Website-Konformität: Wie man Cookies rechtmäßig verwendet

Während die Debatten zwischen den EU-Institutionen und Lobbygruppen über eine Überarbeitung der Cookie-Verordnungen weitergehen, setzen die Datenschutzaufsichtsbehörden in Europa die Auslegung und Durchsetzung der bestehenden Verordnungen fort, indem sie Stellung dazu beziehen, wie Cookies rechtmäßig verwendet werden können. Nachdem die deutschen Aufsichtsbehörden im März einen Leitfaden herausgegeben haben, folgte im Juli das britische Information Commissioner's Office (ICO). Wir haben für Sie den aktuellen Stand der Diskussion zusammengefasst.

ePrivacy oder GDPR - welches Gesetz gilt?

Seit 2002 gelten die EU-Datenschutzrichtlinie, die die Verarbeitung personenbezogener Daten unabhängig von der technischen Umgebung regelt, und die EU-Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy), die spezifische Anforderungen im Zusammenhang mit dem Internet festlegt, gleichzeitig für die Verwendung von Cookies. Beide Richtlinien mussten von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

Als die Europäische Union 2016 die Allgemeine Datenschutzverordnung ("GDPR") verabschiedete, stellte sich die Frage, welche Regeln Vorrang haben würden - die GDPR selbst, die in allen EU-Mitgliedstaaten unmittelbar gilt und abweichendes nationales Recht generell außer Kraft setzt, oder die bestehenden nationalen Bestimmungen zur ePrivacy? Glücklicherweise hat die Datenschutz-Grundverordnung selbst eine Antwort gegeben: Sie erlegt keine zusätzlichen Verpflichtungen auf, wenn spezifische Verpflichtungen mit demselben Ziel aus der Datenschutzrichtlinie für elektronische Kommunikation gelten. Wenn also nationale Datenschutzbestimmungen für elektronische Kommunikation die Verwendung von Cookies zulassen, kann diese Rechtsgrundlage anstelle der Datenschutz-Grundverordnung gelten.

Datenschutz für elektronische Kommunikation: Zustimmungserfordernis für die Verwendung von Cookies

Was sind die Anforderungen für die Verwendung von Cookies gemäß der Datenschutzrichtlinie für elektronische Kommunikation? Nach ihrem Art. 5 (3) ist die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen auf dem Gerät des Nutzers nur unter der Voraussetzung zulässig, dass der Nutzer seine Zustimmung gegeben hat. Bei der Festlegung der Anforderungen für eine gültige Einwilligung wurde in der Richtlinie auf die Datenschutzrichtlinie verwiesen, die nun als Verweis auf die DSGVO zu verstehen ist, was zu höheren Anforderungen im Vergleich zur Zeit vor der DSGVO führt.

Eine Ausnahme von der Zustimmungspflicht gilt, wenn Cookies unbedingt notwendig sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, den der Nutzer ausdrücklich angefordert hat, den Dienst bereitstellen kann. Der Cookie muss also für das Funktionieren einer Website technisch notwendig sein. Dies kann z. B. Cookies für Warenkörbe und den Bestellvorgang in einem Online-Shop umfassen.

Unabhängig davon, ob die GDPR- oder die ePrivacy-Vorschriften gelten, ob eine Einwilligung erforderlich ist oder nicht: In jedem Fall müssen die Anbieter von Online-Diensten ihren Nutzern allgemeine Informationen über die Verwendung von Cookies und die Verarbeitung personenbezogener Daten zur Verfügung stellen, die in der Regel in den Datenschutzbestimmungen der Website enthalten sind.

Wie man eine gültige Zustimmung zur Verwendung von Cookies erhält

Da für die meisten Cookies eine Einwilligung erforderlich ist, stellt sich die entscheidende Frage, wie diese in Übereinstimmung mit der DSGVO eingeholt werden kann. In den folgenden Abschnitten werden die Anweisungen der deutschen Aufsichtsbehörden kurz umrissen:

• Beim ersten Zugriff auf die Website wird ein Cookie-Banner eingeblendet, der einen Überblick über die verschiedenen verwendeten Cookies, die Zwecke der Erhebung personenbezogener Daten und ggf. die beteiligten Dritten gibt.
• Alle Funktionen, die personenbezogene Daten sammeln, sind deaktiviert, bis der Nutzer die entsprechenden Cookies durch aktives Anklicken einer nicht vorher angekreuzten Schaltfläche aktiviert. Wichtig ist, dass der Nutzer Cookies für jede Funktion oder jeden Zweck des Cookies separat aktivieren kann.
• Zu Dokumentationszwecken ist es nicht erforderlich, Informationen über die Identität des Nutzers zu speichern. Website-Anbieter können ein Cookie auf dem Gerät des Nutzers platzieren, das Informationen darüber enthält, welchen Cookies der Nutzer zugestimmt hat.
• Nachdem das Cookie-Banner weggeklickt wurde, muss es möglich sein, es erneut zu öffnen und die Einstellungen anzupassen, d. h. die erteilte Zustimmung durch ein späteres Opt-out einfach zu widerrufen.

Auch die ICO, die Datenschutzaufsichtsbehörde des Vereinigten Königreichs, hat kürzlich Leitlinien zur Verwendung von Cookies herausgegeben. Die Ergebnisse scheinen die Meinung der deutschen Behörden vollständig zu bestätigen. Zu den weiteren Erkenntnissen gehören:

• Es ist rechtswidrig, den Zugang zu einer Website durch die Verwendung von "Cookie-Walls" zu beschränken, die in der Regel die Anzeige von Inhalten verhindern, bis der Nutzer eingewilligt hat. Der Zugang zu bestimmten Diensten kann jedoch von der Zustimmung des Nutzers zu bestimmten Cookies abhängig gemacht werden.
• Setzt eine Website Cookies von Dritten, müssen die für diese Cookies verantwortlichen Unternehmen bei der Bereitstellung der erforderlichen Informationen für die betroffenen Personen ausdrücklich genannt werden.
• Die Betreiber von Websites sollten ihre Nutzer auffordern, nach einer bestimmten Zeit erneut zuzustimmen. Das ICO gibt jedoch keine weiteren Informationen darüber, wie die Intervalle zu bestimmen sind.
• Das ICO bietet ein Online-Tool an, mit dem Sie durch Ausfüllen eines Fragebogens herausfinden können, ob für die von Ihnen verwendeten Cookies eine Einwilligung gilt.

Ist die Zustimmung auch in Deutschland erforderlich?

Bis zum Inkrafttreten der DSGVO konnten Diensteanbieter in Deutschland die Verwendung von Marketing-Cookies mit einer speziellen Bestimmung rechtfertigen, die die Erstellung von Nutzungsprofilen auf pseudonymer Basis, wie einer um die letzten Ziffern gekürzten IP-Adresse, erlaubt. Die deutsche Regierung und, wie berichtet, auch die Europäische Kommission gingen davon aus, dass dies mit den ePrivacy-Standards in Einklang steht.

Nun haben die deutschen Datenschutzaufsichtsbehörden Bedenken gegen diese Auslegung geäußert. In einem kürzlich veröffentlichten Leitfaden vertreten sie die Auffassung, dass diese Bestimmungen nicht mehr anwendbar seien, da sie unter den Standards der Datenschutzrichtlinie für elektronische Kommunikation lägen. Da die Datenschutzrichtlinie für elektronische Kommunikation nicht direkt für Diensteanbieter gilt, wenn ihre Bestimmungen nicht ordnungsgemäß in nationales Recht umgesetzt wurden, gab es kein geltendes Gesetz, das Vorrang vor der Datenschutz-Grundverordnung gehabt hätte. Daher schlagen sie vor, stattdessen die Übereinstimmung der Cookie-Nutzung mit der Datenschutz-Grundverordnung zu bewerten.

Die Anwendbarkeit der GDPR setzt voraus, dass personenbezogene Daten verarbeitet werden. Da dies nicht nur Informationen über eine identifizierte Person bedeutet, z. B. in Verbindung mit dem Namen einer Person, sondern auch über identifizierbare Personen, kann die Verarbeitung personenbezogener Daten die Erfassung von Online-Kennungen wie IP-Adressen, Cookie-Kennungen, MAC-Adressen, Werbe-IDs, Zählpixel und Geräte-Fingerabdrücke umfassen. Die Erstellung von Profilen von Einzelpersonen wird ebenfalls zur Anwendbarkeit der DSGVO führen, da die möglicherweise einzigartige Kombination persönlicher Präferenzen mit einer einzelnen Person verknüpft werden kann.

Hinsichtlich der relevanten Rechtsgrundlage betonen die Behörden, dass die Datenverarbeitung auf der Grundlage berechtigter Interessen eine eingehende rechtliche Prüfung erfordert. Die Ergebnisse werden wahrscheinlich dem Ansatz der Datenschutzrichtlinie für elektronische Kommunikation entsprechen: eine allgemeine Zustimmungspflicht und Ausnahmen, wenn Cookies technisch notwendig sind. So argumentieren die Behörden beispielsweise, dass die Verwendung von Web-Beacons in einem Online-Shop, um Kunden zu Werbezwecken in einem sozialen Netzwerk erneut anzusprechen, eine Zustimmung erfordert.