Die Umsetzung der EU-Cookie-Richtlinie in Deutschland

„Diese Website verwendet Cookies“ – beim Besuch von Webseiten stoßen Internetnutzer immer häufiger auf solche Hinweise zum Datenschutz. Webseitenbetreiber kommen damit ihrer Pflicht nach, über die Speicherung nutzerrelevanter Daten aufzuklären. Laut der E-Privacy-Richtlinie der EU – allgemein bekannt als „Cookie-Richtlinie“ – ist das Speichern dieser Informationen allerdings nur erlaubt, wenn die User darin einwilligen. Ein sogenanntes Opt-in-Verfahren ist demnach – zumindest bei Tracking-Cookies – obligatorisch. Das hat auch der Europäische Gerichtshof in einem neuerlichen Urteil bestätigt: Nutzer müssen aktiv zustimmen, bevor Cookies gesetzt werden dürfen.

Durch das europaweite Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben sich viele Vorschriften rund um die Speicherung von sensiblen Nutzerdaten innerhalb der EU geändert. Eigentlich sollte die neue e-Privacy-Verordnung, deren Entwurf die EU am 10. Januar 2017 offiziell vorstellte, zeitgleich rechtskräftig werden. Sie ist speziell im Anwendungsbereich von Cookies als detaillierte Ergänzung zur DSGVO geplant, allerdings durchläuft der Entwurf der neuen e-Privacy-Verordnung zurzeit noch das europäische Parlament. Sie soll frühestens 2020 zu geltendem Recht werden und damit die EU-Cookie-Richtlinie ersetzen sowie neue Regelungen ergänzen. Doch was ist der aktuelle Stand der Rechtsprechung?

EuGH-Urteil: Opt-in verpflichtend!

In Deutschland hatte die Verbraucherzentrale gegen eine Glückspiel-Website geklagt, auf der die Frage nach dem Setzen von Cookies zwar gestellt, das entsprechende Antwortkästchen aber bereits angekreuzt war. Nutzer mussten also, wollten sie der Speicherung von Cookies entgegenwirken, diese Zustimmung widerrufen – ein Opt-out. Der Europäische Gerichtshof, der hierüber zu entscheiden hatte, hat sich für den Datenschutz ausgesprochen. Es soll ein Opt-in stattfinden. Nutzer müssen also selbst das Häkchen zur Zustimmung setzen können. Außerdem stellte das Gericht erneut fest, dass Nutzer über die verwendeten Cookies informiert werden müssen. Website-Betreiber sollen demnach Informationen liefern, wie lange die Dateien gültig sind und zu welchem Zweck sie gespeichert werden.

Allgemeine Klarheit bezüglich des Umgangs mit Cookies herrscht nun aber immer noch nicht: Es gibt Cookies, ohne die eine Website nicht fehlerfrei funktionieren kann. Warenkörbe arbeiten beispielsweise mit den kleinen Dateien. Zwar sagt der EuGH in seinem Urteil, nicht nur personenbezogene Cookies müssten von Nutzern bestätigt werden; der Bundesverband Digitale Wirtschaft (BVDW) zweifelt diese Lesart allerdings an: Für den Verband fallen nur Werbe-Cookies unter das Urteil. Die Unsicherheit erhöht nun den Druck auf die Politik. Nur eine umfassende e-Privacy-Verordnung kann Klarheit schaffen, sind sich Experten sicher.

Was sind Cookies und welche Daten sammeln sie?

Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten zum Besuch von Websites und erhöhen damit deren Benutzerfreundlichkeit: Zum Beispiel merkt sich Ihr Browser Log-in-Daten und Spracheinstellungen, die Sie dann nicht ständig aufs Neue eingeben müssen. Dem nützlichen Aspekt gegenüber steht die Kritik, dass Cookies mit dem Datenschutz oft nicht vereinbar seien. So werden viele Cookies eingesetzt, um bestimmte Aspekte des Surfverhaltens aufzuzeichnen, worüber z. B. personalisierte Werbung im Browser möglich wird. Vor allem Tracking- und Targeting-Cookies sind Datenschützern häufig ein Dorn im Auge.

Ein Cookie enthält normalerweise eine Angabe über die Lebensdauer der Textdatei sowie eine zufällig generierte Nummer, über die Ihr Computer wiedererkannt wird. In der Regel erfolgt die Datenspeicherung von Cookies anonymisiert. Personenbezogene Daten können nur dann gesammelt werden, wenn die entsprechende Seite ein Log-in erfordert.

Fakt

Die in einer Textdatei hinterlegten Daten kann allein der Webserver auslesen, der das Cookie gesetzt hat.

Das besagt die Cookie-Richtlinie der EU

In der Europäischen Union soll die Richtlinie 2009/136/EG den Schutz personenbezogener Daten bei Website-Besuchen gewährleisten und stärken. Die 2009 erlassene EU-Cookie-Richtlinie sollte spätestens im Jahr 2011 von allen Mitgliedsstaaten umgesetzt werden – was so allerdings nicht geschah.

Die Cookie-Richtlinie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.

Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Das betrifft alle Cookies, die technisch nicht notwendig für das Funktionieren des Internetangebots sind. Vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Die EU-Richtlinie gibt allerdings nicht vor, wie die genannten Auflagen genau umzusetzen sind. Vor allem hinsichtlich der Einverständniserklärung durch Website-Besucher herrscht Ungewissheit.

Das wird sich mit der e-Privacy-Verordnung ändern

Das soll mit der neuen e-Privacy-Verordnung endgültig geregelt werden. Der aktuelle Entwurf verbietet technisch nicht notwendige Cookies generell, mit der Ausnahme, dass Nutzer deren Verwendung vorher zustimmen. Der Erstentwurf sprach dabei lediglich von Webanwendungen. Die Version vom 22. März 2018 schließt jede Art der maschinengestützten Kommunikation ein, also beispielsweise Apps, E-Mail und die Erhebung von Metadatan bei VoIP-Telefonaten. Das betrifft auch die Kommunikation zwischen zwei Maschinen, sogenannte M2M-Kommunikation.

Die e-Privacy-Verordnung sollte auch internationale Anbieter von Kommunikationsservices interessieren. Denn die Verordnung schreibt vor, dass die Regelungen Anwendung finden, sobald sich ein Endgerät innerhalb der EU-Grenzen befindet. Dabei ist es unerheblich, wo die Datenverarbeitung eines angesteuerten Dienstes stattfindet.

Der Datenschutz in den USA ist beispielsweise weniger streng ausgelegt. Im sogenannten Microsoft-Irland-Fall wollte ein amerikanisches Bezirksgericht den Großkonzern dazu zwingen, kundenbezogene Daten von EU-Bürgern in den USA zugänglich zu machen. Microsoft hat dort seinen Hauptsitz und fällt unter das dort geltende Recht.

Die Daten europäischer Kunden lässt der Konzern aber über ein Tochterunternehmen der Deutschen Telekom, T-Systems, in Deutschland speichern und schützen. Mit der Begründung, dass amerikanisches Recht nur auf amerikanischem Boden gelte, konnte die Klage in erster Instanz abgewendet werden. Der Prozess läuft aber noch. Inwieweit sich europäisches und amerikanisches Recht in Zukunft potenziell in die Quere kommen werden, bleibt abzusehen.

Da der Anwendungsbereich der e-Privacy-Verordnung gilt, sobald ein Endgerät in Europa auf Kommunikationsdienste zugreift, werden amerikanische Unternehmen überlegen müssen, ob Sie Ihre Angebote in Bezug auf Cookies für Europa lokalisieren und somit weniger zielgerichtete Werbung schalten können oder ob sie Kunden möglicherweise mit einer „Bezahlschranke“ konfrontieren.

Inhalte der aktuellen EU-Cookie-Richtlinie

Die Europäische Union möchte mit der Cookie-Richtlinie die personenbezogenen Daten der Internetnutzer stärker schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:

  1. Technisch notwendige Cookies: Zur notwendigen Datenspeicherung gehören Cookies, die für die Funktionen einer Website zwingend erforderlich sind. Das meint etwa das Speichern von Log-in-Daten, des Warenkorbs oder der Sprachauswahl durch sogenannte Session-Cookies (die beim Schließen des Browsers gelöscht werden).

  2. Technisch nicht notwendige Cookies: Als nicht notwendige Cookies werden dagegen Textdateien angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen folgende:
  • Tracking-Cookies
  • Targeting-Cookies
  • Analyse-Cookies
  • Cookies von Social-Media-Websites

Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.

Das ist der Unterschied zwischen Opt-out und Opt-in:

  • Opt-out: Cookies werden von Beginn an gesetzt – die User können der Datenspeicherung erst nachträglich widersprechen.

  • Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst, wenn der Nutzer der Datenspeicherung zustimmt.
Hinweis

Das neue Urteil des Europäischen Gerichtshofs hat diese klare Unterscheidung ins Wanken gebracht: Laut EuGH gilt die Opt-in-Pflicht auch für nicht personenbezogene Cookies. Ob nun also auch technisch relevanten Cookies zugestimmt werden muss, wird derzeit noch diskutiert.

Der aktuelle Stand der e-Privacy-Verordnung

Der Erstentwurf der e-Privacy-Verordnung verlangte, dass in den Browser-Einstellungen vom Hersteller generell die höchste Privatsphärenstufe voreingestellt sein sollte. In dieser akzeptiert der Browser keine Cookies von Dritten. Somit würden die aktuell viel genutzten Cookie-Banner wegfallen, da sich User bei jeder Software-Installation aktiv dafür entscheiden müssten, Cookies zu akzeptieren. Diese Vorgabe basierte auf dem Prinzip „Privacy by Design“, das bereits in der DSGVO festgeschrieben ist. Ein neuerer Entwurf lockert allerdings die Regelungen für die Browsereinstellungen. Dies lässt User wieder von Domain zu Domain entscheiden, ob Sie Cookies zulassen.

Das sogenannte Koppelungsverbot schreibt vor, dass die Nutzung einer Website nicht davon abhängig gemacht werden darf, ob User der Verwendung von Cookies zustimmen. Es gibt jedoch berechtigte Zwecke, die notwendige Cookies voraussetzen können. Muss sich ein User beispielsweise beim Onlinebanking authentifizieren oder möchte er den Warenkorb eines Onlineshops nutzen, sind häufig Cookies notwendig. Informieren Website-Betreiber die User klar verständlich über den Zweck, können Einverständnis und Nutzung gekoppelt werden.

Opt-in oder Opt-out?

In der auslaufenden EU-Cookie-Richtlinie bleibt insbesondere die Frage offen, ob die Nutzer dem Einsatz von Cookies erst zustimmen müssen, bevor diese Textdateien Nutzerdaten aufzeichnen, oder ob Webseitenbetreiber von Anfang an Cookies verwenden dürfen. Ersteres wird als Opt-in, Letzteres als Opt-out bezeichnet. Bei Opt-in ist für die Datenspeicherung zunächst die Einwilligung der Nutzer erforderlich, Opt-out gibt den Website-Besuchern erst im Nachhinein die Chance, dem zu widersprechen.

Da die Cookie-Richtlinie nicht genau definiert, ob die Datenspeicherung von Anfang an erfolgen darf oder nicht, ist sie in Europa bis zur Einführung der DSGVO unterschiedlich umgesetzt worden. Die Mehrzahl der EU-Staaten hat die Vorgaben in ihr nationales Recht eingegliedert – allerdings wurde in manchen Ländern Opt-in vorgeschrieben, in anderen hingegen Opt-out; einige Staaten haben ihre Bestimmungen sogar ganz offen gelassen. Insgesamt war die Umsetzung der Cookie-Richtlinie der EU also alles andere als einheitlich.

Wie Deutschland mit den Vorgaben der EU-Cookie-Richtlinie umgeht

In Deutschland wurde die Cookie-Richtlinie nicht eigens mit einem neuen Gesetz umgesetzt. Der Grund: Die Bundesregierung sieht die Richtlinie bereits mit dem deutschen Telemediengesetz (TMG) als erfüllt an. Jedoch deckt das TMG die Forderungen der EU-Richtlinie nicht umfassend ab. Denn viele verstehen die Cookie-Richtlinie der EU als Anordnung einer Opt-in-Pflicht, wogegen das TMG allein eine Opt-out-Variante vorschreibt. Datenschützer kritisieren deshalb die schwache Umsetzung der EU-Richtlinie. Da das TMG momentan geltendes deutsches Recht darstellt, müssen Website-Betreiber in Deutschland lediglich folgende Anforderungen erfüllen:

  • Die Nutzer müssen über die Datenspeicherung verständlich und umfassend informiert werden.
  • Die Nutzer müssen der Datenspeicherung widersprechen können.
  • Die Daten dürfen nur anonymisiert gespeichert werden – außer die Nutzer stimmen der Speicherung personalisierter Daten zu.

Seit dem 25. Mai 2018 gilt jedoch das neue Bundesdatenschutzgesetz in Anlehnung an die EU-Datenschutz-Grundverordnung. Zwar geht die Verordnung in Bezug auf Cookies noch nicht so sehr ins Detail wie die e-Privacy-Verordnung. Trotzdem hat die deutsche Rechtsprechung bereits festgelegt, dass die Speicherung persönlicher Daten immer erstnach Einwilligung (also Opt-in) der betroffenen Person erlaubt sind. Die Erhebung und Verarbeitung der Daten darf nur zu dem Zweck dienen, zu dem die Person eingewilligt hat. Außerdem sollen Websites voraussichtlich zyklisch daran erinnern, dass die Person ein Recht darauf hat, die Daten löschen zu lassen.

Hinweis

Am 25. Mai 2018 ist die neue Datenschutz-Grundverordnung der EU in Kraft getreten. Wir fassen Ihnen die wichtigsten Informationen dazu zusammen. Worauf Unternehmen und Webseitenbetreiber in Zukunft achten müssen, erfahren Sie in unserer DSGVO-Checkliste.

Cookies und Datenschutz: Was bringt die Zukunft?

Website-Betreiber sollten die weiteren Entwicklungen rund um die Umsetzung der EU-Cookie-Richtlinie aufmerksam verfolgen – denn die Rechtslage wird sich mit der e-Privacy-Verordnung definitiv ändern, auch wenn noch nicht ganz klar ist, wie streng diese ausfallen wird. Die Datenschutz-Grundverordnung der EU enthält weitere Bestimmungen für die Sicherheit von personenbezogenen Nutzerdaten. Solange die e-Privacy-Verordnung noch nicht rechtskräftig ist, fallen Cookies zumindest unter den Einflussbereich der in Kapitel 1 der DSGVO definierten personenbezogenen Daten – sofern sie Daten erfassen, die einen User auf irgendeine Weise (Kennnummer, Userprofil etc.) identifizierbar machen.

In den letzten Jahren mussten sich deutsche Websites lediglich dann stärker an der Cookie-Richtlinie orientieren, wenn sie beispielsweise Waren ins EU-Ausland über einen Onlineshop verkauften und entsprechende Zielmärkte das EU-Recht strenger auslegten. Die Cookie-Richtlinie in der EU hatte zudem Einfluss auf das sogenannte Retargeting, bei dem Onlinemarketing-Experten versuchen, mithilfe von Tracking-Cookies Käufer zu weiteren Transaktionen zu bewegen.

Doch seit Inkrafttreten der Datenschutz-Grundverordnung in die Gesetzgebung gelten auch hierzulande strengere Regeln für die Verarbeitung personenbezogener Daten. Diese Regelungen genau umzusetzen, wird Website-Betreibern zudem ein gutes Stück Arbeit ersparen, wenn später die „neue Cookie-Richtlinie“ in Form der e-Privacy-Verordnung rechtsgültig wird.

Tipp

Wie Sie gespeicherte Cookies in Ihren Browser löschen können, zeigen wir Ihnen in diesem Video:

Zum Schutz Ihrer Privatsphäre wird das Video erst nach dem Klick geladen

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.


Auf dem Laufenden bleiben?

Jetzt für unseren Newsletter anmelden und gratis Online-Marketing Whitepaper für lokale Anbieter sichern!