„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.“
Mit solchen oder ähnlichen Hinweisen werden Nutzer zunehmend bombardiert. Doch was steckt eigentlich dahinter? Und welche Gesetze regeln die Verwendung personenbezogener Daten im Internet?
Die Cookie-Richtlinie der EU
Zurzeit gilt die E-Privacy-Richtlinie der EU, bekannter als „Cookie-Richtlinie“. Sie unterscheidet zwischen …
- …technisch notwendigen Cookies, welche für die Funktion einer Webseite zwingend erforderlich sind, wie zum Beispiel die Passwortspeicherung auf E-Mail-Plattformen…
- …und technisch nicht notwendigen Cookies, die auch andere Daten erheben.
Laut der Richtlinie ist für letztere ein Hinweis erforderlich, worauf der Nutzer zustimmen kann. Hierfür gibt es wiederum zwei Möglichkeiten:
- Opt-in, was bedeutet, dass der Nutzer vor dem Setzen von Cookies zustimmen kann…
- …und Opt-out, wobei erst nach dem Setzen der Cookies widersprochen werden kann.
Die Richtlinie der EU wird meist so interpretiert, dass eine Opt-in-Lösung erforderlich ist. So urteilte auch der Europäische Gerichtshof – sogar für nicht personenbezogene Cookies. Jedoch wurde diese Vorgabe von den EU-Mitgliedsstaaten nicht einheitlich umgesetzt, sodass manche Länder sogar nichts oder nur ein Opt-out vorschreiben.
Die ePrivacy-Verordnung
Die EPVO soll einmal die bestehende Richtlinie ablösen. Ursprünglich sollte sie ergänzend zur neuen Datenschutzgrundverordnung (DSGVO) den Umgang mit Cookies regeln – und ist bis heute nicht in Kraft getreten. Stand Januar 2020 soll sie ein generelles Verbot von technisch nicht notwendigen Cookies beinhalten – außer der Nutzer stimmt ihrem Einsatz vorher zu. Das Inkrafttreten ist aktuell nicht absehbar und bleibt abzuwarten.
Cookies im deutschen Recht
Die Bundesregierung vertritt die Ansicht, sie habe die obengenannte Richtlinie bereits mit dem Telemediengesetz (TMG) umgesetzt. Allerdings deckt dieses die Richtlinie nicht komplett ab, da in der Richtlinie eine Opt-in-Regelung vorgeschrieben ist, im TMG hingegen nur ein Opt-out.
Es gelten nur diese Vorgaben verbindlich:
- Der Nutzer muss über die Verwendung von Cookies informiert werden.
- Der Nutzer muss dem Setzen von Cookies widersprechen können.
- Einer Website ist grundsätzlich nur die anonyme Speicherung von Daten erlaubt, für personenbezogene Daten bedarf es einer Zustimmung des Nutzers.
- Seit Mai 2018 gilt außerdem das Bundesdatenschutzgesetz, welches für personenbezogene Cookies ein Opt-in mit zweckgebundenen Daten vorsieht.
Antworten auf FAQ zu Cookies
- Zuhauf findet man auf Internetseiten einen Cookie-Banner vor, bei dem man Cookies zustimmen kann – jedoch werden bereits im Hintergrund Cookies in den Browser geladen. Diese Praxis lässt die Opt-in-Pflicht natürlich außer Acht, außerdem ist in diesem Fall der Cookie-Hinweis nutzlos. Die bereits erwähnte EPVO wird hierzu strengere Regeln beinhalten.
- Auch die sogenannte „Informierte Einwilligung“ – der Hinweis, man sei bereits mit dem Aufruf der Website einverstanden, dass Cookies gesetzt werden – halten die Datenschutzbehörden für unzureichend, da es keine „eindeutige bestätigende Handlung“ ist.
- Ein Hinweis, der nur besagt, dass Cookies verwendet werden (und nicht wie), ist ebenfalls unzureichend. Ein Link zur Datenschutzerklärung ist also verpflichtend.
- Auch wenn das Banner die ganze Website verdeckt und zum Lesen der eigentlichen Website auf „Ja“ geklickt werden muss, ist die Einwilligung unwirksam.
- Google Ads: Das Werbeunternehmen der Google LLC hat sich ebenfalls Richtlinien gesetzt, denen man als Nutzer von Google Ads folgen sollte. Zusammengefasst lauten sie, dass Werbetreibende die Einwilligung der Nutzer einholen müssen.
Ausblick
Im Moment ist die sicherste Lösung, einen Opt-In-Banner zu verwenden und die Cookies erst danach zu aktivieren. Das ist in der Praxis oft schwierig. Doch bis zum Inkrafttreten der E-Privacy-Verordnung herrscht eine unklare Rechtslage. Verstöße in der Grauzone werden daher in den meisten Fällen ohne Konsequenzen bleiben.
Wenn Sie weitere Informationen zum Thema Cookies und Datenschutz benötigen, stehen wir Ihnen gern zur Verfügung – rufen Sie uns an unter +49-9131-611610 oder schreiben Sie uns an post@kanzlei-metzner.de – wir melden uns umgehend bei Ihnen.