlich zulässige Aufzeichnen von Nachrichten und der damit verbundenen Verkehrsdaten, wenn dies im Rahmen einer rechtmäßigen Geschäftspraxis zum Nachweis einer kommerziellen Transaktion oder einer sonstigen geschäftlichen Nachricht geschieht.

(3) Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

 

Richtlinie 2009/136/EG (Cookie-Richtlinie) - Auszug

Artikel 2, Nr. 5:  Artikel 5 Absatz 3 der Richtlinie 2002/58/EG erhält folgende Fassung:

„(3)   Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Erwägungsgrund 66 der Richtlinie erläutert dazu:

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Am 24.01.2012 verfasste die SPD-Fraktion im Deutschen Bundestag einen Gesetzesentwurf, der die Einwilligungserfordernis für Cookies aus der Cookie-Richtlinie für Deutsches Recht umsetzen sollte. Vorgesehen war, dass § 13 TMG um einen Absatz 8 ergänzt wird:

„(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“

Ein umfangreicherer, durch die Regierung erstellter Entwurf, ist heute nicht mehr über das Internet verfügbar. Beide Entwürfe wurden nicht verabschiedet. Eine gesonderte Umsetzung der Richtlinienvorgaben zu Cookies ist nicht erfolgt.