Achtung: Aufgrund von aktuellen Entwicklungen in der Rechtsprechung wurde dieser Blogbeitrag vom 9. August 2019 am 9. Oktober 2019 komplett überarbeitet.

Schreib doch mal was über Cookies, sagte meine Kollegin zu mir. Und nun sitze ich hier und krümel meine Tastatur mit Keksen voll und überlege dabei, wie ich dieses „spannende Thema“ auf eine nette Art verpacke. Leider meinte meine Kollegin nämlich nicht die leckeren Schoko Cookies, sondern die netten kleinen Code-Schnipsel, die gerne auch für im Browser gesetzt und für u. a. das Tracking verwendet werden. Diese digitalen Kekse schmecken zwar nicht jedem, sind dafür aber absolut kalorienfrei.

Für alle, die sich mehr für die Schokovariante des „Kekses“ interessieren, gibt es hier einen Link zu einem leckeren Keksrezept.

Bevor wir uns zusammen in ein krümeliges, trockenes Keks-Abenteuer stürzen, noch ein wichtiger Hinweis in eigener Sache: Dieser Artikel stellt keine Rechtsberatung dar und wir übernehmen keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen.

Was ist ein Cookie überhaupt und woher stammt der Name?

Wenn wir von Cookies im Bereich der IT reden, dann sind damit kleine Dateien gemeint, die im Cache von deinem Browser gespeichert werden. Diese Dateien sind dazu da, um dich als Nutzer wiederzuerkennen, sodass du zum Beispiel nicht deinen Zugangsdaten neu eingeben musst, wenn du eine Seite aufrufst. Manche Cookies enthalten auch personenbezogene Daten – je nach dem, wozu der Cookie gebraucht wird.

Übrigens, woher der Name Cookie stammt, ist nicht zu 100 Prozent geklärt. Allerdings gab ein auf das Jahr 1979 datiertes „magisches Cookie„, dass dem Programmierer die Position des Lesezeigers anzeigte. Dazu muss man wissen, dass damals ein Computer noch durch Codezeilen-Eingabe benutzt wurde und eine grafische Benutzeroberfläche noch nicht existierte. Wie auch immer, im Jahre 1994 stand der amerikanische Programmierer Lou Montulli vor dem Problem, dass sich sein Browser nicht merken konnte, welche Seiten er schon aufgerufen hatte. Er erinnerte sich an den Magischen Cookie und schrieb ein kleines Programm, dass er „persistent client state object“ nannte. Damit gab er dem jungen Internet eine Art Gedächtnis. Und Montulli nannte sein Programm später schlicht Cookie.

Wer braucht einen Cookie-Hinweis?

Ich hätte mich beinahe an Kekskrümeln verschluckt, als am 01.10.2019 der Europäische Gerichtshof (EuGH) ein Urteil (C-637/17) verkündete, das auf einer Anfrage des Bundesgerichtshofes (BGH) beruhte. Das Urteil hat nicht nur weitreichende Folgen in Bezug auf Cookies und den Umgang mit der ePrivacy-Verordnung in Deutschland, sondern hat auch meinen tollen Artikel vom August diesen Jahres über den Haufen geschmissen. Um es kurz zu machen: Der EuGH vertritt die Rechtsauffassung, dass keine Einwilligung bei vorangekreuzter Checkbox oder einem bloßen Weitersurfen vorliegt.

Viele Unternehmen haben Cookie-Hinweise à la „Durch das Weitersurfen auf unserer Seite stimmen Sie der Nutzung von Cookies zu“. Dies widerspricht dem aktuellen Urteil des EuGHs. Nun könnte man fragen: Gilt das nur für personenbezogen Daten? Was ist mit Cookies, die keine personenbezogenen Daten erfassen? Braucht es da auch eine aktive Zustimmung? Der EuGH sagt ja, auch dann muss eine aktive Einwilligung eingeholt werden. Im Umkehrschluss bedeutet das in meinen Augen: Jeder braucht einen Cookie-Hinweis, sofern er Cookies verwendet.

Und nun? Wie wirkt sich das Urteil auf deutsche Unternehmen aus?

Tja, eine Frage, die nicht kekskrümelfrei zu beantworten ist. Der EuGH hat die europäische Linie vorgegeben, doch das deutsche Recht ist hier nicht klar für Betreiber nicht-staatlicher Webseiten. Der BGH muss nun bewerten, wie das europäische Recht in Deutschland umgesetzt wird. Der § 15 Abs. 3 des Telemediengesetz (TMG), der die ePrivacy-Richtlinie in Deutschland regeln sollte, ist mit der Linie des EuGHs nicht vereinbar. Also wird der BGH vermutlich auf Art. 6 der Datenschutz-Grundverordnung (DSGVO) zurückgreifen, um EU-Recht auf deutsches Recht herunterzubrechen. Doch das bleibt abzuwarten.

Vonseiten des Gesetzgebers hat das Bundesministerium für Wirtschaft und Energie (BMWi) schon angekündigt, das TMG reformieren zu wollen, wenn eine Entscheidung des EuGHs gefallen ist. Viele Datenschutzexperten gehen davon aus, dass die EU Cookie-Richtlinie dann im Rahmen des TMG umgesetzt wird.

Wie umgehen mit der neuen Situation?

Erst mal einen Keks essen! Kleiner Scherz. Aber wirklich nicht gleich in Panik verfallen. Schaue dir deine Webseite erst mal in Ruhe an. Welche Cookies werden gesetzt? Welche Cookies sind Session-Cookies und welche sind Persistant Cookies?

Was mache ich mit Session-Cookies?

Ein Session-Cookie speichert Informationen einer einzelnen Browsersitzung und wird in der Regel beim Schließen des Browsers wieder gelöscht. Schaue dir bei dieser Art des Datenschnipsels an, ob du das jeweilige Cookie wirklich brauchst oder ob es vielleicht weg kann.

Bei Session-Cookies, die zum Beispiel für den Warenkorb deines Onlineshops benötigt werden, kann es sein, dass diese als unbedingt erforderlich gelten. In diesem Fall brauchst du auch keine Einwilligung einholen. Dies kann unter Umständen auch für Remember-Me-Cookies gelten, damit sich ein Nutzer nicht immer neu einloggen muss.

Was mache ich mit Persistent-Cookies?

Persistent Cookies, also dauerhafte Cookies, werden gerne genutzt, um zum Beispiel Informationen und Einstellungen zu speichern, um dem Webseiten-Besucher einen schnelleren und komfortableren Zugriff zu ermöglichen. Hier solltest du prüfen, ob dein Cookie wirklich gebraucht wird, denn die Rechtslage ist hier nicht eindeutig.

Als Faustregel kannst du dir aber merken: Wenn ein deine Webseite ohne den Cookie funktioniert, dann kannst du eigentlich davon ausgehen, dass du eine Einwilligung für diesen Cookie benötigst. Funktioniert deine Seite ohne die Cookie-Nutzung jedoch nicht fehlerfrei, kannst du eigentlich davon ausgehen, dass du keine Einwilligung vom Nutzer brauchst.

Und was ist mit Google Analytics oder anderen Marketing-Cookies?

Ich interpretiere das Urteil so: Für alle Google Analytics und andere Marketing-Cookies gilt, dass deine Webseite auch ohne diese Textschnipsel funktioniert. Ergo muss der Nutzer dem Einsatz zustimmen – bevor er zum Beispiel getrackt wird. In der Regel ist es so, dass dieses Cookie kein First-Party-Cookie, sondern ein Third-Party-Cookie ist. Das bedeutet, dass du und jemand anderes (z. B. Google) für die Datenerfassung und Datennutzung verantwortlich ist. Ihr seid also gemeinsam verantwortlich (und haftbar). Du solltest  einen gültigen ADV-Vertrag mit deinem Cookie-Partner haben.

Was ist, wenn ich eine Einwilligung brauche?

Wichtig ist, dass der Cookie erst gesetzt werden darf, wenn der Nutzer die Einwilligung dazu erteilt hat. Der EuGH geht davon aus, dass der Webseiten-Besucher erst eine wirksame Einwilligung erteilen kann, wenn die verantwortliche Stelle, also du als Webseitenbetreiber, den Nutzer darüber aufgeklärt hast, wozu der Cookie nötig ist, was er macht und was mit den Daten passiert. Nur ein aufgeklärter Nutzer ist ein mündiger Nutzer und kann seine Einwilligung rechtswirksam erteilen – oder auch nicht.

Was muss im Cookie-Hinweis stehen?

Der EuGH hat grundsätzlich festgelegt, dass der Nutzer von der verantwortlichen Stelle, also dem Seitenbetreiber, folgende Informationen erwarten muss:

  1. Die Identität des Verantwortlichen.
  2. Der Zweck für den die Verarbeitung der Daten notwendig ist.
  3. Informationen zu den Empfängern oder Kategorien der Daten, wenn diese nötig sind, um den betroffenen Personen (=Nutzern) eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten.

Diese Punkte sind in Art. 5 Abs. 1 der DSGVO benannt. Das bedeutet, dass der Nutzer Informationen darüber bekommen muss, wie bei der Aktivierung und Verwendung des Cookies mit seinen Daten umgegangen wird. Wer erhält Zugriff? Wie lange bleibt der Cookie gesetzt? Und so weiter. Bei der Verwendung von mehreren Cookies muss dies für jeden einzelnen Cookie geschehen.

Muss ich auch etwas in der Datenschutzerklärung anpassen?

Natürlich musst du deine Datenschutzerklärung auf deiner Webseite auch anpassen. Hier erklärst du für jeden Cookie, wie damit umgegangen wird, was mit den Daten des Nutzers passiert und wer die verantwortliche Stelle ist. Aber das sollte ja eh schon Standard für deine Webseite sein – spätestens seit dem Inkrafttreten der DSGVO im Mai 2018.

Marcel Päßler

Als Chief Operating Officer leitet Marcel das operative Geschäft. Darüber hinaus verantwortet er die Themengebiete Analyse, Daten- und Arbeitsschutz sowie Personalentwicklung.

mehr erfahren ...