Cookies auf Webseiten: Alles gut oder teurer Spaß?

Alle Webseitenbetreiber beschäftigen sich früher oder später mit dem Thema Cookies auf ihren Webseiten und Onlineshops. Durch ein neues Gesetz aus dem Dezember 2021 (TTDSG) wird die rechtliche Bewertung von Cookies vom “nice-to-have” zum absoluten “must-have.”

Was sind Cookies? Worüber reden wir?

Scheinbar ganz Europa spricht von Cookies, aber das ist nur die halbe Wahrheit. Rechtlich relevant sind nicht nur die Informationen, die in dem Browser eines Internetnutzers als Cookies gespeichert werden, sondern auch z.B. der sogenannte Webstorage. Technisch ist das nichts grundlegend anderes als Cookies.

Fangen wir mal ganz von vorne an:

Ein Websitenbetreiber stellt auf seiner Website eine Sprachauswahl zur Verfügung. Deutsch und Englisch. Der Nutzer kann über ein Flaggensymbol zwischen den Sprachen wechseln. Damit die Sache für den Besucher einfacher wird, wird  die Sprachauswahl des Nutzers automatisch in dessen Browser gespeichert. Surft der Besucher eine Woche später die Website erneut an, fragt die Website den Browser: Kannst Du Dich an mich erinnern? Hast Du Informationen von mir gespeichert? Der Browser liefert den Eintrag aus dem Cookie zurück. Die Website stellt sich auf die englische Sprachfassung ein. Der Besucher muss nicht nochmal über das Flaggensymbol neu auswählen.

Selbstredend ist, dass die so gespeicherte Information beim Beenden des Browsers nicht gelöscht wird, denn dann müsste der Nutzer nach jedem Neustart seines Browsers oder Computers diese Sprachwahl erneut treffen.

Was sagt das neue TTDSG aus dem Jahre 2021 zu Cookies?

Es gibt in diesem neuen Gesetz sage und schreibe nur 2 Paragraphen, die sich mit solchen Informationen beschäftigen. Und das Wort Cookie wird noch nicht einmal erwähnt. Es heißt im Gesetz lediglich: “Die Speicherung von Informationen...”

Damit sind auch Cookies gemeint aber nicht nur.

Der Grundsatz

§ 25 Absatz 1 TTDSG besagt vereinfacht: Das Speichern oder Abrufen von Informationen im Endgerät des Nutzers bedarf seiner Einwilligung. Zudem muss der Nutzer ausführlich nach den Vorschriften der DSGVO informiert werden.

Die Ausnahme

§ 25 Absatz 2 TTDSG bestimmt nun die zentrale und wichtige Ausnahme: Man benötigt keine Einwilligung des Nutzers, wenn es unbedingt erforderlich ist, damit der Nutzer den von ihm ausdrücklich gewünschten Dienst nutzen kann.

Was sich der Gesetzgeber darunter vorstellt ist Folgendes:

Wir nehmen das Beispiel von vornhin: Der Nutzer stellt über das Flaggensymbol seine gewünschte Sprache ein. Damit sich die Website daran erinnert, muss diese Information im Browser gespeichert werden. Das ist unbedingt erforderlich.

Anderes Beispiel:

Sie möchten in einem Onlineshop einkaufen. Sie legen Waren in den Warenkorb und stöbern dann noch ein wenig im Warenangebot. Schließlich rufen Sie den Warenkorb auf und gehen zu Kasse. Selbstverständlich soll der Warenkorb nicht vergessen haben, was sie vor wenigen Minuten hineingelegt haben. Diese Speicherung erfolgt ebenfalls in Ihrem Browser.

Das sind zwei Fälle, bei denen recht klar auf der Hand liegt: Es geht um einen Dienst oder eine Funktion, die der Nutzer ganz konkret verwenden will und das geht nur mit Cookies oder anderen Webspeichertechnologien.

Alles andere ist ein weites Feld

Leider wird im Gesetz nicht definiert, was alles “unbedingt erforderlich” ist. Der Gesetzgeber will das nicht für alle Zeiten festschreiben, sondern das sollen die Gerichte je nach Zeitgeist entscheiden.

Also besteht im Moment ein heilloses Durcheinander bezüglich dieser Voraussetzung. Jeder Experte stellt seine eigenen Theorien auf. Die Aufsichtsbehörden für den Datenschutz publizieren ihre Meinungen dazu in Pressemitteilungen.

Größter Streit besteht derzeit in der Frage, ob Cookies für das Tracking der Webseitenbesucher als unbedingt erforderlich angesehen werden oder nicht. Denn davon hängt ab, ob Sie eine Einwilligung benötigen oder nicht.

Die meisten Aufsichtsbehörden halten solche Webtracking-Cookies für nicht unbedingt erforderlich. Ergo benötigt man eine Einwilligung vom Nutzer. Das führt dann zu den allgegenwärtigen Cookiebannern, die so geschickt gestaltet sind, dass man möglichst schnell und ohne nachzudenken auf “Alle akzeptieren” klickt.

Haben Gerichte schon darüber entschieden?

Für einen Fall vor Geltung der DSGVO gab es bereits höchstrichterliche Entscheidungen. Sowohl vom Bundesgerichtshof (BGH) als auch vom Europäischen Gerichtshof (EuGH). Sie können die buchdicken Sachverhalte dazu unter dem Stichwort “Planet49” nachlesen. Die Kurzversion lautete: Cookies zu Werbezwecken nur mit Einwilligung.

• Im September 2020 hat sich das Landgericht Rostock einmal mit vorangekreuzten Checkboxen in einem Cookiebanner beschäftigt. Ergebnis: Wenn die nicht erforderlichen Cookie vorangehakt sind, gibt es keine freiwillige Einwilligung. Also rechtswidrig das ganze.
• Ein relativ aktuelles Urteil aus dem April 2021 vom Landgericht Köln besagt: Verwendet der Cookiebanner folgenden Text, ist das rechtswidrig: „Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.” Schweigen ist also keine Einwilligung.
• Ein topaktuelles Urteil aus dem Oktober 2021 kommt vom Landgericht Frankfurt/Main. Wenn die Website bereits Cookies setzt, die nicht unbedingt erforderlich sind, bevor der Nutzer seine Einwilligung erteilt hat, ist die Sache ebenfalls rechtswidrig.

Was also tun mit den Cookies?

Sie als Websitenbetreiber kommen nicht umhin, sich mit Ihrer Agentur oder Webseitenprogrammierer zusammenzusetzen. Schreiben Sie alle Cookies und anderen Webstorage auf, der auf Ihrer Seite gesetzt werden und sortieren sie: Die guten ist Töpfchen, die schlechten ins Kröpfchen.sa

Jetzt mal im Ernst: Wenn Ihre Agentur in diesen Dingen professionell beraten ist, wird sie Ihnen bereits eine gute Lösung vorschlagen. Aber vermutlich müssen eine ganze Menge an Diensten und Funktionen auf den Prüfstand gestellt werden.

Sortieren Sie zwischen Diensten und Funktionen, die unbedingt erforderlich sind für das, was der Nutzer will. Die hierzu gesetzten Cookies können Sie einfach so setzen.

Für alle anderen benötigen Sie die vorherige Einwilligung des Nutzers.

Website-Check

• Professionelle Prüfung auf Datenschutzverstöße
• Auftrag zum Festpreis
• schnelle Auslieferung

Lassen Sie Ihre Website oder Ihren Onlineshop jetzt rechtlich prüfen.

Kennen Sie schon meine anderen Beiträge zum Datenschutz?

Folgende Artikel sind auf anwalt.de bereits erschienen:

1. Wann benötige ich einen Datenschutzbeauftragten?
2. Datenschutzhinweis - Reicht der auf der Website?
3. IT-Sicherheit und Datenschutz -  best buddy`s?
4. Externe Dienstleister - Besonderheiten im Datenschutz
5. Datenübermittlung in Drittländer: Gute Idee oder "no-go"?
6. Schulung der Beschäftigten - Muss das sein?
7. Bußgeld für Datenschutzverstoß - zahlen oder kämpfen?
8. Datenschutz-Doku - warum so unbeliebt?