Cookie-Hinweise: EU-Richtlinie und deutsches Gesetz

Dominik Schmidt ist Rechtsanwalt der Kanzlei FECHNER Rechtsanwälte in Hamburg und u. a. schwerpunktmäßig im Medien- und Werberecht tätig - Cookies und Datenschutz spielen in seinem Tätigkeitsbereich eine wichtige Rolle. In seinem Gastbeitrag erklärt er euch, wann ein Hinweis auf die Verwendung von Cookies verpflichtend ist.

Cookies sind aus gängigen internetbasierten Diensten nicht mehr wegzudenken. Fast jede Website nutzt sie. Apps auch. Die kleinen und nützlichen Datenpakete werden in der Regel auf dem Gerät des Nutzers installiert, vereinfachen die Nutzung und übermitteln dem Anbieter die im Cookie gespeicherten Daten. So können zum Beispiel über Session-Cookies die Login-Daten oder die im Warenkorb abgelegten Produkte des Nutzers gespeichert werden. Mithilfe von Cookies – und auch anderer Techniken – kann aber auch das Nutzerverhalten mitgeschnitten und, zum Beispiel für personalisierte Werbung, genutzt werden. 

Jetzt wären wir aber nicht in Deutschland bzw. nicht in der EU, wenn es nicht natürlich auch einen rechtlichen Rahmen für den Einsatz von Cookies gibt. Wichtig ist das vor allem dann, wenn Freelancer im Rahmen eines Projekts Cookies irgendwo einbauen und der Auftraggeber diese dann als Anbieter auf seinen Websites etc. nutzt.

Die Europäische Union hat die für den Einsatz von Cookies maßgeblichen Regeln in der sogenannten „Cookie Richtlinie“ festgelegt. Nach den Bestimmungen der „Cookie Richtlinie“ dürfen Cookies nur dann eingesetzt werden, wenn der Nutzer (1.) klar und umfassend darüber informiert worden ist und er (2.) in diese Datenerhebung und -speicherung eingewilligt (Opt-In) hat. Ausnahmen hiervon bestehen zum Beispiel nur dann, wenn der Einsatz von Cookies technisch unbedingt erforderlich ist. Deshalb unterteilt man Cookies auch in technisch erforderliche (z. B. Spracheinstellungs-/Warenkorb-Cookies) und technisch nicht erforderliche Cookies (z. B. Tracking-/Targeting-/Werbe-Cookies). Bei technisch erforderlichen Cookies muss auf ihren Einsatz „nur“ hingewiesen werden, bei technisch nicht erforderlichen zusätzlich die Einwilligung des Nutzers (Opt-In) eingeholt werden.

Die Regeln der „Cookie-Richtlinie“ hat der deutsche Gesetzgeber aber nie wirklich umgesetzt, obwohl er das bis 2011 hätte machen müssen. Daran stört sich aber weder die Bundesregierung noch die EU-Kommission, da beide der Auffassung sind, dass der deutsche Rechtsrahmen vorher schon den gleichen Rechtsrahmen gesetzt hat. Offen gesprochen ist das ziemlicher Quatsch.

Quatsch ist das deshalb, da in Deutschland unter anderem in §§ 13, 15 TMG (Telemediengesetz) recht deutliche Regeln aufgestellt werden: Nach § 13 Abs. 1 TMG muss der Anbieter die Nutzer zu Beginn des Nutzungsvorgangs unter anderem über Art, Umfang und Zwecke der Erhebung und Verwendung von Cookies in allgemein verständlicher Form informieren. Hieraus ergibt sich übrigens die Notwendigkeit, dass kein Online-Angebot ohne Datenschutzerklärung auskommt. Die braucht man, immer. Nach § 15 Abs. 3 TMG darf der Anbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung – mittels Cookies – pseudonyme Nutzungsprofile erstellen, wenn der Nutzer dem nicht widerspricht (Opt-Out). Auf die Widerspruchsmöglichkeit muss der Anbieter außerdem hinweisen.

Man sieht selbst: Die „Cookie-Richtlinie“ setzt eine Opt-In-Pflicht, das deutsche Gesetz ein Opt-Out-Recht. Deshalb auch der oben zitierte Quatsch vom Gleichlauf deutschen und europäischen Rechts. In der Praxis stellt sich jetzt die Frage, ob man sich an die lockerere deutsche (Opt-Out) oder an die strengere europäische (Opt-In) Regel halten sollte.

Unabhängig davon, welcher Lösung gefolgt wird, braucht die Website, die App etc. zunächst aber eine ordentliche Datenschutzerklärung mit Angaben zu den mittels Cookies gespeicherten Informationen, dem Zweck der Speicherung der Cookies, die jeweilige Speicherdauer der Cookies, den Verantwortlichen für die Speicherung und dem Bestehen einer Widerrufsmöglichkeit der einmal bereits erteilten Einwilligung zur Cookie-Verwendung. Je umfangreicher Cookies eingesetzt werden, desto eher sollte mit einem vorgeschaltetem Pop-Up, einem Layer oder einem Banner auf den Einsatz von Cookies und die Datenschutzerklärung hingewiesen werden. Technisch erforderliche Cookies können bereits so eingesetzt werden. Dem Einsatz von Tracking- oder Targeting-Cookies, also technisch nicht erforderlichen Cookies müssen Nutzer – nach deutschem Recht – widersprechen (Opt-Out) können, zum Beispiel im Rahmen der Datenschutzerklärung oder durch ein gesondertes Auswahlmenü. Für einen Einsatz nur in Deutschland reicht das so aus. Wer in jedem Fall auf Nummer sicher gehen will, hält sich von vornherein an die strengeren Regeln der „Cookie-Richtlinie“.

Soweit man aber auch Nutzer innerhalb der EU aber außerhalb Deutschlands ansprechen möchte, sollte man sich an die europäischen Regeln, die in den meisten anderen EU-Ländern umgesetzt sind, halten und – zusätzlich zu den deutschen Regeln – über eine im Vorfeld der Nutzung implementierte Opt-In-Lösung die ausdrückliche Einwilligung der Nutzer, zum Beispiel über eine protokolierbare Schaltfläche (mit Wahlmöglichkeiten wie zum Beispiel auf https://www.oracle.com/de/index.html), einholen. Stimmt der Nutzer der Verwendung von Cookies zu, dürfen sie entsprechend verwendet werden – lehnt er ab, dürfen die Cookies selbstverständlich nicht verwendet werden.

Ohnehin an die strengeren Vorgaben der „Cookie-Richtlinie“ müssen sich Kunden der Google-Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ halten, da Google seit letztem Sommer einen Hinweis für die Nutzer implementiert und die Zustimmung der Nutzer zur Verwendung von Cookies eingeholt haben will, um diese Produkte über den Anbieter überhaupt einzubinden.

Dass man mittlerweile auf immer mehr Websites Cookie-Bars / -Layers sieht liegt übrigens genau daran, dass international tätige Unternehmen entsprechend die unterschiedliche Umsetzung in Deutschland und der EU unter einen Hut bringen wollen und auch Google bei der Verwendung entsprechender Cookies die Einbindung eines ausdrücklichen Cookie-Hinweises verlangt.

Zusammengefasst gelten folgende Grundregeln:

  • Wer Cookies einsetzt muss darüber in der Datenschutzerklärung informieren.

  • Wer Cookies nur in Deutschland einsetzt muss zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung von Cookies in allgemein verständlicher Form informieren und kann für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung mittels Cookies pseudonyme Nutzungsprofile erstellen, wenn der Nutzer dem nicht widerspricht (Opt-Out). Auf die Widerspruchsmöglichkeit muss der Anbieter außerdem hinweisen.

  • Mittels Cookies erstellte personalisierte Nutzungsprofile benötigen immer eine ausdrückliche Einwilligung des Nutzers.

  • Soweit Cookies innerhalb der EU aber außerhalb Deutschlands eingesetzt werden und/oder die Google-Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ einbindet, muss über eine im Vorfeld der Nutzung implementierte Opt-In-Lösung die ausdrückliche Einwilligung der Nutzer eingeholt werden.

Dominik Schmidt

Dominik Schmidt ist Rechtsanwalt der Kanzlei FECHNER Rechtsanwälte in Hamburg und u. a. schwerpunktmäßig im Medien- und Werberecht tätig.

Neueste Artikel