Die Datenschutzgrundverordnung (DSGVO) - Teil 9: Der Einsatz von Cookies

Veröffentlicht: 05.07.2017 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 05.07.2022

Ohne Datenerhebung läuft nichts im Online-Handel. Seien es die verwendeten Tracking-Tools, die Eingabe und Speicherung von Kundendaten während eines Bestellprozesses oder das (unbemerkte) Arbeiten von Cookies. Was wird aus den Cookies nach den Regeln der neuen Datenschutzgrundverordnung (DSGVO)?

Offen Schloss auf einer Platine

© wk1003mike via Shutterstock.com

Cookies: Eine Bestandsaufnahme

Der Online-Handel kann in Sachen Tracking dank Cookies und Co. ein transparenteres Bild seiner Kunden nachzeichnen. Nicht nur die großen Unternehmen wie Amazon, Facebook oder Google arbeiten mit Cookies, sondern auch kleinere Webseiten. Viele Händler sind sich aber gar nicht im Klaren, ob sie überhaupt Cookies im Einsatz haben und welche rechtlichen Voraussetzungen hierbei erfüllt werden müssen.

Cookies sind kleine Textdateien, die (temporär) auf dem Rechner des Webseitenbesuchers abgelegt werden und dessen Browser speichern. Sie dienen beispielsweise dazu, das Web-Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sorgen etwa dafür, dass der Warenkorb des potenziellen Käufers gespeichert wird. Des Weiteren ermöglichen Cookies den Systemen des Webseitenbetreibers, den Browser des Besuchers zu erkennen und ihm Services durch die Schaltung von individueller Werbung anzubieten. Die durch den Cookie erzeugten Informationen über die Benutzung der Website werden durch den Webseitenbetreiber direkt genutzt oder an einen Server übertragen und dort gespeichert (z. B. bei Google-Analytics-Cookies an die Server von Google in den USA). 

Webseitenbesucher können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern. Dabei kann es jedoch dazu kommen, dass nicht alle Funktionen einer Website vollumfänglich genutzt werden können. Internetuser können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (z. B. der IP-Adresse) sowie die Verarbeitung der Daten verhindern, indem sie PlugIns nutzen (Opt-out, z. B. bei Google Analytics Cookies).

Status quo in Europa und Deutschland

Schon acht Jahre ist die umgangssprachlich als Cookie-Richtlinie (2009/136/EG) bezeichnete europäische Richtlinie im Einsatz. In Zeiten des rasenden technischen Fortschritts ist sie „steinalt“. Wesentlicher Punkt der Cookie-Richtlinie ist, dass der Einsatz von Cookies nur möglich sein soll, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er u. a. über die Zwecke der Verarbeitung erhält, seine informierte Einwilligung („Opt-In”) gegeben hat.

Bis 2011 hätten die Mitgliedstaaten die entsprechenden nationalen Rechts- und Verwaltungsvorschriften erlassen müssen. Die meisten Länder haben die Frist eingehalten. Deutschland hat die Regelungen nicht in deutsches Recht umgesetzt, weil dies nach Auffassung der Bundesregierung wegen der aktuell schon ausreichenden Gesetzeslage nicht notwendig sei. Hier ist es bis heute nicht zu einer neuen Rechtsauffassung gekommen. 

Davon abgesehen schreibt Google seit zwei Jahren einen Cookie-Hinweis verpflichtend vor.

Das deutsche Recht knüpft den Einsatz von Cookies, wenn der Cookie personenbezogene Daten sammelt (z. B. IP-Adressen), derzeit noch an folgende Voraussetzung: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit das Datenschutzrecht dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Für Cookies bleibt nur die Option der Einwilligung.

Ein Webseitenbetreiber darf Cookies ohne Personenbezug hingegen ohne Einwilligung für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen einsetzen. Das jedoch nur, sofern der Nutzer dem nicht widerspricht. Der Webseitenbetreiber hat den Nutzer aber auf sein Widerspruchsrecht in der Datenschutzerklärung hinzuweisen.

Cookies und die DSGVO

Was hat es zu bedeuten, dass das Wort Cookie im Text der neuen DSGVO nicht ein einziges Mal auftaucht? Für alle Webseitenbetreiber bedeutet das, dass ab Mai 2018 die allgemeinen Grundsätze über die Erhebung von Daten anzuwenden sind. 

Die Daten, die über einen Cookie vom Webseitenbesucher gesammelt werden, weisen in aller Regel einen Personenbezug auf, da sie sich (mit vertretbarem Aufwand) einer bestimmten Person zuordnen lassen. Ergo: Für das Sammeln solcher Daten ist unter anderem Voraussetzung, dass

  1. die betroffene Person ihre Einwilligung gegeben hat,
  2. die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist,
  3. die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
  4. die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betreffenden Person zu schützen,
  5. die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  6. die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortli­chen oder eines Dritten erforderlich ist.

 

Variante a)

Für Cookies in Frage kommt vor allem Variante a (Einwilligung). Dies kann etwa in Form einer schriftlichen (auch elektronisch) oder einer mündlichen Erklärung erfolgen. Dies könnte etwa durch das An­klicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl von Browser-Einstellungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezoge­nen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Wird die betroffene Per­son auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Ein­willigung gegeben wird, erfolgen.

Ein Cookie-Banner (etwa über ein Popup) war bislang und wird auch künftig nicht notwendig sein. Nach den neuen Regeln gilt der erstmalige Besuch der Website ohnehin nicht als Einwilligung in die Verarbeitung von Besucherdaten, auch wenn Sie Ihren Besuchern Informationen wie “Durch die Nutzung dieser Website akzeptieren Sie Cookies“ zur Verfügung stellen. Zudem könnten sie die Nutzung einer Internetseite „unnötig unterbrechen“.

Wie bislang auch muss der Betroffene natürlich informiert werden, in was er einwilligt. Vor seinem Mausklick muss also bekannt gegeben werden, wer genau die Daten erhebt, speichert und nutzt, aus welchem Grund dies getan wird und dass der Internetuser ein Widerrufsrecht hat.

 

Variante f)

Inwieweit auf eine Einwilligung verzichtet werden darf, weil der Webseitenbetreiber die Daten der Besucher zur Wahrung seiner berechtigten Interessen (siehe oben lit. f) sammelt, bleibt abzuwarten. Möglicherweise hilft aber schon ein Ausblick auf die neue e-Privacy-Verordnung.

Was sagt die e-Privacy-Verordnung?

Die DSGVO kommt nicht allein daher. Sie wird künftig begleitet von der e-Privacy-Verordnung, die ebenfalls unmittelbar in allen EU-Staaten gelten wird und idealerweise mit der DSGVO in Kraft treten soll. In Bezug auf die Verwendung von Cookies hat die EU-Kommission einen Informationsüberschuss sowie eine Ermüdung von Verbrauchern hinsichtlich der Zustimmung solcher Dienste anerkannt. Da hilft auch die beste Klausel nichts.

In der Verordnungsbegründung wird daher folgender Ansatz verfolgt: „Dank der Zentralisierung der Einwilligung in einer Software wie den Internet-Browsern und der Aufforderung an die Nutzer, ihre Einstellungen zur Privatsphäre zu wählen, sowie dank erweiterter Ausnahmen zu den Einwilligungsvorschriften in Bezug auf Cookies könnte ein beträchtlicher Anteil der Unternehmen auf Cookie-Banner und -Hinweise verzichten, was möglicherweise erhebliche Kosteneinsparungen und Vereinfachungen mit sich bringen würde.“

Das bedeutet: Obwohl eine Zustimmung beim Einsatz von Cookies weiterhin erforderlich sein wird, sollen Verbraucher künftig über ihre Browser-Einstellungen anstatt über Banner ihre Einwilligung zu Cookies oder anderen Tracking-Tools erteilen. Für Anbieter gezielter Online-Werbung könnte es dadurch schwieriger werden, die Einwilligung zu erlangen, wenn ein großer Teil der Nutzer Einstellungen wählt, bei denen Cookies von Dritten abgewiesen werden. Wir werden den Gang der neuen Verordnung weiter verfolgen und natürlich in unserem Portal vorstellen.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.

Kommentare  

#6 Redaktion 2018-04-26 08:25
Hallo Angelika,

vielen Dank für den Kommentar. Die die Rechtslage für unsere Leser scheinbar noch etwas verwirrend ist, hier noch einmal die kurze und bündige Auskunft:

1. Auch für den Einsatz von Cookies ist wegen der Datenverarbeitu ng prinzipiell eine Einwilligung des Betroffenen notwendig.

2. Die DSGVO lässt jedoch als Einwilligung ausdrücklich "die Auswahl von Browser-Einstel lungen" genügen.

ERGO: Aus diesem Grund kann beim Einsatz von Cookies auf die explizite Einwilligung durch Banner/Pop-Ups verzichtet werden, da der Betroffene seine Einwilligung direkt über seine Browser-Einstel lungen gibt/widerruft.

Übrigens: Webseitenbesuch er können Cookies blockieren, indem sie beispielsweise für Google Analytics das unter dem folgenden Link verfügbare Browser-Plug-in herunterladen und installieren [https://tools.google.com/dlpage/gaoptout?hl=de].

Viele Grüße!

Die Redaktion
Zitieren
#5 Angelika 2018-04-25 16:06
Weiß hier der eine Autor nicht, was der/die andere schreibt?
Ich zitiere von dieser Seite:
"Die Daten, die über einen Cookie vom Webseitenbesuch er gesammelt werden, weisen in aller Regel einen Personenbezug auf, da sie sich (mit vertretbarem Aufwand) einer bestimmten Person zuordnen lassen. Ergo: Für das Sammeln solcher Daten ist unter anderem Voraussetzung, dass

die betroffene Person ihre Einwilligung gegeben hat. Dies kann etwa in Form einer schriftlichen (auch elektronisch) oder einer mündlichen Erklärung erfolgen. Dies könnte etwa durch das Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl von Browser-Einstel lungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogen en Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen."

Zitat aus onlinehaendler-news.de/.../...

"Keine ausdrückliche Einwilligung
Weder für die Verwendung von Cookies noch von Tracking- und Analyse-Tools ist zukünftig eine explizite Einwilligung (z. B. über ein Pop-up, Checkbox, Banner) erforderlich. Aber: Hinweis in der Datenschutzerklärung
Die Besucher einer Website, auf der Cookies und Tracking- und Analyse-Tools eingesetzt werden, müssen über deren Vorhandensein und die Widerspruchsmög lichkeit hingewiesen werden."

Davon abgesehen, so schön das alles theoretisch klingen mag "Das jedoch nur, sofern der Nutzer dem nicht widerspricht." "die Widerspruchsmög lichkeit hingewiesen werden" Und dann? Wo sind derzeit die technischen Möglichkeiten, einzelne Cookies löschen zu können, oder Besuchern das Surfen ohne Cookies zu ermöglichen?
Zitieren
#4 Lange 2017-10-13 10:21
(Fortsetzung)

Insofern sehe ich die allgegenwärtige n Cookie-Banner nicht nur als eine "Überfütterung" der User sondern gar als kontraproduktiv . Sie lenken die Aufmerksamkeit der Nutzer auf einen technischen Teilaspekt des Datenschutzes, statt den Komplex als Ganzes zu betrachten. Dazu ein Beispiel:

Ich baue eine Webseite, bestehend aus einer frisch registrierten Domain, einer einzigen index.html und darin nichts weiter als das von Facebook erzeugte Codefragment des Like-Buttons. Nun ruft ein User diese Seite auf. Es erscheint eine weiße Seite mit dem blauen Daumen. So weit, so nutzlos. Im Hintergrund setzt nun der Facebook-Server (!!!) ein Cookie im Browser und kann den User nun über sämtliche Webseiten verfolgen, die ebenfalls den Like-Button verwenden. Nach meinem Verständnis hätte das Facebook-Codefr agment, beispielsweise über ein eingekapseltes Javascript) ein eigenes Cookie-Banner einblenden und den User darüber aufklären müssen, dass hier der Facebook-Server (!!!) und nicht (!!!) der des Webseitenbetrei bers ein Cookie setzt. Letzterer hat nämlich gar keinen Zugriff auf die Datenberge, die sich aus der Like-Button-Duf tspur ergeben.

In der Folge würden bei jedem Webseitenbesuch Dutzende, wenn nicht Hunderte von Cookie-Popups geöffnet und von User weggeklickt werden müssen. Das ist Nonsens im Quadrat!

Die bessere Lösung ist der Do-not-Track-He ader (DNT). Der User konfiguriert seinen Browser entsprechend und dieser sendet nun bereits mit jeder Anfrage an einen Webserver den DNT-Header mit. Dieser besagt nicht (!!!) dass der Webserver auf den Einsatz von Cookies verzichten muss. Vielmehr ist der DNT-Header eine Anweisung an den Webseitenbetrei ber, auf die Verknüpfung von Duftspuren zu verzichten. Den DNT-Header zu respektieren müsste (weltweit) gesetzlich verpflichtend für alle Webservice-Betr eiber sein. Dann wäre dies eine fein abgestimmte Abwägung zwischen den technisch einfach notwendigen Cookies einerseits und dem Datamining der Betreiber andererseits.

Ferner müssten alle Betreiber verpflichtet sein, jegliche Nötigung des Users zur Zustimmung zum Tracking zu unterlassen. Denn ich kann mir gut vorstellen, dass soziale Netze ohne zwingenden technischen Grund bestimmte Leistungen nicht mehr anbieten, wenn der Nutzer nicht in ein Tracking einwilligt. Das müsste von vornherein verboten werden.
Zitieren
#3 Lange 2017-10-13 10:12
Aus Sicht der Webentwickler sind diese "Cookie-Banner" eigentlich ein Witz. Denn rein logisch betrachtet hat sich für die User nichts geändert. Es gibt weiterhin: Friss oder stirb: "Entweder du akzeptierst dass wir Cookies verwenden, oder du versuchst halt einen Webshop zu finden der ohne Cookies läuft."

Noch paradoxer: Zu dem Zeitpunkt, wo der User per Popup-Banner über die Website-Cookies informiert wird, ist das Cookie bereits gesetzt. Defakto wird seine Einwilligung vorweg genommen. Es geht technisch einfach nicht anders. Denn wie sollte ohne Cookie die (personenbezoge ne) Information, eingewilligt zu haben, einem bestimmten User zugeordnet werden?

Ohne Cookies funktionieren moderne Webtechnologien einfach nicht. Wo wir schon mal dabei sind: Ich sehe hier gerade unter meinem Textfeld ein Captcha-Bildche n. Selbst dazu sind Cookies notwendig. Ich kann mich aber gar nicht erinnern, für die Site onlinehaendler- news.de ein Cookiebanner weggeklickt zu haben. Dabei setzt die Seite nicht nur eines sondern gleich fünf Cookies.

Von alldem unabhängig finde ich die vielen blumigen Umschreibungen darüber, was Cookies sind und was sie tun, ziemlich erheiternd. Selbst hier in diesem Artikel wird Unsinn erzählt:

"Die durch den Cookie erzeugten Informationen über die Benutzung der Website werden durch den Webseitenbetrei ber direkt genutzt oder an einen Server übertragen und dort gespeichert"

Das ist Unsinn. Cookies erzeugen im technischen Sinne keine Informationen. Sie sind nichts weiter als ein eindeutiger Marker (initial eine Zufallszahl, UUID, GUID o.ä.). Sie werden vom Browser bei jeder Abfrage an einen Webserver mitgeschickt. Dadurch ergibt sich eine Art "Duftspur", welcher der Betreiber einer Webseite wie ein Fährtenhund folgen KANN, aber nicht MUSS. Um beim Beispiel zu bleiben: Die Sicherung der Funktion des Captchas hier unten ist kein datenschutzrele vanter Vorgang. Insofern sehe ich es tatsächlich als unnötig an, hierfür eine Einwilligung des Nutzers einzuholen.
Zitieren
#2 H.K. 2017-07-05 15:34
Jeder und zwar ausnahmslos jeder Internetnutzer kann seinen Browser entsprechend konfigurieren. Die x-te Cookiebestätigu ng auf jeder Webseite wird auch heute schon ungelesen weggeklickt, weil sie einfach das Nutzungserlebni s Internet einschränkt und schlicht nervt.

Zum Anderen stellt sich natürlich auch die Frage, für wie blöde die Herrschaften in Brüssel die Bürger halten. Man muss nicht immer seinen Wissensstand auf andere übertragen, sondern einfach mal den mündigen Bürger mündigen Bürger sein lassen. Aber man will natürlich mit allerlei Verordnungen wohl auch seine Daseinsberechti gung nachweisen.
Zitieren
#1 Fragaria 2017-07-05 14:22
Unausgegorener und praxisferner EU Mist. Datenschutz ist wichtig, aber man kann nicht alles haben.
Für vieles sind Cookies wichtig und nicht ersetzbar. Andernfalls sind viele Anwendungen nicht nutzbar. Wer keine Cookies will, kann in fast jedem Browser die Annahme von Cookies ablehnen.

Ich finde es sollte erstmal die Voratsdatenspei cherug abschaffen. Das wäre Datenschutz!
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.