Aktive Einwilligung für Cookies erforderlich – Was ist notwendig?
Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.
Wer eine Webseite betreibt und die Medien verfolgt wird sich in diesem Jahr mehr als einmal gefragt haben wie spätestens das Urteil des Europäischen Gerichtshofs (EuGH) zu bewerten ist. Mit dem Urteil wurde die Entscheidung getroffen, dass eine aktive Einwilligung des Users erforderlich ist, bevor Cookies gesetzt werden deren Einsatz nicht zwingend erforderlich ist.
Was ist passiert
Die EU-DSGVO ist bereits seit dem 25.05.2018 anzuwenden. Die E-Privacy Verordnung, welche die Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) in der Fassung von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie) und das Telemediengesetz (TMG) ablösen soll, lässt weiter auf sich warten.
Am 01.20.2019 hat der EuGH die Entscheidung getroffen, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Dies ist unabhängig von der EU-DSGVO, da es nicht relevant ist, ob es sich bei den abgerufenen Daten um personenbezogene Daten handelt oder nicht.
Diese Entscheidung war für mich mich näher mit diesem Thema zu beschäftigen und einen Artikel zu schreiben der wenig technisch ist. Jedoch finde ich eine solide Basis als Hintergrund wichtig um darauf aufbauend eine technische Betrachtung durchführen zu können und damit zur Auswahl von Tools zu gelangen. Wer sich nur für die Tool interessiert sollte direkt zum Artikel wechseln.
Einwilligung erfordert aktive Zustimmung des Nutzers
Auch wenn der oben genannte Fall speziell ist und mehrere Punkte dazu geführt haben, dass die Entscheidung getroffen wurde, dass die „vorangekreuzte“ Einwilligung ungültig ist.
Wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.
Randnotiz 52 In der Rechtssache C‑673/17
Daraus ergibt sich für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analyse zwecken), dass eine Einwilligung des Nutzers erforderlich sei.
In dem Urteil festgestellt wurde, dass die deutschen Gesetze zum Cookie-Einverständnis nicht dem europäischen Recht entsprechen. Deutschland war der Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz von 2007 (TMG) bereits mit EU-Recht konform umgesetzt seien. Das widerspricht der Tatsache, dass das TMG – im Gegensatz zur Forderung der EU-Cookie-Richtlinie – mit einer Widerspruchslösung (Opt-Out-Lösung) für Nutzer einverstanden war. § 15 Abs.3 Telemediengesetz (TMG) besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Telemediengesetz (TMG) § 15 Nutzungsdaten, Absatz 3
Davon ausgehend, dass die E-Privacy Verordnung in den nächsten Jahren kommen wird und die EU-Cookie Richtlinie nicht in nationales Recht umgewandelt worden ist, bleibt eine Situation der Unsicherheit bestehen. Wer sicher gehen will orientiert sich an der EU-Cookie Richtlinie.
Begrifflichkeiten
Wenn ich als Webseitenbetreiber nun die Gerichtsentscheidung eng auslege und damit die Cookie-Richtlinie näher betrachte und mich daran orientieren möchte, so sind vorab noch einige Begrifflichkeit zu klären.
Was sind technisch notwendige Cookies und was sind technisch nicht notwendige Cookies?
In der Entscheidung wird zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterschieden. Hierauf nimmt der EuGH im Urteil Bezug, vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
EU-Richtlinie 2009/136/EG vgl. Randnotiz 10 In der Rechtssache C‑673/17
Technisch notwendige Cookies
Technische Cookies sind Cookies, welche unbedingt für die Erbringung des Dienstes notwendig sind. Die umfasst zum Beispiel Präferenz-Cookies, Session-Cookies, Cookies für das Loadbalanceing, Cookies für LogIns oder Warenkörbe, … All diese Cookies können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.
Ein praktische Beispiel ist eine E-Commerce Webseite bei der ein Cookie zur Abbildung des Warenkorbs erstellt wird. Das Cookie enthält die Artikel, welche ein User bei der Nutzung der Seite während einer Session einlädt.
Technisch nicht notwendige Cookies
Darüber hinausgehende Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen, benötigen die informierte Einwilligung des Nutzers. Dies sind zum Beispiel Tracking und Werbe-Cookies von Drittanbietern.
Um es an dieser Stelle noch einmal explizit hervorzuheben: Technisch nicht notwendige Cookies dürfen also nicht gesetzt werden, bevor der User nicht explizit seine Einwilligung dazu gegeben hat.
Eine kleiner Schlenker an dieser Stelle. Eine Einwilligung kann natürlich nicht nur über ein Cookie-Banner oder einen Consent-Tool eingeholt werden. Auf Plattformen wie Facebook oder bei Abo Diensten kann die Einwilligung auch direkt bei der Registrierung oder dem Vertragsschluss eingeholt werden. Dies mag dann auch die Verarbeitung nicht anonymisierten Daten erlauben.
Benötige ich eine Einwilligung für technisch notwendige Cookies?
Dies ist eine häufig gestellte Frage, die ich an dieser Stelle direkt mitverantworten möchte. Aus der oben genannten Vorschrift ist zu lesen, dass die Anforderungen einer informierten Einwilligung für technisch notwendige Cookies nicht gelten. Da Nutzer somit in die Verwendung technisch notwendiger Cookies nach geltendem Recht nicht einzuwilligen brauchen, erübrigt sich für derartige Cookies auch die Erwähnung in einem Cookie-Banner oder Consent Manager. Hier muss keine Einwilligungs- oder sonstige Akzeptanzmöglichkeit gewährt werden.
Aktive und informierte Einwilligung des Nutzers
Die aktive Einwilligung ist meines Erachtens der spannendste Begriff den es zu klären gilt. Leider ist es gleichzeitig der Begriff zu dem ich keine Quelle gefunden habe, die mir eine eindeutige Interpretation ermöglicht. Auf vielen Seiten wir die aktive Einwilligung mit Opt-In gleichgesetzt. Ob dieser Opt-In jedoch aktiv durch setzen eine Hakens in einer Box, das drücken eines Buttons oder implizit durch die weitere Nutzung der Webseite geschieht bleibt für mich offen. Sicher ist nur, eine vorausgefüllte Check Box welcher der Nutzer widersprechen muss ist keine Einwilligung.
Das Wort „informiert“ lässt sich hingegen wieder leicht interpretieren. Hier hilft uns zunächst die EU-DSGVO weiter. Die DSGVO verlangt, dass in der Datenschutzerklärung die Rechtsgrundlagen für die Verwendung von Cookies genannt werden.
Weiter führt uns dann die Cookie-Richtlinie. Sie verlangt, dass den Nutzern eine klare und verständliche Information bereitgestellt wird.
Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereit gestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.
Cookie-Richtlinie Randzeichen 66
Die weiterhin Spielraum darüber wie detailliert die Informationen sein müssen. Als Minimum nehme ich an, dass die Cookies in Kategorien eingeteilt werden und deren jeweiliger Zweck erläutert ist. Wer sicher gehen will informiert über Art, Funktionsweise und Lebensdauer der Cookies sowie über die Identität der verarbeitenden Dienstleiser.
Anforderungen an Cookie Banner bzw. Cookie Consent Tools
Um die vom EuGH formulierten Anforderungen zukünftig umzusetzen, reichen einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, als Einwilligung nicht aus. Solange die E-Privacy Verordnung jedoch nicht in kraft getreten ist und die Cookie-Richtlinie nicht in nationales Recht umgewandelt wurde, bleibt weiterhin Unklarheit und Interpretationsspielraum. Folgendes können wir aus dem bisher gesagten festhalten:
Zusammenfassung
- Die Cookie-Richtlinie wurde bisher nicht durch die ePrivacy Verordnung aufgehoben und gilt weiterhin.
- Die Cookie-Richtlinie verlangt die Zustimmung der Benutzer, bevor nicht notwendige Cookies auf dem Gerät des Benutzers gespeichert und/oder verfolgt werden.
- Die Zustimmung zu Cookies muss informiert geschehen und auf einer aktiv bestätigten Aktion beruhen. Vorbehaltlich der örtlichen Behörde können diese Aktionen das fortgesetzte Surfen, Klicken, Blättern auf der Seite sein oder eine Methode, die vom Benutzer verlangt, aktiv fortzufahren.
- Das Cookie-Gesetz verlangt nicht, dass Sie den Nutzern die Möglichkeit geben, Cookie-Präferenzen direkt auf Ihrer Website/App umzuschalten, nur dass Sie auffallend die Möglichkeit bieten, eine informierte Einwilligung zu erhalten, ein Mittel zum Widerruf der Einwilligung bereitstellen und durch vorherige Sperrung garantieren, dass vor der Einholung der Einwilligung keine Verfolgung durchgeführt wird.
- Das Cookie-Gesetz verlangt nicht, dass Sie Drittanbieter-Cookies einzeln auflisten.
- Obwohl das Cookie-Gesetz nicht vorschreibt, dass Sie die Einwilligung für Cookies von Drittanbietern direkt auf Ihrer Website/App verwalten, sind Sie verpflichtet, die Benutzer über die Verwendung von Cookies von Drittanbietern, den Zweck der Cookies und den Link zu den entsprechenden Datenschutz-/Cookie-Richtlinien von Drittanbietern zu informieren.
- Das Cookie-Gesetz schreibt nicht vor, dass Aufzeichnungen über die Einwilligung geführt werden müssen, sondern zeigt stattdessen an, dass Sie in der Lage sein sollten, die erfolgte Einwilligung nachzuweisen – auch wenn diese widerrufen wurde.
Status Quo
Nachweinen Exkurs durch die Gesetzestexte nun noch einige praktische Beispiele wie verschiedene Anbieter aktuell die Richtlinien umsetzen. Die Auswahl der Beispiele ist eine willkürliche Zusammenstellung meinerseits von mir bekannten Anbietern. Von diesen Anbietern nehme ich an, dass sie aufgrund ihre Größe oder dem Schwerpunkt ihres Geschäfts eine tragbare Interpretation der Handhabung von Cookies haben sollten.
Amazon
Bei dem Blick auf den stark frequentierte Online Händler Amazon wird ein Hinweistext angezeigt. Ein klick ist nicht notwendig. Ob der User überhaupt diesen Hinweis entdeckt bevor er auf der Seite weiter liest, darüber lässt sich streiten. Allerdings dürfte es sich bei allen unten Gesetzen Cookies um Cookies der Kategorie technisch notwendige Cookies handeln. Nach dem Login in das Amazon Konto erhöht sich die Anzahl der gesetzten Cookies weiter. Eine funktionale Auflistung der Cookies von Amazon findet sich hier.
Bundesministerium für Familie, Senioren, Frauen und Jugend
Hier einmal die Webseite eines Ministeriums. Als Bürger sollte man doch davon ausgehen können, dass der eigene Staat und damit auch die Ministerien und Behörden mit gutem Beispiel voran gehen. Auf den ersten Blick zeigt Chrome in den Entwickler Tools hier nur zwei Cookies an und dies sind beides Session Cookies. Spätestens jedoch wenn ich weiter klicke, ohne auf „Einverstanden“ zu klicken, werden weitere Cookies gesetzt. Darunter drei Cookies des eingesetzte E-Tracker: _et_coid (Domain .bmfsfj.de), _et_coid (Domain www.etracker.de) und isSdEnabled. Laut Hersteller sind die ersten beiden Cookies nur, um zu sehen ob Cookies gesetzt werden können und letzteres, um sich zu merken ob die Scrooltiefe gemessen wird (E-Tracker). Positiv ist zu vermerken, dass das Banner direkt Auskunft darüber gibt zu welchem Zweck Daten erfasst werden ohne in die Datenschutzhinweise gehen zu müssen.
Datenschutz.org
Die Seite Datenschutz.org geht auf den ersten Blick mit am restriktivsten bei der Umsetzung der Cookie Richtlinie um. Der User wird gezwungen eine Auswahl zu treffen. Im Text wird er darüber informiert, welche Cookies genau gesetzt werden, wenn er „Ok“ drückt. Nur über die Auswahl „Individuelle Datenschutzeinstellungen“ hat der User die Möglichkeit nur der Verwendung von technisch notwendigen Cookies zuzustimmen.
Fazit
Die Rechtslage ist kompliziert und die Umsetzung bewegen sich entsprechend in der gesamten Bandbreite der Auslegung. Natürlich möchte kein Unternehmen aufgrund der Gesetzgebung Hürden einbauen, welche Kunden verschrecken. Die im letzten Beispiel dargestellte Variante mit einem expliziten einholen der Einwilligung durch einen Klick erscheint mir mir am geschicktesten um den Spagat zu meistern. Der Kunde muss einmal eine Entscheidung treffen, wobei diese auch sein kann die Seite zu verlassen. Aufgrund der Anordnung der Verzweigungen in der Abfrage dürfte die Wahrscheinlichkeit hoch sein, ein Tracking durchführen zu dürfen und Daten zu erhalten.
Der Artikel sollte ausreichend die Kriterien beleuchten, welche für eine Tool-Auswahl, in meinem Fall für WordPress, notwendig ist.
Weitere Interessante Quellen zu diesem Thema:
- https://www.iubenda.com/en/help/5525-cookies-gdpr-requirements
- https://www.datenschutzbeauftragter-info.de/eugh-aktive-einwilligung-fuer-cookies-erforderlich/
- https://www.datenschutzbeauftragter-info.de/cookie-und-webtracking-nur-mit-einwilligung-was-waere-wenn/
- https://www.datenschutz.org/webtracking/
- https://www.cookiemetrix.com/
Trotz des genauen Lesens Ihres sehr guten Artikels, ist es mir leider immer nicht klar, warum/ wo ich die Möglichkeit habe einfach nur das zu zustimmen! wo notwendig ist. Ich möchte nicht nach geschnüffelt werden. Alles was notwendig ist um eine Seite zu gestalten soll erlaubt werden, alles andere soll mit Zustimmung des Nutzers geschehen. Oder sehe ich es zu einfach?
Danke
KUMNAKCH
Lieber Kumnakch,
der Knackpunkt liegt vermutlich genau an dem Punkt zu definieren, was notwendig ist. Technisch notwendig ist noch einfach zu erklären. Dies umfasst die Cookies die notwendig sind, damit die Seite überhaupt läuft. Schon hier gibt es schnell Einschränkungen. Sobald Inhalte eingebunden werden, welche von Drittanbietern bereitgestellt werden, zum Beispiel Videos oder Kartenmaterial, wird es schon wieder schwierig. Die Anbieter dieser Daten sind Unternehmen und sammeln Daten über die User. Also muss vor dem Ausführen der Nutzer seine Erlaubnis geben, dass er diese Inhalte sehen möchte, obwohl dies ja bereits eine Einschränkung der Funktionalität bedeutet.
Nehmen wir nun zusätzlich an, dass der Betreiber einer Webseite ein Unternehmen ist mit wirtschaftlichen Interessen. Dessen Sicht was notwendig ist, wird sich von der des Nutzers deutlich unterscheiden. Das Unternehmen möchte gerne alle Daten erhalten, die es legal sammeln darf. Dies ist ja nicht prinzipiell zum Schaden des Nutzers. Letztendlich freuen sich die meisten über Seiten, die Ihnen alle Informationen bieten, welche sie zu einem Thema, z.B. Kaufentscheidung, benötigen oder einen Schritt weiter, wenn sie direkt das für sie passende Paket finden. Auch stecken dahinter Analysen die verhindern sollen, dass Unternehmen ausgebeutet werden. Es gibt Betrüger, die verschiedenste Wege nutzen, um sich Leistungen zu erschleichen. Das Aufspüren dieser Betrüger dient allen ehrlichen Nutzern. So lassen sich noch viele Beispiele finden, um die Datensammlung zu unterstützen.
Die andere Seite ist natürlich, dass die Daten zur gezielten Manipulation verwendet werden können, siehe als prominentes Beispiel Cambridge Analytica. An dieser Stelle lässt sich philosophieren, wann Manipulation anfängt und aufhört. Ist nicht generell jede Werbung Manipulation? Freue ich mich über News zu Themen, die mich interessieren oder bin ich manipuliert, weil ich andere Sichtweisen nicht mehr angezeigt bekomme (und sie aktiv nicht suche)? Ich behaupte einmal, solange es in unserem ureigenen Interesse ist, nimmt jeder gerne den Komfort in Anspruch, welcher durch die Datenanalyse geboten wird. Sobald die Kehrseite der Medaille einen trifft und wir ausgeschlossen werden oder sonstige Nachteil zu spüren bekommen, dann beginnt das Schimpfen auf die Technik und die Forderung nach Regulierung.
Letztendlich geben die meisten in den AGBs den Internetriesen das Recht ihren Daten zu erfassen, damit deren Services genutzt werden können. Als nicht Internet Riese, der ich nun auch einen Teil diese Daten haben möchte, habe ich nun das Problem die Zustimmung explizit beim Besuch der Webseite einholen zu müssen. Für mich als Nutzer ist dies störend, weil ich darauf aufmerksam gemacht werde, dass da jemand Daten von mir sammeln möchte, während es in den AGBs und Nutzungsbedingungen die kaum einer liest untergeht.
Zusammenfassend: Als Webseitbetreiber möchte ich gerne Daten über meine Nutzer sammeln, damit ich mein Angebot verbessern kann. Als Nutzer fällt es mir schwer die Grenze zu ziehen, was ich möchte und wo doch bitte Schluss sein soll.