Rechtsanwältin erklärt Cookie-Chaos – wie Webseitenbetreiber beim Datenschutz rechtssicher bleiben

Autor / Redakteur: Linda Krüpe / Sarah Gandorfer

Datenschutzverstöße können teuer werden. Doch nicht alles ist klar geregelt. So können Cookies zum Problem werden. Diese gänzlich abzulehnen macht weder für Anbieter noch für den User immer Sinn. Was hier zu beachten ist, erklärt Rechtsanwältin Linda Krüpe.

Firma zum Thema

Bei den Cookies wird die Bedeutung des Grundrechts auf informationelle Selbstbestimmung einerseits und der Wert von Daten für Wirtschaftsprozesse andererseits deutlich.
Bei den Cookies wird die Bedeutung des Grundrechts auf informationelle Selbstbestimmung einerseits und der Wert von Daten für Wirtschaftsprozesse andererseits deutlich.
(Bild: © DatenschutzStockfoto-stock.adobe.com)

Das ewige Gezerre um Opt-In oder Opt-Out bei Cookies ist zunächst vorbei – der Bundesgerichtshof hat entschieden, dass Webseitenbetreiber Cookies grundsätzlich nur dann auf dem Endgerät des Nutzers setzen und auslesen dürfen, wenn Nutzer dem ausdrücklich zustimmen. Die unterschiedlich gestalteten Cookie-Banner, die einem täglich begegnen, verraten, dass längst nicht alle Fragen geklärt sind.

Für die Frage, ob ein Webseitenbetreiber eine Einwilligung der Nutzer für das Setzen und Auslesen von Cookies benötigt, sind vor allem drei Faktoren zu berücksichtigen: Sind Cookies technisch notwendig? Wie lange werden sie gespeichert? Werden sie vom Betreiber selbst oder von einem Dritten gesetzt? Als technisch notwendig gelten Cookies, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen. Diese dürfen auch ohne Einwilligung des Nutzers gespeichert werden.

Hierzu zählen zum Beispiel „Warenkorb-Cookies“, mit denen der Nutzer identifiziert wird, um die vom Kunden gewünschte Funktion eines Warenkorbs zur Verfügung zu stellen oder auch „Authentifizierungs“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss. Will der Betreiber Cookies über mehrere Browser-Sitzungen hinweg speichern, muss er dafür in der Regel die Einwilligung des Nutzers einholen. Das kann beispielsweise in Form einer – nicht vorangekreuzten – Checkbox erfolgen, die um einen Hinweis wie „Angemeldet bleiben (verwendet Cookies)“ neben dem Anmeldeformular ergänzt wird.

Mit hoher Wahrscheinlichkeit einwilligungspflichtig sind außerdem Third-Party-Cookies, die nicht vom Betreiber selbst gesetzt werden, sondern zum Beispiel von Werbetreibenden – da Werbung üblicherweise eben nicht der vom Nutzer ausdrücklich gewünschte Dienst ist. Vor diesem Hintergrund entstehen alternative Tracking-Methoden zur einwilligungsfreien Erhebung von Nutzerdaten, um weiterhin interessenbasiert und personalisiert Werbung datenschutzfreundlich zu gestalten. Das gilt umso mehr, als dass vielen Nutzern der Datenschutz im Internet immer wichtiger wird, sodass Websites zukünftig weniger Nutzerdaten für personalisierte Werbung zur Verfügung haben werden. Suchmaschinenanbieter integrieren Technologien wie das „Federated Learning of Cohorts” (FLoC-API) als Kompromiss zwischen Datenschutz und Personalisierung. Dies ermöglicht, dass einzelne Nutzerdaten in einer zugeordneten Gruppe zusammengefasst werden und der Mensch als Einzelperson in der Menge untergeht.

Datenschutz von Beginn an

Die rechtlichen Anforderungen in der Praxis umzusetzen, ist herausfordernd – zumindest, wenn Diensteanbieter rechtlich auf der sicheren Seite sein und trotzdem innovative, ansprechende Produkte anbieten wollen. Seitenbetreiber sollten sich daher zunächst einen Überblick darüber verschaffen, welche Cookies gesetzt werden und wozu, und wie lange sie gespeichert werden. Im ersten Schritt lohnt sich das „Ausmisten“ nach dem Motto „Was du nicht brauchst: Schmeiß’ weg!“. Besonders in Bereichen, wo die Rechtslage teils immer noch unklar ist, wie etwa bei Permanent-Cookies. So spart man sich ein vermeidbares Restrisiko und unter Umständen hohe Bußgelder.

Um Datenschutz und Innovation unter einen Hut zu bringen, ist es unerlässlich, Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) zum Standard zu machen und hierbei das Vertrauen des Nutzers in den Fokus zu stellen. Um das zu erreichen, ist es sinnvoll, dass schon in der frühen Entwicklungsphase von Produkten verschiedene Bereiche eng und interdisziplinär zusammenarbeiten: Zum Beispiel bei der Gestaltung von Cookie-Bannern stecken Juristen den Rechtsrahmen ab, Techniker sorgen unter anderem dafür, dass keine Cookies ohne vorherige Einwilligung geladen werden, und User Experience- sowie User-Interface-Designer stellen sicher, dass das „Look & Feel“ des Banners visuell verständlich und ansprechend gestaltet ist – beispielsweise durch eine intuitive Bedienbarkeit (Usability) seitens des Nutzers.

Grundsätzlich muss der Webseitenbetreiber den Nutzer in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu erfassen. Die Informationen müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, Verarbeitungszweck und Funktionsweise der verwendeten Cookies zu verstehen. Dazu zählt auch, wie lange die Daten gespeichert werden und ob Dritte – zum Beispiel Werbeunternehmen – auf die gespeicherten Daten Zugriff haben. Diesen Anspruch an Transparenz erfüllen derzeit viele der Banner nicht, die Nutzer zu Gesicht bekommen.

Auch der Nutzer ist in der Verantwortung

Eine verständliche Erklärung über Verarbeitungszweck und Funktionsweise der verwendeten Cookies erfüllt ihren Zweck erst dann vollständig, wenn sich Internetnutzer auf der anderen Seite eine Meinung bilden, was sie persönlich unter informationeller Selbstbestimmung verstehen und dieses Verständnis in Verhältnis zur wirtschaftlichen Bedeutung von Daten setzen. Manche werden sich über den bequemen Service freuen, wenn die Navigations-App auf dem Weg zur Arbeit automatisch den schnellsten Weg anzeigt, oder wenn Werbebanner beim Surfen im Internet Wohnungsangebote passend zu den individuellen Suchkriterien auf einem anderen Portal ausspucken. Andere wiederum werden sich dabei unwohl fühlen oder derartige Suchanfragen lieber selbst steuern wollen. Erst wenn Nutzer sich mit diesen Fragen auseinandergesetzt haben, können sie bewusst mit Cookie-Bannern umgehen und entscheiden, in welche Datenverarbeitung sie einwilligen.

Schmaler Grat

Ein verantwortungsvoller Umgang mit Cookies wird auf beiden Seiten – Webseitenbetreiber wie Nutzer – erschwert durch die verworrene Rechtslage: Die ePrivacy-Richtlinie von 2002 legte auf europäischer Eben eine Opt-Out-Regelung fest, so dass Cookies gesetzt werden durften, solange der Nutzer dem nicht aktiv widerspricht. Seit Änderung der ePrivacy-RL durch die sog. „Cookie-RL“ in 2009 wurde diese Regelung, die noch heute gilt, zum Gegenteil geändert: Aus Opt-Out wurde Opt-In, so dass für das Setzen und Auslesen von Cookies auf dem Endgerät des Nutzers nunmehr der vorherigen informierten Einwilligung erforderlich ist.

Wie alle EU-Richtlinien gilt auch diese nicht unmittelbar, sondern hätte in deutsches Recht umgesetzt werden müssen – das passierte aber nicht. Vielmehr blieb die nationale deutsche „Opt-Out-Regelung“ im Telemediengesetz unverändert. Rechtsunsicherheit in Deutschland waren die Folge bis der Bundesgerichtshof im letzten Jahr die europäische Regelung bestätigte.

Die Opt-Out-Mechanik technisch zu ändern ist eine Herausforderung, Unter Berücksichtigung der hohen rechtlichen Anforderungen die Einwilligung des Nutzers zu erlangen eine weitere. Insoweit gewinnen auch Benutzer-Schnittstellendesigns wie zum Beispiel „Nudging“, bei dem Nutzer zu der Abgabe einer Einwilligung geleitet werden, und „Dark Patterns“, wohingegen Nutzer entgegen ihrer Interessen verleitet werden, an Bedeutung. Die optische Gestaltung von Cookie-Bannern mit dem Ziel das gewünschte Klickverhalten der Nutzer zu erreichen muss sich im rechtlichen Rahmen bewegen. Denn wie die konkrete Ausgestaltung auch ausfallen mag – sie muss datenschutzfreundlich und transparent sein.

Datenschutz als Chance begreifen

An diesem Konflikt wird die Bedeutung des Grundrechts auf informationelle Selbstbestimmung einerseits und der Wert von Daten für Wirtschaftsprozesse andererseits deutlich. Um in diesem Spannungsfeld zu bestehen und weiterhin innovativ zu sein, müssen Unternehmen umdenken und Datenschutz nicht nur als Kosten- sondern auch als Wachstumsfaktor begreifen. Das jedenfalls dann, wenn es ihnen gelingt, die Bedeutung von „Trust-Produkten“ im Unternehmen zu verankern und dieses Verständnis auch nach außen zu tragen. Nur ein Unternehmen, dass sich zu Recht den Ruf erarbeitet hat, besonders verantwortungsvoll mit den personenbezogenen Daten seiner Nutzer umzugehen, gewinnt das Vertrauen dieser. Und nur Nutzer, die dem Unternehmen vertrauen, werden diesem ihre Daten anvertrauen bzw. einwilligen. Die so erlangten Daten kann ein innovatives Unternehmen gewinnbringend nutzen.

Weiterhin offene Rechtsfragen

Für abschließende Klarheit zu offenen Rechtsfragen rund um Cookies und Tracking im Internet wird die ePrivacy-VO in Form von unmittelbar geltendem Recht sorgen. Eigentlich hätte die Verordnung schon zusammen mit der DSGVO in Kraft treten sollen. Das Gesetzgebungsverfahren steckte allerdings jahrelang im Rat der europäischen Union fest. Nun hat die portugiesische Ratspräsidentschaft die ePrivacy-VO auf die nächste Stufe gehoben: Der EU-Rat konnte sich im Februar diesen Jahres auf eine Position einigen, so dass der finale Text der ePrivacy-VO nun im Rahmen der Trilog-Gespräche mit Kommission und EU-Parlament ausgehandelt werden kann. Es wird weiterhin ein enger Austausch von Politik und Wirtschaft nötig sein, um die offenen Rechtsfragen zu klären und hierbei eine Balance zu finden zwischen der enormen Bedeutung von Daten für Wirtschaftsprozesse und der informationellen Selbstbestimmung jedes Einzelnen.

Linda Krüpe
Linda Krüpe ist Rechtsanwältin und Senior Associate bei EY Law und im Bereich Digital Law tätig. Sie berät Unternehmen bei der Umsetzung datenschutzrechtlicher Anforderungen.
(Bildquelle Portraitfoto: HelenNicolai-BusinessPortraits.de)

Das setzen von Cookies erfordert die aktive Einwilligung des Nutzers.

EuGH: Cookie-Urteil

EuGH-Urteil über voreingestellte Cookies

(ID:47290154)