Ausgehend von der Entwicklung der Rechtsprechung, sind schätzungsweise 99% aller Cookie-Banner unwirksam. Gleichzeitig ist es für niemanden einfach, den Überblick über die rechtliche Zulässigkeit des Einsatzes von Cookies zu behalten.

Der folgende Ratgeber wird Ihnen daher helfen, die rechtlichen Hintergründe am Beispiel von z.B. Matomo, Google Analytics und FLoC, A/B-Testing, Affiliate-Tracking und dem Facebook-Pixel nachvollziehen zu können.

Ferner erhalten Sie Beispiele für sichere und weniger sichere Umsetzungen von Cookie-Einwilligungen als auch Einschätzungen zu praktischen Risiken sowie eine Beispielformulierung für die Einleitung im Cookie-Banner. Zum Abschluss des Beitrags finden Sie eine praktische Checkliste mit den wichtigsten Punkten.

Hinweis zu Rechtsansichten: Bei diesem Thema ist es unumgänglich, dass viele unterschiedliche Rechtsansichten existieren. Dieser Beitrag richtet sich an PraktikerInnen und orientiert sich daher an den für sie relevanten Ansichten. Falls Sie Aspekte oder Meinungen ergänzen möchten oder anderer Ansicht sind, freuen wir uns über Ihre Kommentare.

Digitale Privatsphäre und Datenschutz

Die Unklarheiten beginnen bereits mit der Frage, welches Recht einschlägig ist. Denn neben dem Datenschutz müssen auch die Regeln der sogenannten “ePrivacy” beachtet werden:

• Datenschutz (DSGVO) – Der Datenschutz dient dem Schutz von personenbezogenen Daten (wodurch unter anderen Zielen vor allem die Freiheit der Menschen und Schutz vor Überwachung gewährleistet werden sollen). Der Datenschutz ist vor allem in der DSGVO geregelt.
• ePrivacy – Die ePrivacy dient nicht (zumindest nicht primär) dem Schutz von personenbezogenen Daten. Der Schutzgegenstand ist viel mehr die Integrität von Endgeräten, also deren Schutz vor Fremdzugriff. Genauso wie ein Haus vor unbefugtem Zutritt gesetzlich geschützt wird, wird das “digitale Haus”, also das Smartphone, der Desktopcomputer oder das Smart Home vor unbefugten Zugriffen geschützt. Die Regelungen der ePrivacy finden sich in nationalen Gesetzen, werden jedoch von der EU vorgegeben.

Die Verwirrung wird um so größer, wenn es um die Frage geht, welches dieser Gesetze zu prüfen ist.

Begriff und Regelungen der ePrivacy – Die ePrivacy ist, soweit hier relevant, im Art. 5 Abs. 3 ePrivacy-Richtlinie von 2009 geregelt (diese Regelung wird auch, als “Cookie-Richtlinie” bezeichnet). Die EU-Richtlinie wurde wiederum in Deutschland im § 15 Abs. 3 TMG (dessen Wortlaut verunglückt ist und vom BGH korrigiert wurde) und in Österreich im § 96 Abs. 3 TKG umgesetzt. Nachfolgend werden die Regelungen im Art. 5 Abs. 3 ePrivacy-Richtlinie, § 15 Abs. 3 TMG und 96 Abs. 3 TKG aus Gründen der Lesbarkeit als “ePrivacy” zusammengefasst.

Das strengere Gesetz gewinnt

Es ist unter Juristen umstritten, in welchem Verhältnis die Regelungen der ePrivacy und des Datenschutzes zueinanderstehen. Überwiegend wird der Einsatz von Cookies alleine anhand der ePrivacy geprüft.

In der Praxis wird diese Unterscheidung jedoch häufig nicht von Bedeutung sein. Denn zum einem ist ePrivacy, wie nachfolgend erläutert wird, streng und verlangt für das Schreiben und Auslesen von Cookies sehr häufig eine Einwilligung der Nutzer.

Wird eine ePrivacy-Einwilligung erteilt, dann kann im gleichen Zuge auch eine datenschutzrechtliche Einwilligung eingeholt werden (vorausgesetzt die Nutzer werden ausreichend informiert). Falls die ePrivacy-Regeln keine Einwilligung verlangen, dann wird auch nach der DSGVO keine Einwilligung erforderlich werden.

D.h. das Ergebnis richtet sich nach der ePrivacy, da die ePrivacy das strengere Gesetz ist. Aus diesem Grund (und der Übersicht wegen) wird sich die nachfolgende Prüfung auf die Regelungen der ePrivacy konzentrieren.

Maßgeblichkeit der DSGVO – Die ePrivacy regelt den Vorgang des Speicherns und des Lesens von Informationen auf Endgeräten (Art. 5 Abs. 3 ePrivacy-Richtlinie). Damit sind primär die Vorgänge der Datenerhebung und Speicherung umfasst. Die darüber hinausgehende Verarbeitung personenbezogenen Daten, z.B. die Bildung von Nutzerprofilen auf Servern von Werbenetzwerken, wird von der ePrivacy dagegen nicht erfasst. Diese Verarbeitung unterliegt aber der DSGVO, die praktisch jeden Umgang mit personenbezogenen Daten regelt (Art. 4 Nr. 2 DSGVO). D.h. die Einwilligungserklärung der Nutzer, die in einem “Cookie-Banner” eingeholt wird, muss auch für die folgende Verarbeitung ihrer Daten nach der DSGVO gelten. Das auch sofern nach der DSGVO eine Einwilligung erforderlich ist, was zumindest in Fällen des Profilings zu Zwecken des Onlinemarketings, von den Aufsichtsbehörden vertreten wird.

Strenge Einwilligungspflicht

Laut Art. 5 Abs. 3 ePrivacy-Richtlinie bedarf die Speicherung von und der Zugriff auf  Informationen auf den Endgeräten der Nutzer, deren Einwilligung (Hervorhebungen der relevanten Passagen vom Verfasser):

Art 5 Vertraulichkeit der Kommunikation

(3)  Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Die Einwilligungspflicht gilt unabhängig davon, ob die auf den Endgeräten gespeicherten oder aus diesen ausgelesenen Informationen personenbezogen oder anonym sind. Damit wird praktisch der gesamte Datenstrom, der auf Endgeräten ein und ausgeht und damit jeder nutzerbezogener Datenverkehr erfasst.

Einwilligungspflicht umfasst den ganzen Datenverkehr

Das Schreiben von Informationen und Zugriff auf diese liegen unproblematisch vor, wenn dauerhaft oder vorübergehend im Speicher des Geräts Informationen geschrieben oder gelesen werden. Dazu können u.a. folgende Verfahren gehören:

• Cookies – Cookies sind kleine Textdateien, auf die Browser und Server zugreifen können. Umfasst sind Session-Cookies, Persistente Cookies, First-Party oder Third-Party-Cookies. Das Gesetz unterscheidet nicht, wie lange die Informationen gespeichert werden noch woher sie kommen.
• Web Storage – “Web Storage” (auch als “Super-Cookie” bezeichnet) ist eine Weiterentwicklung der klassischen Cookies mit größerer Kapazität.
• Web-Beacons – Es handelt sich um kleine 1×1-Pixel-große Grafiken, die auf unterschiedliche Art und Weise in Webseiten oder sogar in E-Mails eingebunden werden können. So kann z.B. der Versender der E-Mail erkennen, ob diese geöffnet (und die Grafik damit abgerufen) wurde.
• Lokale Software – Neben der internetgestützten Diensten, kann auch lokal auf den Geräten der Nutzer laufende Software z.B. statistische Informationen anlegen, die an den Softwareanbieter übersandt werden und z.B. die Optimierung der Sicherheit oder Effizienz der Software verbessen. Auch hierbei werden Informationen auf Endgeräten geschrieben und aus diesen ausgelesen.

Im Ergebnis wird deutlich, dass praktisch alle Arten von Cookies und zumindest kurzfristiger Zwischenspeicherung von Informationen grundsätzlich einer Einwilligung der Nutzer bedürfen.

Werbenetzwerke versuchen daher mit Hilfe sogenannter “digitalen Fingerabdrücke“, keine Daten auf den Endgeräten zu speichern und so der Einwilligungspflicht zu entgehen.

Einwilligungspflicht für digitale Fingerabdrücke

Als “digitaler Fingerabdruck” (Englisch: “digital fingerprint” oder auch “device fingerprint“) wird ein Verfahren bezeichnet, bei dem keine der zuvor genannten Speicherverfahren eingesetzt werden (sollen), um Nutzer wieder zu erkennen. Vielmehr werden Nutzer anhand von Informationen, die dem Server beim Zugriff, auf z.B. eine Website bereitgestellt werden, wiedererkannt. Dazu können diverse Informationen zum System und Browser des Nutzers sowie deren Einstellungen, Bildschirmauflösung, installierter Plugins sowie Schriftarten oder anhand der IP-Adresse erkannten Ortes, zu einem individuellen “Fingerabdruck” des Endgeräts zusammengefügt werden.

Ob das Erfassen der vom Endgerät des Nutzer an den Server von sich aus zugesandten Informationen einen Zugriff auf diese Informationen auf dem Endgerät darstellt, kann man im Sinne der Werbenetzwerke durchaus bezweifeln.

Allerdings werden digitale Fingerabdrücke in der Regel auch durch Daten angereichert, die aktiv von Anbietern oder Werbenetzwerken von den Endgeräten der Nutzer ausgelesen werden. Z.B. wenn Skripte auf einer Webseite ausgeführt werden und Informationen an den Server senden oder wenn eine Mobile-App die Daten des Smartphones abfragt. In diesen Fällen liegt ein Zugriff vor, der Einwilligungspflichtig ist (der Europäische Datenschutzausschuss tendiert auch sonst zu einer Einwilligungspflicht).

Ausnahmen von der Einwilligungspflicht

Die bisherige Erkenntnis lautet, dass fast alle im Zusammenhang mit dem Tracking und Profiling von Nutzern eingesetzten Cookie-Verfahren einer strengen Einwilligungspflicht unterfallen.

Eine strenge Einwilligungspflicht würde jedoch Datenströme ungerechtfertigt, weswegen das Gesetz Ausnahmen von der Einwilligungspflicht vorsieht:

• Notwendige Übertragung von Daten: Der alleinige Zweck ist die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.
• Notwendig, um den Dienst zur Verfügung zu stellen: Die Speicherung oder der Zugriff auf das Endgerät sind unbedingt erforderlich, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Der erste Fall trifft zwar auf die meisten Informationen zu, gilt jedoch vor allem für Internet-Zugangsprovider sowie anderen Telekommunikationsunternehmen und ist im Hinblick auf Cookies weniger relevant. Sehr bedeutend ist jedoch die zweite Ausnahme.

Unbedingt erforderlich und vom Nutzer ausdrücklich erwünscht

Die für die Cookie-Praxis relevante Ausnahme könnte kaum einschränkender formuliert sein:

• Ausdrücklich erwünschter Dienst der Informationsgesellschaft – Der “Dienst der Informationsgesellschaft”, den sich ein Nutzer gewünscht hat, muss unbedingt erforderlich sein. Bei Aufruf einer Website und ihrer Inhalte, sind diese selbst erwünscht. Aber sind auch das Speichern des Zugriffs in einem Cookie oder gar die Nutzung dieser Information für Analyse oder Marketingzwecke ausdrücklich gewünscht? Im Regelfall wohl eher nein.
• Die Cookies müssen für den Dienst unbedingt erforderlich sein – Der ausdrücklich erwünschte Dienst der Informationsgesellschaft in dem vorhergehendem Beispiel, sind die Website und ihre Inhalte, nicht das Tracking des Nutzers. Das Cookie müsste also für die Bereitstellung der Website unbedingt erforderlich sein.

Wann ein Cookie für ein Website-Angebot unbedingt erforderlich ist, bleibt auch die Kernfrage der Problematik rund um Cookies (und vergleichbaren Funktionen, wie z.B. digitalen Fingerabdrücken). Zwar könnte man denken, dass der “ausdrückliche Wunsch” der Nutzer mit AGB formuliert werden könnte, doch es ist zweifelhaft, ob diese Lösung Vorteile bringt.

Ausdrücklicher Wunsch durch AGB-Zustimmung

Was sich der Nutzer wünscht wird anhand der äußeren Umstände beurteilt. Zu diesen Umständen können neben erwartbaren Gepflogenheiten und technischen Notwendigkeiten (z.B. Übermittlung von IP-Adressen an Server zwecks Darstellung einer Website) auch vertragliche Vereinbarungen gehören.

So könnte eine Onlineplattform, nennen wir sie “F” in den AGB regeln, dass die Plattform im Tausch “kostenlose Nutzung gegen Daten” angeboten wird. Da Nutzer diese AGB akzeptieren, könnte F nun meinen, dass sich Nutzer diese “Kostenlose Nutzung gegen Daten“-Plattform “ausdrücklich gewünscht” haben.

Allerdings stellt der Klick auf “Ich bin mit den AGB einverstanden” eher keinen “ausdrücklichen” Wunsch dieses Tauschgeschäfts dar. Denn die ausdrückliche Erwartung ist eine Alternative zu der Einwilligung und muss daher die Rechte der Nutzer gleichermaßen schützen.

Das ließe sich nur dann erreichen, wenn diese Regelung üblich, erwartbar und von Nutzern geistig erfassbar wäre. Dazu müsste der Hinweis auf das “Kostenlose Nutzung gegen Daten“-Geschäft bereits vor der “Absenden“-Schaltfläche des Registrierungs-Formulars stehen (wobei man durchaus auch noch eine zusätzliches Kontrollkästchen verlangen könnte). Ist eine Klausel dagegen nicht üblich, erwartbar und von Nutzern geistig erfassbar, dann gilt sie als überraschend, überrumpelnd und ist unwirksam (§ 315c Abs.1 BGB-DE).

Damit kann eine Einwilligung durch AGB-Regelungen eher nicht umgangen werden. Es ist daher nicht damit zu rechnen, dass Gerichte AGB für einen tauglichen Einwilligungsersatz halten werden.

Wann sind Cookies unbedingt erforderlich?

Der Einsatz unbedingt erforderlicher (auch als “notwendig”, bzw. “essentiell” bezeichneter) Cookies, bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies.

Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nur, wenn eine Webseite sonst nicht nach Mindeststandards nutzbar wäre” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“.

Zumindest die folgenden Cookies können entsprechend den überwiegenden Rechtsansichten als notwendig betrachtet werden:

• Warenkorb-Cookie – Die Speicherung der in einem Onlineshop ausgewählten Produkte in einem Cookies gilt als erforderlich.
• Nutzereingaben – Auch wenn Nutzereingaben, z.B. in Onlineformularen, die sich über mehrere Webseiten erstrecken, gespeichert werden, darf diese Speicherung als erforderlich betrachtet werden.
• Login – Der Login-Status, z.B. in einer Community, wird von einem Nutzer erwartet und kann daher als unbedingt erforderlich betrachtet werden.
• Sicherheit der Nutzer – Beim Einsatz von Cookies zu Sicherheitszwecken muss neben deren Notwendigkeit, auch deren Zweck betrachtet werden. Zulässig sind vor allem erforderliche Maßnahmen, die dem Schutz der Nutzer und ihrer Daten dienen (z.B. die Verhinderung von sogenannten Brute-Force-Angriffen durch wiederholte Login-Versuche).
• Sprachauswahl – Auch die Speicherung der Sprachauswahl auf einer internationalen Webseite wird von Nutzern erwartet und gilt als erforderlich.
• Cookie-Opt-In – Cookies, die eine Cookie-Einwilligung speichern sind ebenfalls unbedingt erforderlich, damit das “Cookie-Banner” nicht bei jedem Aufruf der Webseite neu erscheint.
• Wiedergabe von Multimedia-Inhalten – Sofern die Cookies für die Wiedergabe essenziell sind, dürfen sie eingesetzt werden (so LG Köln, 29.10.2020 – 31 O 194/20).
• Lastenverteilung – Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen, gelten als unbedingt erforderlich.

Wann sind Cookies nicht unbedingt erforderlich?

Als nicht unbedingt erforderlich werden Cookies betrachtet, die alleine den Marketing- und Werbezwecken der Anbieter von Onlineangeboten oder Werbenetzwerken dienen. Dies wird u.a. daraus abgeleitet, dass das Gesetz vom Wortlaut her, die Ausnahme von der Einwilligung nur für eine “technische Speicherung” der Cookies zulässt. Auch der EuGH entschied, dass in einer solchen Konstellation eine Einwilligung erforderlich ist (EuGH, 1.10.2019 – C-673/17 “planet49”).

D.h. bei den folgenden Einsatzzwecken darf eine Ausnahme von der Einwilligungspflicht daher eher bezweifelt werden:

• Konversionsmessung – Die Konversionsmessung dient insbesondere der Prüfung, ob ein Nutzer, der eine Werbeanzeige geklickt hat, z.B. einen Kauf getätigt hat. So kann die Effektivität von Werbeanzeigen gemessen werden.
• Remarketing – Als Remarketing wird die Einblendung von Werbeanzeigen aufgrund früher besuchter Webseiten oder Onlineshops bezeichnet. So kann ein Nutzer noch Tage später an ein Produkt erinnert werden, dass er zwar betrachtet, aber noch nicht erworben hatte.
• Zielgruppenbildung – Anhand von Nutzerprofilen (z.B. bei Facebook oder Google gespeicherten) können anhand von demografischen, örtlichen oder an mutmaßlichen Interessen orientierten Kriterien Nutzer als Zielgruppe für Werbeanzeigen ausgewählt werden.

Möglicherweise unbedingt erforderliche Cookies

Zwischen den nachvollziehbar erforderlichen und nicht erforderlichen Nutzen der Cookies liegt ein Bereich, zu dem keine verlässliche Rechtsmeinung existiert:

• Komfort – Unklar ist z.B. ob ein Cookie den Inhalt eines Warenkorbs oder den Abspielstand eines Videos, auch wenn der Browser geschlossen wird speichern darf (was z.B. den Nutzern im Fall eines Browserabsturzes erneute Eingaben ersparen würde).
• Design – Es ist ebenfalls umstritten, ob Cookies (und vergleichbare Funktionen) für Zwecke des Designs eingesetzt werden dürfen. Z.B. wenn die News auf einer Website auch ohne Cookies lesbar sind und bloß das Design der Website weniger ansprechend ist.
• Sicherheit des Anbieters – Cookies können nicht nur zum Schutz der Nutzer, sondern auch zum Schutz des Webseitenbetreibers eingesetzt werden (z.B. um Betrugsfälle in einem Onlineshop zu erkennen). Ob diese eigenwirtschaftlich orientierte Nutzung ohne Einwilligung erfolgen darf, ist ungewiss.

In der Praxis kommt es auf Ihre Risikobereitschaft an. Angesichts der unklaren Rechtslage ist das Risiko des Einsatzes von Cookies zu Komfort-, Design- und Sicherheitszwecken gering. Auch die reine Reichweitenmessung birgt ein geringes Risiko.

Bedürfen Cookies für Reichweitenmessung einer Einwilligung?

 

Es lässt sich durchaus argumentieren, dass die bloße Analyse der Besucherströme für eine ihre Funktionen erfüllende Webseite, heutzutage notwendig sind. So vertreten es u.a. deutsche Datenschutzbehörden, als auch die  französische Datenschutzbehörde CNIL.

Das gilt zumindest unter den folgenden Voraussetzungen:

• Anonyme Statistiken – Es werden ausschließlich anonyme Statistiken ohne Profilbildung erstellt.
• Kein Tracking über Webseiten hinweg – Nutzer werden nicht über mehrere Webseiten, Dienste oder Apps verfolgt.
• Keine Bereitstellung an Dritte – Die erhobenen Daten werden nicht Dritten zugänglich gemacht (damit wäre auch die Nutzung von externen Tools zulässig, solange deren Anbieter die Daten nicht zu eigenen Zwecken verarbeiten, sondern eine “Auftragsverarbeitung” vorliegt).

D.h. Einstellungen mit denen z.B. wiederkehrende Besucher wiedererkannt werden dürfen, wären nach dieser Ansicht zumindest problematisch (weswegen die Wiedererkennungsquote auf einen möglichst kurzen Zeitraum begrenzt werden sollte).

In der Praxis wird es nicht nur auf die konkreten Einstellungen der verwendeten Analysesoftware ankommen, sondern auch auf die Software selbst. So müssen Sie beim Einsatz von Google Analytics ohne Einwilligung eher mit Rückfragen von Behörden rechnen. Dagegen wird bei einer nicht an ein Werbenetzwerk angeschlossenen Software wie Matomo eher angenommen, dass sie die vorgenannten Anforderungen erfüllt.

Einsatz von Matomo ohne Einwilligung

Der Dienst Matomo dient der Webeanalyse und hat den Vorteil, dass die Daten auf dem eigenen Server verarbeitet werden. Matomo kann mit Cookies oder ohne Cookies eingesetzt werden. Die Nutzung ohne Cookie ist vorzuziehen, da sie keine Daten auf dem Endgerät des Nutzers speichert (dennoch müssen Nutzer in der Datenschutzerklärung über den Einsatz von Matomo belehrt werden).

Ohne Cookies wird nur ein sogenannter digitaler Fingerabdruck (“digital fingerprint”) gespeichert, der alle 24 Stunden geändert wird (ob dadurch ein einwilligungspflichtiger Informationszugriff erfolgt ist, wie oben ausgeführt, unklar).

Allerdings scheint ohnehin ein Konsens darüber zu bestehen, dass reine Webanalyse auf dieser Grundlage zulässig ist. Dennoch sollten Sie bedenken, dass eine Einwilligung doch eher notwendig werden wird, wenn z.B. eigene Marketingzwecke verfolgt werden.

Rechenschaftspflicht – Sie sollten gegenüber Aufsichtsbehörden nachweisen können, dass Sie den Zweck und den Umfang des Webtrackings vorab festgelegt haben. Daher sollten Sie den Zweck und die vorgenommenen Einstellungen protokollieren, also digital oder auf Papier festhalten.

Google Analytics (Standard, mit Cookies)

Da Google die Daten der Nutzer auch für eigene Zwecke oder Zwecke anderer Analytics-Nutzer einsetzen kann, ist von einer Erforderlichkeit des Cookie-Einsatzes eher nicht auszugehen. Daher sollte für Google Analytics eine Einwilligung eingeholt werden.

Google Analytics ohne Cookies

Beim Einsatz von Google Analytics besteht nunmehr die Möglichkeit der Nutzung ohne eine Cookie-Einwilligung.

Mit dem Tag “storage:none” setzt Google kein Cookie mit der ID des Nutzers („ClientID“). Diese ID muss stattessen von den Website- oder App-Bertreibern zugeteilt werden. Sie können jedem Nutzer eine eigene ID zuteilen oder nur Nummern für Arten von Nutzern vergeben und so die Nutzer anonymisieren (Anleitung, die zeigt, dass die Einrichtung zumindest nicht trivial ist).

Sofern dabei dieselben Prinzipien wie bei Matomo (s.o.) angelegt werden, also möglichst geringe Datensammlung, darf zumindest nach Ansicht des Verfassers, Analytics ohne eine Einwilligung betrieben werden.

Allerdings müsste sichergestellt sein, dass die Nutzer nicht anhand anderer Kriterien von Google identifiziert werden können. Denn es wäre durchaus möglich, dass ein Gericht hier um einen Nachweis bitten wird. Der  Nachweis kann letztendlich nur durch die Mitwirkung von Google erbracht werden und (ausgehend von Googles Datenbestand) muss überhaupt möglich sein.

Zusammenfassend kann Google Analytics theoretisch genauso ähnlich rechtssicher wie Matomo eingesetzt werden. Anders als bei Matomo könnte im Fall der Fälle jedoch der praktische Nachweis schwer fallen, dass Google die Daten nicht für andere Zwecke nutzt. Insgesamt ist daher eine Einwilligung auch beim Einsatz von “Google Analytics ohne Cookies” zu empfehlen.

Analytics im Einwilligungsmodus ohne Cookies

Auch mit dem Tag “analytics_storage=‘denied‘” (derzeit in der Betaphase) werden keine Cookies beim Nutzer gespeichert (auch nicht zur Konversionsmessung, wenn Google Ads verwendet werden). Erst mit der Einwilligung der Nutzer werden Cookies eingesetzt.

Allerdings werden so genannte “Pings” an Google gesendet, die Informationen zum Browser, Zeitstempel, Verweis-URL und eine zufällige Zahl enthalten. Da diese Zugriffe zu Marketingzwecken erfolgen und nicht unbedingt erforderlich sind, ist von einer Einwilligungspflicht auszugehen.

Generell ist dieses Verfahren weniger sicher als “Google Analytics ohne Cookies”, da hier nicht vorgefiltert wird, welche Informationen Google erhält. Dazu kommt auch hier die Frage, ob Google diese Informationen nicht mit anderen zusammenführen und sie für andere Zwecke verwenden kann. Aus diesem Grund  ist auch in dieser Konstellation die Einholung einer Einwilligung der Nutzer zu empfehlen.

Google Tag Manager

Der Google Tag Manager speichert selbst keine Cookies. Allerdings wird der Tag Manager im Browser der Nutzer ausgeführt, d.h. zumindest im Speicher ihrer Endgeräte als Information gespeichert.

Daher ist der Google Tag Manager ebenfalls grundsätzlich einwilligungspflichtig. Außer man würde ihn als unbedingt erforderlich einstufen (s. weitere Hinweise bei Härting):

• Tag Manager ohne Tags – Wenn der Google Tag Manager ohne Funktion aktiv ist (also wegen Nichtnutzung “leer läuft”) ist er bereits nicht erforderlich.
• Tag Manager mit Tags, die selbst keiner Einwilligung bedürfen – Wenn im Tag Manager z.B. Matomo eingebunden ist, dann bedarf auch der Tag Manager keiner Einwilligung.
• Tag Manager mit Tags, die selbst einer Einwilligung bedürfen – In dem Fall müssen Sie auch für den Tag Manager eine Einwilligung einholen.

Google FLoC

Google und andere Mitbewerber in der Werbebranche versuchen strengeren Regulierungen entgegen zu wirken und zu diesem Zweck deren Werbeausspielverfahren privatsphärenfreundlicher ausgestalten. Dabei versucht(e) Google mit “Federated Learning of Cohorts” (kurz “FLoC”) ein neues Verfahren auf dem Markt zu etablieren.

Federated Learning of Cohorts (FLoC) – Statt Nutzerdaten auf eigenen Servern zu speichern, hat Google vor, die Profile der Nutzer in deren Browsern zu speichern. An Google werden nicht die Profile, sondern Einordnungen der Nutzer in eine bestimmte Gruppe, eine sogenannte Kohorte, gesendet. Eine Kohorte ist eine Gruppe von Nutzern mit gemeinsamen Eigenschaften.  Beispiel: Google fragt den Browser des Nutzers, ob ein Nutzer auf einer Webseite schon einmal gewesen ist oder ein Produkt erworben hat, um die passende Werbung einzublenden.

Ob sich FLOC durchsetzt ist derzeit nicht abzusehen und ausgehend von der vielfältigen Kritik fraglich. Da es auf der Speicherung der Profile der Nutzer zu Marketingzwecken auf den Geräten der Nutzer beruht, ist es in jedem Fall einwilligungspflichtig.

Facebook-Pixel

Auch das “Facebook-Pixel” arbeitet mit Cookies, bzw. vergleichbaren Technologien, dient Marketingzwecken, ist damit nicht unbedingt erforderlich und somit einwilligungspflichtig.

Affiliate-Systeme und Einwilligung für Links

Eine Einwilligung ist notwendig, wenn bereits auf der Website des Advertisers (auf der die Affiliate-Links platziert werden), Affiliate-Cookies gesetzt werden würden.

Aber auch wenn Affiliate-Links ohne Cookies eingesetzt werden, sind diese grundsätzlich einwilligungspflichtig. In diesem Fall enthalten die Links bestimmte Parameter (z.B. “xyz.html?parameter_quelle=XYZ&parameter_partner=XYZ“) mit deren Hilfe vermittelte Klicks den Advertisern zugeordnet werden können. Dabei handelt es sich um Informationen, die in den Browser der Nutzer und damit auf deren Endgerät geschrieben werden.

Da diese Links Marketingzwecken dienen, wäre deren Einsatz einwilligungspflichtig (zumindest ausgehend von den derzeitigen Ansichten der Gerichte und Aufsichtsbehörden). An dieser Stelle wird deutlich, wie weit die “Cookie”-Regelung reicht und dass sie sogar Links erfassen kann.

Öffnungs- und Linkklickraten von Newslettern

Wenn Sie innerhalb Ihrer Newsletter Öffnungs- oder Klickraten messen (oder andere Trackingmaßnahmen, wie den Google-Analytics-Code) einbinden, bedarf dies einer Einwilligung der Adressaten. Denn das Newsletter-Tracking setzt auch voraus, dass mit den einzelnen Newslettern, Informationen auf den Endgeräten der Nutzer gespeichert werden und auf sie zugegriffen wird:

• Web-Beacons – Es handelt sich um kleine 1×1-Pixel-große Grafiken, die in den Newsletter-E-Mails enthalten sind und beim Öffnen der E-Mail vom Server des Versenders abgerufen werden. So kann z.B. der Versender erkennen, ob ein Newsletter geöffnet (und die Grafik damit abgerufen) wurde.
• Umleitungslinks  – Klicks auf Links in einem Newsletter werden gemessen, indem sie mit einer individuellen Identifikationsnummer versehen werden und auf den Server des Versenders leiten. Wird ein Link geklickt, erfährt der Versender dies durch die eingehende Abfrage, die er auf den eigentlichen Link leitet (ähnlich wie bit.ly).

Beitrag zum Newsletter-Tracking – In dem Beitrag “Newsletter-Tracking: Anleitung für rechtssichere Messung von Öffnungs- und Klickraten” erfahren Sie wie Newsletter-Tracking funktioniert und wie Sie Einwilligungen der Nutzer einholen können.

A/B-Testing

Beim A/B-Testing werden unterschiedlichen Websitedarstellungen und Funktionen im Hinblick auf diverse Ziele, wie z.B. Nutzerfreundlichkeit oder Wirtschaftlichkeit getestet.

Wie auch bei der Reichweitenmessung, lässt sich durchaus argumentieren, dass die Nutzerfreundlichkeit unbedingt erforderlich ist, um Nutzern das am ehesten gewünschte Nutzungserlebnis zu bieten. Dienen die Tests dagegen alleine der Steigerung des wirtschaftlichen Absatzes, dann spricht dies eher gegen deren Notwendigkeit im Sinne des Gesetzes.

Aber auch wenn die unbedingte Erforderlichkeit grundsätzlich bejaht wird, muss geprüft werden,  ob alle eingesetzten Funktionen  (z.B. Heatmaps, Screen-Recordings und Nutzerprofile) als auch die Dauer der Speicherung der Cookies ebenfalls unbedingt erforderlich sind.

Keine Pauschallösungen – Im Zusammenhang mit Cookies werden häufig pauschale Aussagen getroffen, wie z.B. “A/B-Testing bedarf der Einwilligung” (französische Datenschutzbehörde. S. 19). Tatsächlich müssen die einzelnen Funktionen en Detail betrachtet werden und lassen häufig die Möglichkeit von Einstellungen zwecks Minderung des Umfangs der Verarbeitung der Daten der Nutzer zu.

Bedeutung der Einwilligungspflicht

Einwilligungspflicht bedeutet, dass bevor der Nutzer keine Einwilligung in den Einsatz von Cookies und vergleichbaren Verfahren abgegeben hat, keine Cookies auf einer Webseite oder innerhalb einer mobilen Applikation ausgeführt werden dürfen.

Betritt ein Nutzer die Website und z.B. Google Analytics ist bereits aktiv, dann ist von einem Verstoß gegen die Einwilligungspflicht auszugehen.

Einwilligung muss aktiv erfolgen

Im Hinblick auf das Einwilligungsverfahren, verweist die ePrivacy-Richtlinie auf die DSGVO (Art. 7 DSGVO). Die DSGVO wiederum stellt strenge Regeln an eine wirksame Einwilligung.

So haben der EUGH und der BGH entschieden, dass die eine Einwilligung einer aktiven Handlung bedarf (EuGH, 1.10.2019 – C-673/17 “planet49”, BGH, 28.05.2020 – I ZR 7/16).

Damit erklärten sie die bis dahin verwendeten “Wenn Sie die Website weiter nutzen, erklären Sie sich mit Cookies einverstanden“-Einwilligungen für unwirksam. An ihre Stelle traten die sogenannten “Consent Management Plattformen” (kurz “CMP”, alternativ wird auch die umschreibende Bezeichnung “Cookie-Consent-/Opt-In-/Einwilligungs-Banner” verwendet).

Umfang von Informationen in Consent -Management-Plattformen

Der EuGH entschied nicht nur, dass eine Einwilligung aktiv erfolgen muss, sondern auch, dass Nutzern die folgenden Informationen bereitgestellt werden müssen:

• Art und Funktionsweise der Cookies – Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden kann. Eine Erläuterung der verwendeten Bezeichnungen der Cookie-Gruppen (z.B. “Marketing” oder “Statistik”), ist bereits im “Cookie Banner” zu empfehlen.
• Lebensdauer von Cookies – Die Lebensdauer von Cookies beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie nach der Lebensdauer fragen. Anbieter von Consent-Management-Plattformen haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
• Identität der Dienstleister, die die Cookies verarbeiten – Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo, sofern Sie für diesen eine Einwilligung einholen).
• Widerspruchsmöglichkeit – Bereits aus dem Gesetz ergibt sich, dass den Nutzer der Widerspruch so leicht fallen muss, wie die ursprüngliche Einwilligung. Zur Ausgestaltung des Widerrufs erhalten Sie im Folgenden weitere Informationen.

Arten von Cookie-Management-Plattformen

Ein Unterschied bei den Consent Management Plattformen besteht vor allem im Hinblick auf die automatische Aktualisierung:

• CMP ohne Aktualisierungsfunktion – Consent Management Plattformen können auf eigenem Server betrieben werden (z.B. Borlabs-Cookie oder sogar selbst erstellt werden). In diesem Fall müssen die Informationen zu den eingesetzten Cookie-Verfahren manuell aufgenommen werden (bzw. werden von den Anbietern der Cookie-Software mitgeliefert).
• CMP mit Aktualisierungsfunktion – Anbieter wie z.B. Cookie-Bot oder Usercentrics bieten Consent Management Plattformen an, die die Webseite automatisch auf eingesetzte Cookies und vergleichbare Verfahren prüfen und die benötigten Informationen zu den Anbietern aus einer zentralen Datenbank (des Interactive Advertising Bureau, IAB) beziehen.

Wenn Sie auf Ihrer Webseite nur eine bestimmte Auswahl von Verfahren einsetzen und diese nicht häufig wechseln, wird eine Lösung ohne Aktualisierungsfunktion ausreichen. Wenn Sie dagegen die Dienste häufig wechseln oder sicher stellen wollen, dass die Informationen möglichst vollständig und aktuell sind, ist die Lösung mit Aktualisierungsfunktion empfohlen.

Zweifel an der Zulässigkeit des Programmatic Advertising

Wenn Sie am “Programmatic Advertising” teilnehmen, also Werbeflächen an eine Vielzahl sich überbietender Dienste “verkaufen”, dann werden Ihnen in der Regel Consent Management Plattformen mit einer Aktualisierungsfunktion vorgeschrieben.

Allerdings bleibt trotzdem eine Unsicherheit, ob ein Tracking und Profiling durch teils zig Unternehmen von einer Einwilligung gedeckt sein kann. Dies wird von Datenschützern bestritten, da Nutzern das Lesen der Informationen zu allen Anbietern unzumutbar sei und sie die Vielzahl der Prozesse ohnehin nicht überblicken und nachvollziehen können.

Nachladen von Werbenetzwerken: Falls auf Ihrer Webseite Werbedienste im laufenden Betrieb nachgeladen werden können, muss sichergestellt sei, dass sie von der Einwilligung der Nutzer umfasst sind. Dazu sollten die Dienste sie schon zum Beginn des Websitebesuchs aufgeführt waren. Ansonsten müsste erneut ein Einwilligungsdialog für die nachgeladenen Dienste eingeblendet werden.

Kein Cookie-Banner für unbedingt erforderliche Cookies notwendig

Wenn Sie nur unbedingt erforderliche Cookies und vergleichbare Verfahren einsetzen (z.B. Warenkorb-Cookies und Matomo mit digitalem Fingerabdruck ohne Cookies), dann benötigen Sie keine Cookie-Einwilligung und damit auch keine Consent Management Plattform.

Dennoch sollten Sie Informationen zu den Cookies und den verwendeten Diensten aufnehmen. Ebenso sollten Sie, sofern möglich und zumutbar eine Widerrufsmöglichkeit bereitstellen:

• Widerruf bei Reichweitenmessung: Bei Diensten zur Reichweitenmessung dienen, sollten Sie eine Widerspruchsmöglichkeit (Art. 20 DSGVO) in der Datenschutzerklärung aufnehmen (z.B. IFrame mit einer Opt-Out-Funktion bei Matomo).
• Widerruf bei anderen notwendigen Cookies: Für Cookies die nicht abgeschaltet werden können (z.B. Warenkorb-Cookies, Login-Cookies, Spracheinstellungs-Cookies, Cookies die der Sicherheit der Nutzer dienen, etc.) müssen Sie keine besondere Widerspruchsmöglichkeit bereitstellen. In diesen Fällen genügt ein regulärer Widerrufshinweis in der Datenschutzerklärung (dieser muss immer aufgenommen werden, s. bei uns im Generator). Der Hinweis ist zwar verpflichtend, dessen Umsetzung aber nur, wenn Nutzer triftige Gründe persönliche gegen diese Cookies vorbringen. Das ist bei den vorgenannten Cookies jedoch kaum vorstellbar.

Zulässigkeit einer Einwilligung für alle Cookies

Eine Einwilligung muss pro Datenverarbeitung eingeholt werden. Jedoch ist es in der Praxis schwer einzelne Verfahren abzugrenzen, ohne dass auf die Nutzer eine Flut von Kontrollkästchen zukommt.

Daher besteht nach den wohl überwiegenden Rechtsansichten die Möglichkeit, Einwilligungen zusammenzufassen. Auch die Rechtsprechung des EuGH steht der Verbindung der Einwilligung in die Messung von Öffnungs- und Klickraten nicht entgegen.

Der Gerichtshof befand lediglich, dass der Erklärungswille einer einwilligenden Person sich „ohne jeden Zweifel“ auch auf die Einwilligung in die maßgebliche („konkrete“) Datenverarbeitung beziehen und aktiv erteilt werden muss (Rn. 54). In jedem Fall sollte schon die Schaltflächenbezeichnung erkennen lassen, dass “Alle” Cookies oder “Alle angehakten” Cookies akzeptiert werden.

Bejahung durch den Europäischen Datenschutzausschuss: Die Bündelung mehrerer Dienste ist wohl auch laut dem Europäischen Datenschutzausschuss möglich. Zumindest ausgehend von der der aktuellen “Leitlinie zu Voraussetzungen einer Einwilligung“, nach der die Einwilligung zwar in einzelne Zwecke aufgespalten werden muss, aber die Zusammenfassung mehrerer Anbieter möglich ist (s. Randnummer 66).

Cookie-Walls und das Kopplungsverbot

Es kommt immer häufiger vor, dass Webseiten Nutzern den Zugang zu Webseiten nur dann erlauben, wenn die Nutzer in den Einsatz von Cookies einwilligen (so genannte “Cookie-Wall“). Hierbei darf man sich durchaus fragen, ob eine solche Einwilligung noch freiwillig und damit wirksam ist.

Zwar existiert eine Regelung (Art. 7 Abs. 4 DSGVO), die bei der Frage der Freiwilligkeit darauf abstellt, inwieweit eine Einwilligung erforderlich ist. Was darunter zu verstehen ist, darüber streiten sich jedoch die Juristen:

• Keine Freiwilligkeit bei echter Zwangslage: An der Freiwilligkeit wird es je eher fehlen, je notwendiger die angesteuerten Webseiten für die Besucher sind. Z.B. bei Webseiten von Banken, Versicherungen, Energieversorgern, Behörden, Ärzten, Apotheken, Rechtsanwaltskanzleien oder Login-Bereichen, die zuvor ohne Cookies erreicht werden konnten.
• Keine wirksame Einwilligung, bei Webseiten die sich (auch) an Minderjährige richten: Einwilligungen von Minderjährigen sind bei Onlinediensten erst ab 16 Jahren zulässig (Art. 8 Abs. 1 S. 1 DSGVO). Die Minderjährigen sollten daher eine Möglichkeit haben die Webseiten cookiefrei zu nutzen.
• Freiwilligkeit bei angemessener Kostenpflicht als Alternative: Als freiwillig wird eine Cookiepflicht betrachtet, wenn Websitebesucher statt der Cookies einen dem “Werbeverlust” angemessenen Betrag für die Cookiefreiheit bezahlen können (die niedersächsische oder österreichische Datenschutzaufsicht halten diese Variante für zulässig).

Optimale Platzierung von Cookie-Bannern

Ein in der Mitte des Bildschirms platziertes Cookie-Opt-In-Banner, kann die Nutzer eher zu einem Opt-In veranlassen, als ein unauffälliges Banner im Fußbereich einer Webseite. Noch wirksamer könnte eine Vorschaltseite mit einem Cookie-Opt-In sein.

Vorgaben gibt es hier jedoch keine. Solange die Nutzer eine Möglichkeit haben, die Einwilligung abzulehnen, sind beide Versionen zulässig.

Sichtbarkeit des Impressums und der Datenschutzerklärung: Platzieren Sie die Cookie-Opt-In-Banner so, dass die Links zum Impressum, der Datenschutzerklärung nicht verdeckt werden. Ansonsten können Sie abgemahnt werden. Sie können diese Links natürlich im Cookie-Opt-In-Banner aufnehmen, dann dürfen diese auf der Website verdeckt werden.

Einleitungstext im Cookie-Banner

Der Einleitungstext sollte den Nutzern klar machen, in welche Verarbeitungsarten sie einwilligen, dass sie jederzeit widersprechen können und wo sie weitere Informationen erhalten. Formulierungsvorschlag:

Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind notwendig (z.B. für den Warenkorb), während andere nicht notwendig sind, uns jedoch helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können in den Einsatz der nicht notwendigen Cookies mit dem Klick auf die Schaltfläche “Akzeptieren” einwilligen oder per Klick auf “Ablehnen” sich anders entscheiden. Die Einwilligung umfasst alle vorausgewählten, bzw. von Ihnen ausgewählten Cookies. Sie können diese Einstellungen jederzeit aufrufen und Cookies auch nachträglich jederzeit abwählen (in der Datenschutzerklärung und im Fußbereich unserer Website). Weitere Hinweise zu den verwendeten Verfahren und Begrifflichkeiten (z.B. “Cookies”, “Marketing” und “Statistik”) erhalten Sie in unserer Datenschutzerklärung.

Falls möglich, sollten Sie an dieser Stelle auch die Beschreibung der einzelnen Cookie-Funktionen/Gruppen aufnehmen. Das ist entsprechend dem LG Rostock auf jeden Fall dann notwendig, wenn Sie auf der ersten Seite der Consent-Manager-Plattform keine eindeutige “Ablehnen“-Schaltfläche anbieten.

Erforderlichkeit einer Datenschutzerklärung neben dem Cookie-Management

Neben einer Cookie-Management-Plattform wird auch eine Datenschutzerklärung benötigt. Die Datenschutzerklärung enthält eine Vielzahl weiterer Pflichtinformationen gem. Art. 13-14 DSGVO (z.B. zum Verantwortlichen, Betroffenenrechten mit dem Recht auf Auskunft, Löschung. etc.) und zu anderen Verarbeitungsverfahren (z.B. Newsletter, Kontaktformular, Videokonferenzen, etc.).

Daneben sollte die Datenschutzerklärung weitere Erläuterungen zu den eingesetzten Cookie-Funktionen und Diensten enthalten. Z.B. Erläuterungen von Begriffen wie Onlinemarketing, Remarketing oder Tracking an sich. Denn je informierter die Nutzer sind, desto geringer ist das Risiko einer unwirksamen Einwilligung.

Schaltfläche zur Ablehnung der nicht-erforderlichen Cookies

Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung. Insbesondere sollen Nutzer durch eine Gestaltung des Zustimmungsdialogs, nicht derart in die Irre geführt werden, dass sie Cookies aus versehen zustimmen oder weil die Ablehnung viel einfacher fällt  (man spricht hier auch von so genannten “Dark Patterns“, sinngemäß “dunkle Schemen“).

Was das konkret bedeutet, lässt sich am besten anhand der folgenden Beispiele verdeutlichen:

• Eindeutige Bezeichnung – Zulässig sind Schaltflächen, die Begriffe, wie “Ablehnen” und “Akzeptieren” tragen. Der Begriff “Nur notwendige Cookies akzeptieren” wurde vom LG-Rostock für unzureichend gehalten (das Urteil wird nachfolgend erläutert).
• Farbe der Schaltflächen – Vorsicht sollte bei Leitung der Nutzer mithilfe von Farben angebracht sein. Es gibt zwar keine klaren Vorgaben. Wer jedoch die “Akzeptieren“-Schaltfläche farblich knallig gestaltet und “Ablehnen“-Schaltfläche  grau, so dass sie in den Hintergrund tritt, der setzt sich dem Vorwurf aus, die Nutzer bewusst in die Irre zu führen.
• Größe und Form: Die Schaltflächen zum Akzeptieren und Ablehnen sollten nach Möglichkeit gleich groß sein, um als gleichwertig zu gelten.
• Ablehnung auf zweiter Ebene – Sehr häufig müssen Nutzer eine Unterseite der Consent-Management-Plattform aufrufen, um nicht unbedingt erforderliche Cookies abzulehnen. Ein derartiges Verfahren ist risikoreich und wäre ausgehend von der Rechtsprechung des BGH eher unzulässig (BGH, 28.05.2020 – I ZR 7/16, Rn. 32).

In der Praxis sind die “Dark Patterns” bei der Gestaltung der Cookie-Management-Plattformen eher die Regel, als die Ausnahme. Als Grund wird der mangelnde Vollzug gesehen.

D.h. es kommt selten vor, dass Aufsichtsbehörden Untersagungsverfügungen sowie Bußgelder oder Warnungen erteilen oder Abmahnungen ausgesprochen werden. Wenn sie es allerdings täten, dann würden sie damit vor Gerichten (entsprechend der bisherigen Tendenz) eher Recht bekommen.

LG Rostock verbietet Dark Patterns

Das Landgericht Rostock entschied, das die konkrete Gestaltung einer Einwilligungsschaltfläche) der Consent-Management-Platform “Cookiebot” unzulässig war (LG Rostock, 15.09.2020 – 3 O 762/19).

In dem Fall konnten die Nutzer entsprechend dem Bildbeispiel die Schaltfläche “Cookies zulassen” klicken, um eine Einwilligung in die Verwendung von Cookies zu erklären.

Um die Einwilligung zu verweigern, mussten sie die Schaltfläche “nur notwendige Cookies verwenden” anklicken oder die Cookies per Hand abwählen.

Das LG Rostock fand jedoch, dass die Schaltfläche “nur notwendige Cookies akzeptieren” sich gegenüber der dominanten grünen Schaltfläche “Cookies” zulassen nicht hinreichend abhob und gar nicht als ein Link zu erkennen war. Auch der Umstand, dass die Nutzer einzelne Cookie-Arten abwählen konnten, war für das Gericht nicht ausreichend. Denn hierzu müsste man einzelne Cookies bereits auf der ersten Seite der Consent-Management-Platform aufführen (Hervorhebung vom Verfasser):

Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.

Das Gericht verbot die Verwendung von “Dark Patterns” und meint im Ergebnis, dass die Schaltfläche zur Ablehnung der Cookies optisch genauso wahrnehmbar sein muss, wie die Zustimmungsschaltfläche.

Ob die Informationen zu den einzelnen Cookies auch im Fall einer deutlichen Ablehnungsschaltfläche schon auf der ersten Seite der Consent-Management-Platform stehen muss, ist dem Urteil zumindest nicht direkt zu entnehmen. Zumal die vielen Angaben, zumindest nach Ansicht des Verfassers, die Transparenz erschweren und z.B. auf Mobilgeräten viel Scrolling erfordern würden.

P.S. Wir freuen uns, dass  das LG Rostock dagegen mit der von unserem Generator erstellten Datenschutzerklärung gleich zufrieden war.

Einsatz von US-Anbietern und Trans-Atlantic Data Privacy Framework

Seit dem 10. Juli 2023 existiert ein Nachfolger für das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Dadurch wird der Einsatz von Anbietern, wie Google oder Facebook erleichtert, aber dies könnte nur von vorübergehender Dauer sein.

Ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

Möglichkeit späterer Änderungen der Einwilligungen

Nutzer müssen deren Cookie-Einstellungen ändern können (um so insbesondere ihren Widerspruch erklären zu können). Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Zu empfehlen ist die Platzierung,

• in der Datenschutzerklärung und zusätzlich
• im Fußbereich der Webseite.

Ferner sollten Nutzer schon in Consent-Management-Plattformen darüber belehrt werden, wo sie diese Links finden.

Nachweis der Cookie-Einwilligung

Bei der Nachweisbarkeit von Einwilligungen setzen manche Consent-Management-Plattformen auf ein ausgeklügeltes ID-System. In den meisten Fällen wird bei der Zustimmung ein Opt-In-Cookie auf den Geräten der Nutzer gespeichert.

Dabei wird der Nachweis einer Einwilligung durch den Nachweis eines funktionsfähigen Cookie-Opt-In-Verfahrens und Speicherung der einzelnen Einwilligungs-IDs erbracht.

Die Ablehnung der Einwilligung darf ebenfalls gespeichert werden, um die Nutzer nicht mit erneuten Cookie-Bannern zu belästigen.

YouTube, Facebook, Instagram und andere Social Media Inhalte

Für die Einbettung von individuellen Inhalten, z.B. Videos oder Postings aus sozialen Netzwerken muss nicht grundsätzlich eine Einwilligung eingeholt werden. Die Einbettung fremder Inhalte könnte durchaus als unbedingt erforderlich betrachtet werden, weil Nutzer interaktive Inhalte erwarten und mehr honorieren (natürlich kann man das auch und je Angebot und Zielgruppe anders sehen). Das Risiko, dass jemand dagegen vorgeht (und das auch noch erfolgreich), ist eher gering.

Allerdings werden die Inhalte häufig mit Tracking-Tools ihrer Anbieter, häufig auch mit Google Analytics ausgeliefert. Das ist z.B. bei den meisten sozialen Netzwerken oder Videoplattformen der Fall.

Daher sollte den eingebundenen Inhalten ebenfalls eine Einwilligungsschaltfläche vorgeschaltet werden. Die meisten Consent Management Plattformen bieten entsprechende Einstellungen an.

YouTube mit “no-cookie” – Im Standardmodus werden eingebundene Videos von Cookies begleitet, die Marketingzwecken dienen und daher einer Einwilligung bedürfen. YouTube bietet jedoch die Möglichkeit an, Videos in einem “erweiterten Datenschutzmodus” einzubinden (erkennbar an der Webadresse “youtube-nocookie.com“). In dem Fall werden jedoch nur beim reinen Einbinden keine Cookies oder vergleichbare Technologien eingesetzt. Spielt der Nutzer das Video ab, dann werden wiederum Cookies von Google eingesetzt, die auch Marketingzwecken dienen können. Daher ist auch beim erweiterten Datenschutzmodus die Einholung einer Einwilligung zu empfehlen.

ePrivacy-Verordnung nicht in Sicht

Mit der ePrivacy-Verordnung sollten die hier besprochenen Cookie-Regelungen EU-weit einheitlich geregelt werden. Dabei sollte insbesondere auch die Reichweitenmessung ohne Einwilligung zulässig sein.

Allerdings ist eine Einigung über das Gesetz gescheitert. Auch die weiteren Versuche sind seitdem nicht vorangeschritten und stehen weiterhin am Anfang. D.h. mit einer ePrivacy-Verordnung ist frühestens in ca. 2 Jahren zu rechnen.

Keine Erleichterung durch das kommende TTDSG

Anders als in der EU wird es ab dem 01. Dezember 2021 auch in Deutschland ein neues Gesetz zur Cookie-Regelung geben. Allerdings wird das kommende “Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien” (TTDSG) praktisch keine neuen Regelungen treffen.

Vielmehr werden die bisher verunglückten deutschen Regelungen im § 15 Abs. 3 TMG an die bisherigen EU-Vorgaben angepasst:

§ 24 Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das Gesetz soll im § 26 ferner eine Regelung zu Regelung von zentraler Cookie-Verwaltung im Browser enthalten. Die Anbieter sollen keine kommerziellen Ziele verfolgen und eine Zulassung beantragen müssen:

§ 26 Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen

(1) Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die

1. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,

2. kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,

3. die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und

4. ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt,

können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.

Derzeit kann diese Regelung eher als eine Absichtserklärung verstanden werden, zumal es unklar ist, ob damit die Cookie-Banner tatsächlich abgelöst werden.

Was das Gesetz ebenfalls nicht klären wird, sind die unklaren Zuständigkeiten bei der Verfolgung von Verstößen gegen die Cookie-Regeln.

Zentrale Einwilligungsverfahren, Browsereinstellungen und Do-Not-Track

Es ist rein theoretisch vorstellbar und soll in Deutschland explizit erlaubt werden, dass Einwilligungen statt in einzelnen “Cookie-Bannern” zentral für alle besuchten Webseiten eingestellt werden (in einem sogenannten “Personal Information Management Service“, kurz “PIMS”). Wird eine Website aufgerufen, fragt der PIMS ab, ob der Nutzer mit den eingesetzten Diensten, z.B. Google Analytics, einverstanden ist.

Doch zum einem ist es bis dato ungeklärt, ob eine solche Einstellung den gesetzlichen Anforderung an eine wirksame Einwilligung entspricht. Denn die Einwilligung muss gem. Art. 4 Nr. 11 DSGVO “für den bestimmten Fall” gegeben werden.

Zudem existiert eine solche Lösung bis dato nicht und deren Nutzen ist ferner fraglich. Denn zwar können Nutzer mit der Option “Do not track” in ihrem Browser dem Tracking widersprechen. Allerdings ist diese Option nicht verbindlich, d.h. wenn die Webseiten eine “Do not track”-Einstellung erkennen, können sie trotzdem ein Cookie-Banner mit einer Einwilligungsanfrage einblenden.

D.h. ein zentrales Einwilligungsverfahren wäre nur dann sinnvoll, wenn das Gesetz es zugleich verbäte, daneben Cookie-Einwilligungen abzufragen.

Drohende Folgen bei Verstößen gegen die Einwilligungspflicht

Wenn Sie keine notwendigen Cookie-Opt-Ins bereithalten, drohen Ihnen die folgenden Konsequenzen:

• Untersagungsverfügungen der Behörden (d.h. praktisch die Pflicht eine Einwilligung einzuholen).
• Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und mindestens einen Tagesumsatz betragen sollen).
• Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).
• Abmahnungen durch klagebefugter Organisationen (z.B. Verbraucherzentralle, Wettbewerbszentrale, etc).
• Abmahnungen durch Mitbewerber (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung; LG Köln bejahte dies zuletzt, LG Köln, 29.10.2020 – 31 O 194/20).

Angesichts der verbleibenden Unwägbarkeiten, wird es in vielen Fällen weiterhin bei einer Risikoabwägung bleiben. Das Risiko kann beim Einsatz reiner Reichweitenmessung ohne Opt-In als gering bezeichnet werden.

Dagegen wird das Risiko als hoch zu bezeichnen sein, wenn Cookies zu Marketingzwecken und Profiling ohne Einwilligung eingesetzt werden, bzw. die Cookie-Informationen und die Datenschutzerklärung unvollständig sind. In solchen Fällen sollten die wirtschaftlichen Vorteile bei ca. 5.000 – 30.000 Euro je nach Umsatz/ Größe des Unternehmens liegen (ca.-Schätzung eines Risikos).

Ob dieses angesichts der Abweichung der Cookie-Banner von den Anforderungen der Datenschützer und Gerichte so bleibt, hängt vor allem davon ab, ob Behörden häufiger tätig oder Abmahnungen häufiger ausgesprochen werden. D.h. falls Sie sich für den risikobehafteten Weg entscheiden, sollten Sie auf jeden Fall die Entwicklung der  Rechtslage beobachten.

Hinweis zur unklaren Rechtslage: Auch im Hinblick auf amtliche Maßnahmen und Bußgelder ist es derzeit unklar, welche Behörden in Deutschland für die Verhängung von Bußgeldern gegen die privatwirtschaftliche Cookie-Nutzung zuständig sind. Die Aufsicht über Telemedien (also z.B. Webseiten oder Apps) ist eine Sache der Bundesländer. Diese regeln zwar im neuen Medienstaatsvertrag, dass die Datenschutzbehörden für Fragen des Datenschutzes zuständig bleiben (§ 113 S.1 MStV). Aber ePrivacy ist eben kein Datenschutz, so dass es hier einer gesetzlichen Klarstellung bedürfte. Werden jedoch auch Datenschutzbestimmungen maßgeblich (wie z.B. bei dem mit Cookies fast immer einhergehendem Profiling), dann wären die Datenschutzbehörden zuständig. Sie könnten dann ihre Maßnahmen auf “zwei Beine”, einmal auf die Regelungen der ePrivacy-Regelungen und einmal auf die Regelungen der DSGVO stellen.

Zusammenfassung und Checkliste

Nachfolgend erhalten Sie eine Zusammenfassung der Rechtslage und Tipps zu Umsetzung von Cookie-Einwilligungen:

1. Notwendigkeit eines Opt-Ins: Eine Einwilligung wird nicht benötigt, wenn Cookies (aus Nutzersicht) für ein Onlineangebot unbedingt erforderlich, also notwendig sind.
   • Eindeutig unbedingt erforderliche Cookies: Als unbedingt erforderlich werden z.B. Cookies betrachtet, die sich den Warenkorbinhalt oder den Login-Status merken oder dem Schutz der Daten der Nutzer dienen.
   • Komfortfunktionen: Aber schon bei Komfortfunktionen (z.B. Stelle bis zu der ein Video geschaut wurde) gehen die Ansichten auseinander, jedoch kann das Risiko als gering betrachtet werden.
   • Reine Reichweitenmessung (Webanalyse): Auch bei reiner Reichweitenmessung (z.B. mit eigenen Tools wie Matomo) ist die Notwendigkeit unklar, jedoch ist das Risiko gering und das sehr, wenn keine Cookies eingesetzt werden (auch bei Google Analytics mit abgeschalteten Cookies ließe sich die Ansicht vertreten, wobei Aufsichtsbehörden und Gerichte es eher anders sehen werden).
   • Marketing: Bei Tools, die Nutzerprofile zu Werbe- und Marketingzwecken erstellen (z.B. Facebook-Pixel), Conversions messen (z.B. Google Analytics bei Verknüpfung mit Werbekonto) ist eine Notwendigkeit nach derzeitigem Stand ausgeschlossen und eine Einwilligung erforderlich.
2. Kopplungsverbot: Ein Cookie-Opt-In sollte keine Voraussetzung für den Zugang zu einer Website sein. Außer der Zugang ist nicht unbedingt erforderlich und es steht eine cookiefreie Alternative zur Verfügung (auch wenn sie kostenpflichtig sein sollte).
3. Aktive Zustimmung erforderlich: Eine bloßer Hinweis “wenn Sie unsere Website nutzen, stimmen Sie Cookies zu“, ist nicht ausreichend. Nutzer müssen eine Schaltfläche, z.B. “Alle Cookies akzeptieren” aktiv klicken
4. Einfache Ablehnung: Die Ablehnung von nicht erforderlichen Cookies sollte per Klick auf die Schaltfläche “Ablehnen“ möglich sein. Bei anderen Begrifflichkeiten sollten deren Funktionen, als auch die der eingesetzten Cookies, bereits auf der ersten Seite der Cookie-Management-Plattform erläutert werden.
5. Hinweis auf Einstellungs-/Widerrufsmöglichkeit: Schon in der Einleitung der Cookie-Management-Plattform sollten Nutzer darauf hingewiesen werden, wo sie die Einstellungen ändern können (z.B. in der Datenschutzerklärung und im Fußbereich der Webseiten).
6. Hinweis auf die Datenschutzerklärung: Weisen Sie die Nutzer auf weitere Informationen in der Datenschutzerklärung hin.
7. Links zum Impressum, Datenschutzerklärung und ggf. den AGB nicht verdecken: Es ist im Prinzip egal, wo Sie das Opt-In-Banner platzieren. Wichtig ist, dass Sie die Links mit Pflichtinformationen nicht verdecken (oder Sie nehmen die Links im Cookie-Banner auf).
8. Detailinformationen: Die folgenden Informationen zu den eingesetzten Cookies sollten am besten schon in einer Detailübersicht im Cookie-Opt-In-Banner vorhanden sein:
   • Identität der Dienstleister, die die Cookies verarbeiten: Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).
   • Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie nach meiner Ansicht, zumindest in voller Länge in der Datenschutzerklärung platziert werden kann. Die Datenschutzerklärung und das Impressum, sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein (Link zu den beiden am besten im Cookie-Banner platzieren).
   • Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen.

Fazit

Auch über eine Dekade nach ihrer Einführung, sind viele Fragen zu dem Umfang der Einwilligungspflicht bei nicht erforderlichen Cookies offen. Daran wird auch das neue deutsche Cookie-Regelung im TTDSG nichts ändern und eine klarstellende ePrivacy-Verordnung ist weiterhin nicht in Sicht.

So bleibt es weiterhin bei einem Tauziehen zwischen Unternehmen, Websitebetreibern und Datenschutzaufsichtsbehörden. Zumindest die reine (und möglichst datensparsame) Reichweitenmessung/ Webanalyse zu eigenen Zwecken wird überwiegend auch ohne Einwilligung für zulässig gehalten.

Im Hinblick auf den eindeutigen Einsatz von Cookies zu Werbe- und Marketingzwecken (d. h. Profiling, Remarketing, Conversion-Messung), postuliert der BGH, wie schon der EuGH, eine Einwilligungspflicht. Ob die Masse an Informationen, die den Nutzern dabei bereitgestellt wird tatsächlich sinnvoll ist, darf durchaus bezweifelt werden.

Des Weiteren ist in der Zukunft mit Gerichtsurteilen zu rechnen, die sich gegen “Dark Patterns” bei der Gestaltung der Cookie-Einwilligungen richten und das Fehlen eindeutiger “Ablehnen“-Schaltflächen bemängeln werden. Solange diese Urteile jedoch selten bleiben oder die Zahlung von Bußgeldern oder Abmahnungen nicht zunimmt, ist nicht mit einer Änderungen dieser Praktiken zu rechnen.

Aktualisierungen

• 20.05.2021 – Hinweis auf die Aufnahme einer Möglichkeit zur zentralen Cookie-Einwilligung im Entwurf des “Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien” (TTDSG).
• 01.06.2021 – Hinweis auf den Prüf- und Beschwerdeprozess gegen 10.000 Webseiten (sowie die häufigsten Fehler bei Cookie-Bannern und Beispiel einer Anfrage, bzw. Drohung)der Datenschutzorganisation noyb (none of your business, gegründet u.a. von Max Schrems) ergänzt.

P.S. Positive Prüfung unserer Datenschutzerklärung durch LG Rostock

Im Rahmen des oben genannten Verfahrens vor dem Landgericht Rostock, stand auch die mit unserem Generator erstellte Datenschutzerklärung auf dem Prüfstand.

Im Gegensatz zu dem Cookie-Opt-In, hatte das Gericht an ihr nichts auszusetzen und befand insbesondere, dass sie ausreichende Informationen zu Betroffenenrechten und Einsatz von Anbietern aus Drittländern bereithielt (LG Rostock, 15.09.2020 – 3 O 762/19). Es handelte sich um eine Version aus dem Jahr 2018, deren geprüfte Inhalte sich aber auch in den aktuell erstellten und weiterentwickelten Datenschutzerklärungen finden.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: ✔ mit über 600 aktuellen Modulen, u.a. mit Angaben zu Cookies, Cookie-Management-Plattformen, Reichweitenmessung und Onlinemarketing ✔ testen ohne Anmeldung ✔ kein Abo ✔ nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privatpersonen.

---