☎ 069 71 67 2 67 0
EN  CN
08.03.2016 13:53
AGB

Cookies – nicht immer nur leckere Kekse?

Die derzeitige Rechtslage zur Verwendung von Cookies ist leider nicht ganz eindeutig. Denn eine EU-Richtlinie, die aber nie in deutsches Recht umgesetzt wurde, hat teilweise höhere Anforderungen als das deutsche Gesetz. Spätestens augenscheinlich wurde dies als Google im letzten Jahr einige seiner Nutzer bestimmter Programme (u.a. von „Google AdSense“) aufgefordert hat, einen konkreten Hinweis auf die Verwendung von Cookies in deren Websites aufzunehmen.

Von: Jana Burek-Füstenow

(c) MovingMoment/fotolia

Was sind Cookies überhaupt?

Wer des Englischen mächtig ist, denkt bei Cookies wohl zuerst an Kekse. Im Internet aber sind Cookies keine Leckereien, sondern kleine Textdateien, die ein Websitebetreiber auf dem Computer des Besuchers seiner Website speichern lassen kann. Es gibt grundsätzlich zwei Arten von Cookies- die technisch notwendigen und die technisch nicht notwendigen. Technisch notwendige Cookies erleichtern den Besuch eines Nutzers auf der Website indem sie bspw. die Daten die er bei einer Anmeldung in einem Online-Shop, in einem sozialen Netzwerk oder in einem Forum eingibt, speichert, so dass sich der Nutzer nicht auf jeder neuen Unterseite erneut einloggen muss, sondern die gesamte Zeit angemeldet bleibt oder dass bspw. die ausgewählten Waren im Warenkorb während des weiteren Besuchs im Shop gespeichert bleiben. Technisch nicht notwendige Cookies erkennen einen Nutzer wieder, wenn er erneut die Website besucht und übermittelt dem Websitebetreiber dann die gespeicherten Daten, das können Daten sein, welche Unterseiten der Nutzer sich angesehen hat, auf welcher Seite er länger verweilt hat, welche Seite er zuerst und welche er zuletzt angesehen hat. Damit kann das Verhalten eines Nutzers genau erfasst werden und der Websitebetreiber seine Seite kundenfreundlicher gestalten, er kann diese Informationen aber auch für gezielte Werbung verwenden.

Wie ist die Rechtslage?

In unserem Beitrag zu „Internet und Datenschutz – was muss ich beachten?“ haben wir bereits erläutert, dass der Schutz personenbezogener Daten von Internetnutzern (zu Recht) groß geschrieben wird und dass jeder Betreiber einer Website seine Nutzer zumindest darüber aufklären muss, was er für Daten erhebt, speichert und wofür bzw. wie er sie ggf. weiterverwendet. Das gilt insbesondere, wenn persönliche Daten der Nutzer betroffen sind.

Für die Verwendung von Cookies sind damit die Regelungen des Telemediengesetzes (TMG) und hier insbes. §§ 13 Abs. 1 und 15 Abs. 3 TMG zu beachten. Daneben enthält aber auch die EU-Richtlinie Nr. 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kurz: Datenschutzrichtlinie für elektronische Kommunikation) und die diese abändernde sogenannte E-Privacy-Richtlinie Nr. 2009/136/EG eine Reihe von datenschutzrechtlichen Bestimmungen. Seit Erlass dieser Richtlinie ist leider nicht eindeutig, welche Vorschriften für Websitebetreiber in Deutschland gelten sollen. Insbesondere, da die Richtlinie viel diskutiert wurde, aber nie aktiv in deutsches Recht umgesetzt wurde. Wie eingangs erwähnt, legt Google seit dem letzten Jahr die datenschutzrechtlichen Regelungen strenger als bisher - allerdings nur für einige seiner Anwendungen.

Der größte Unterschied ist wohl, dass das TMG bei der Erhebung von personenbezogenen Daten der Cookies eine Widerspruchsmöglichkeit (Opt-Out-Lösung) und die EU-Richtlinie eine Einwilligung (Opt-In-Lösung) der Nutzer fordert.

Was muss ich als Websitebetreiber konkret beachten?

Jeder Websitebetreiber sollte eine aktuelle Datenschutzerklärung bereithalten. In dieser sollten Informationen zu den von der Website verwendeten Cookies enthalten sein, insbesondere zu den mit den Cookies gespeicherten Informationen, den Zweck und die Dauer der Speicherung der Cookies, den Verantwortlichen der Speicherung und über das Bestehen einer Widerspruchsmöglichkeit einer bereits erteilten Einwilligung in die Verwendung der Cookies.

Was ist nach dem deutschen Telemediengesetz zu beachten?

Das TMG fordert, wenn mit den Cookies personenbezogene Daten erhoben und verwendet werden, muss der Betreiber einer Website seine Nutzer zu Beginn des Nutzungsvorgangs, also ab dem Zeitpunkt, ab dem die Cookies eingesetzt werden, über die Verwendung der Cookies informieren (so § 13 Abs. 1 TMG) Hierfür bietet sich die Bereitstellung einer Datenschutzerklärung an, auf die verlinkt wird oder ein pop-up Menü, das auf die Verwendung der Cookies hinweist.

Rein rechtlich betrachtet müssen Nutzer in die Verwendung von technisch notwendigen Cookies nicht einwilligen (§ 15 Abs. 1 TMG), aber Websitebetreiber müssen über die Verwendung solcher Cookies ebenfalls aufklären. Um auf der sicheren Seite zu sein, empfehlen wir daher in der Datenschutzerklärung auch auf solche Cookies hinzuweisen, mit denen eigentlich keine persönlichen Daten erhoben werden.

Die oben erwähnten Cookies, die technisch nicht notwendig für den Betrieb einer Website sind, darf ein Betreiber nur verwenden, wenn der Nutzer dieser Verwendung nicht widerspricht (§ 15 Abs. 3 TMG) – sog. Opt-Out-Lösung. Das Gesetz fordert, dass ein Nutzer über dieses Widerspruchsrecht in allgemein verständlicher Form unterrichtet wird. Diese Unterrichtung kann wiederum in Form der Datenschutzerklärung, auf die verlinkt wird, erfolgen oder durch ein Pop-Up-Menü oder Banner am Bildrand, das bei dem ersten Aufrufen der Website erscheint. Wichtig ist, dass Nutzer ein Nutzer diese Informationen für ihn leicht erkennbar und zugänglich erhält, wenn er dann kommentarlos, also ohne Widerspruch weitersurft, darf man davon ausgehen, dass er die Verwendung der Cookies akzeptiert.

Wir gehen grundsätzlich davon aus, dass mit Beachtung der vorgenannten Punkte der in Deutschland geltenden Rechtslage genüge getan ist. Wenn Sie aber ganz sicher gehen möchten, beachten Sie auch die über das TMG hinausgehenden Vorgaben der EU-Richtlinie.

Was ist zusätzlich nach der EU-Richtlinie zu beachten?

Wie schon erwähnt, verlangt die EU-Richtlinie bei der Verwendung von technisch nicht notwendigen Cookies, dass ein Nutzer nicht nur über die Verwendung der Cookies aufgeklärt wird, sondern ausdrücklich in deren Erhebung einwilligt und zwar bevor die Cookies eingesetzt werden (sog. Opt-In-Lösung). Wie kann ein Website-Betreiber diese Einwilligung einholen? Er kann bspw. auf seiner Website eine Schaltfläche installieren, die vor Erhebung der Cookies aufpoppt und vom Nutzer aktiv bestätigt werden muss. Verweigert der Nutzer die Bestätigung dürfen die Cookies natürlich nicht verwendet werden. Der Website-Betreiber sollte die Bestätigung mitprotokollieren. Eine andere Möglichkeit ist, eine vorgeschaltete Website mit den notwendigen Informationen und der Einwilligungsmöglichkeit bereit zu halten oder ein gut sichtbares Banner oder Pop-Up Fenster.

Was verlangt nun Google?

Google hat von seinen Kunden der Google-Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ verlangt, dass diese Kunden bis 30.09.2015 erstens einen Hinweis für ihre Nutzer auf ihrer Website einbauen und zweitens die Zustimmung für die Verwendung der Cookies einholen. Google hat hierfür eine Informationsseite (www.cookiechoices.org) eingerichtet, auf der erklärt wird, wie die Kunden am besten ihren Informations- und sonstigen Pflichten im Hinblick auf Cookies nachkommen können.

Besteht eine Abmahn- oder Bußgeldgefahr?

Soweit die Vorgaben des TMG und der EU-Richtlinie eingehalten werden, ist die Abmahngefahr durch Mitbewerber eher gering.

Soweit die unmittelbare Geltung der EU-Richtlinie in Deutschland jedoch nicht ganz klar ist, gehen wir auch davon aus, dass Website-Betreiber die „lediglich“ die Angaben des deutschen Gesetzes einhalten, in der Regel keine Abmahnungen zu befürchten haben, also jedenfalls dann, wenn sie ihre Nutzer umfassend, klar und verständlich über die Verwendung von Cookies aufklären und bei technisch nicht notwendigen Cookies zumindest ein Widerspruchsrecht einräumen und die Cookies bei Ausübung des Widerspruchs durch einen Nutzer vollständig gelöscht werden.

Wichtig ist also in jedem Fall, dass Sie, als Websitebetreiber über eine aktuelle Datenschutzerklärung verfügen, die auch ausreichend über die von Ihnen verwendeten Cookies aufklärt und den Nutzer eine Einwilligungsmöglichkeit oder aber zumindest eine Widerspruchsmöglichkeit in die Verwendung der technisch nicht notwendigen Cookies bietet.

Gerne sind wir Ihnen bei der Erstellung oder Überprüfung ihrer Datenschutzerklärung in der Hinsicht auf die Verwendung von Cookies behilflich. Sprechen Sie uns an!

In Verbindung stehende Artikel:

 EuGH: Cookies nur mit Einwilligung - 01.10.19 12:39
 Darf ich personenbezogene Daten meiner Kunden auch ins Ausland übermitteln?  - 14.04.16 07:16
 Internet und Datenschutz – was muss ich beachten? - 21.02.16 15:29
 Mehr Abmahnungen für Verstöße gegen Datenschutz zu befürchten - 08.02.16 14:19