Auf fast jeder Website kommen sie zum Einsatz. Cookies gehören zu den Grundbausteinen des Internets. Und sie erfüllen zahlreiche Funktionen. Manche sind technischer Natur, andere wiederum werden für gezielte Werbung genutzt oder erheben Statistiken über Webseitenbesuche. Seit einigen Jahren ist es für die Betreiber von Websites Pflicht, explizit auf die Nutzung von Cookies hinzuweisen und deren Verwendung durch den Besucher bestätigen zu lassen. Doch auf welche Cookies trifft das genau zu? Wie muss eine entsprechende Bestätigung aussehen? Und benötige Sie die auch für Ihre eigene Website?
Disclaimer: In diesem Text versuchen wir, alle relevanten Informationen zum Thema Cookies zusammenzustellen und Ihnen einen Überblick über den technischen Einsatz sowie die rechtlichen Vorschriften zu geben. So aktuell wie möglich, so umfangreich wie nötig, verständlich und nachvollziehbar. Diese Informationen ersetzen unter keinen Umständen eine juristische Beratung. Bei Unsicherheiten oder speziellen Fragen empfehlen wir deshalb, einen Fachmann für Medienrecht hinzuzuziehen. Kommen Sie gerne auf uns zu, wenn Sie eine Empfehlung brauchen.
Was sind Cookies?
Zunächst die Grundlagen: Cookies sind Textinformationen, die beim Besuchen eines Webauftritts im Browser gespeichert werden. Das funktioniert sowohl mobil als auch am stationären Computer. Die kleinen Dateien sammeln Informationen über den Benutzer und geben diese an verschiedenen Stellen aus.
Cookies lassen sich auf drei Arten unterscheiden. Diese Trennung ist leider teilweise schwammig und häufig vom Kontext abhängig, was die Situation für Websitebetreiber oft etwas unübersichtlich macht. Zudem sind die Unterscheidungen Änderungen unterworfen, die sowohl technischer als auch rechtlicher Natur sein können. Dennoch dient diese Einteilung als Grundlage für die meisten juristischen Vorgaben.
Die erste Unterscheidung bezieht sich auf den Anbieter der Cookies. Sie ist ein juristisches Kriterium und legt fest, wo die erhobenen Daten verarbeitet werden.
- Erstanbieter-Cookies: Ist die Seite selbst für das Setzen und Auslesen der Cookies verantwortlich und können diese Informationen auch nur von ihr selbst bzw. ihren Betreibern eingesehen werden, handelt es sich um Erstanbieter-Cookies.
- Drittanbieter-Cookies: Werden die Informationen an externe Dienste wie Analyse- oder Targetingprogramme weitergegeben, handelt es sich um Cookies von Drittanbietern.
Ein weiteres Kriterium ist die Beständigkeit, also die Zeitspanne, die vergeht, bis die Daten wieder aus dem Browser entfernt werden. Hierbei handelt es sich um eine technische Eigenschaft.
- Temporäre Cookies: Eine ganze Reihe Cookies wird nur während des Besuches einer Webpräsenz benötigt und nach Ablauf einer bestimmten Zeitspanne wieder gelöscht. Dies geschieht entweder bereits mit dem Verlassen der Seite, spätestens mit dem Schließen des Browsers oder dem Herunterfahren des Rechners.
- Permanente Cookies: Einige Cookies verbleiben dauerhaft und liefern permanent Informationen an den ausgebenden Dienst. Diese sind beispielsweise der Grund dafür, wieso Sie das Gefühl haben, von Werbung verfolgt zu werden. Permanente Cookies lassen sich nur manuell entfernen.
Die letzte Unterscheidung ist sowohl technischer Natur als auch rechtlich relevant. Sie bestimmt, ob Cookies für die grundlegende Funktion einer Website wichtig sind.
- Notwendige Cookies: Für den Betrieb einer Website notwendige Cookies werden beispielsweise zum Speichern von Login-Daten, für die korrekte Funktion des Warenkorbs innerhalb eines Shop-Systems oder zur fehlerfreien Ausführung der richtigen Sprachversion benötigt.
- Nicht notwendige Cookies: Werden Cookies verwendet, um personalisierte Werbung auszuspielen, Analyseprogramme mit Daten zu versorgen oder einen Benutzer wiederzuerkennen, gelten Sie als nicht notwendig.
Alle rechtlichen Vorgaben beziehen sich auf diese Differenzierungen. In welcher der Kategorien ein Cookie fällt, ist dabei von seiner Funktion abhängig. Auf dieser Grundlage können Sie auch für Ihre Seite bestimmen, ob Sie entsprechende Maßnahmen ergreifen müssen, die Ihre Besucher rechtlich einwandfrei über den Einsatz von Cookies aufklären oder ob Sie darauf verzichten können.
Grundsätzlich gilt: Wenn Sie Tools zur Analyse oder zum Schalten von Werbung verwenden, nutzen Sie Cookies, die zum einen von Drittanbietern stammen und zum anderen nicht notwendig für den Betrieb Ihrer Internetseite sind. Ein Consent-Banner ist dann ebenso Pflicht wie ein Vermerk in Ihrer Datenschutzerklärung.
Wie funktionieren Cookies?
Besuchen Sie eine Website, werden blitzschnell und von Ihnen unbemerkt im Hintergrund, eine ganze Reihe von Aktionen ausgeführt. Eine davon ist das Speichern von Cookies, die in einem Verzeichnis Ihres Browsers abgelegt oder durch ein Skript erzeugt werden. Diese kleinen Dateien erfüllen eine Reihe unterschiedlicher Aufgaben, die von ihrer Funktion bestimmt werden. Beispiele dafür sind:
- Tracking: Dank der Tracking-Cookies ist eine Website in der Lage, festzustellen, ob ein Benutzer eine Seite zum ersten Mal besucht oder schon einmal da war.
- Targeting: Die Interessen des Users werden gespeichert und an einen Dienst weitergegeben, der diese Informationen nutzt, um zugeschnittene Werbeinhalte anhand dieser Präferenzen auszuspielen.
- Präferenz-Cookies: Hier werden individuelle Einstellungen wie Sprache, Schriftgröße oder Hintergrundfarbe gespeichert, sofern diese einstellbar sind. Dadurch lässt sich die Usability einer Seite verbessern.
- Session ID: Jedem Besucher einer Website wird durch das Cookie eine feste Nummer zugeordnet. Anhand dieser ID können die Aufrufe verschiedener Unterseiten, Warenkörbe sowie alle anderen Aktivitäten eindeutig derselben Person zugeordnet werden.
Außer den Cookies, in denen die Session ID gespeichert wird, zählen alle anderen als nicht technisch relevant und unterliegen strengen datenschutzrechtlichen Bestimmungen.
Rechtliche Vorgaben
Es existieren eine ganze Reihe von Vorschriften und Regelungen, mehrere Gerichtsurteile und verschiedene Verordnungen, die sich mit dem Datenschutz und der Verwendung von Cookies auseinandersetzen. Die wenigsten befassen sich explizit mit deren Einsatz, sondern geben nur Rahmenbedingungen vor. Einzig konkrete Gerichtsurteile bieten einen handfesten Leitfaden. Sie beziehen sich aber immer nur auf einen speziellen Einzelfall. Betreiber von Websites müssen sich also umfassend informieren und im Zweifel einen Anwalt hinzuziehen.
Cookies in der DSGVO
Die DSGVO verlangt seit 2018 die ausdrückliche Benennung der Rechtsgrundlagen für das Verwenden von Cookies in der Datenschutzerklärung.
Das bedeutet, dass alle Betreiber von Websites, die mit Cookies arbeiten, ihre Datenschutzerklärung um eine entsprechende Textpassage erweitern müssen. Genauere Vorgaben zu Cookies gibt es in der Datenschutzgrundverordnung nicht. Diese sollten in der ePrivacy-Verordnung näher definiert werden.
In der DSGVO finden sich jedoch klare Vorgaben zum Umgang mit personenbezogenen Daten. Zu diesen zählen auch Cookies beziehungsweise die von ihnen übertragenen Informationen. Die Vorgaben legen fest, dass Websitebetreiber über den Einsatz und den Zweck der verwendeten Cookies informieren müssen.
ePrivacy-Verordnung: Was lange währt…
Eigentlich sollte die ePrivacy-Verordnung bereits 2018 zeitgleich mit der DSGVO in Kraft treten. Insbesondere sollte sie den Umgang mit Cookies und Tracking genauer regeln und damit zu EU-Recht werden, das für alle Mitgliedsstaaten bindend ist. Doch die Verhandlungen über die genaue Ausgestaltung sind ins Stocken geraten.1
Wann die Verordnung kommt und wie ihr endgültiger Inhalt dann aussieht, lässt sich noch nicht sagen. Vor 2021 ist momentan nicht mit einem Inkrafttreten zu rechnen. Da eine Übergangsfrist von mindestens einem Jahr vorgesehen ist, müssen Websitebetreiber keine Angst davor haben, hier einen Fehler zu machen.
ePrivacy-Richtlinie: Alter Stand der Dinge
Da die ePrivacy-Verordnung noch nicht in Kraft ist, müssen sich Websitebetreiber an den älteren Vorgaben der ePrivacy-Richtlinie 2 orientieren. Diese stammt in Teilen noch von 2002 und wurde zuletzt 2009 aktualisiert. Entsprechend weit hinkt sie aktuellen Entwicklungen in der Webtechnologie hinterher. Die Richtlinie sieht vor, „dass Daten- und Medienkonzerne nicht länger ohne Zustimmung der Nutzer aufzeichnen, was diese im Internet suchen, lesen oder kaufen" 3 Sie ist damit neben der DSGVO die Grundlage, auf der die meisten Cookie-Banner erstellt worden sind.
DSGVO-Verschärfung 2020
Zwei Gerichtsurteile haben in den vergangenen Monaten für Aufsehen gesorgt und die Vorgaben für Cookie-Banner spezifiziert. Sowohl der Bundesgerichtshof 4 als auch der Europäische Gerichtshof 5 haben in zwei unterschiedlichen Fällen eindeutig festgestellt, dass die aktive Zustimmung durch den Seitenbesucher Pflicht ist.
Für Cookies gilt seitdem die sogenannte Opt-In-Pflicht. Eine reine Information und auch ein vorausgefülltes Formular reichen nicht. Ebenso ist ein ausschließlich nachträglicher Widerspruch (Opt-Out) nicht rechtens. Diese Regelung gilt, zumindest nach aktuellem Stand, auch für technisch relevante Cookies. 6 Seitenbetreiber sind deshalb gut beraten, in jedem Fall ein Consent-Tool zu verwenden, um auf der sicheren Seite zu sein. Eine kurze Übersicht verschiedener Tools findet sich am Ende dieses Artikels.
Häufig gestellte Fragen (FAQ)
Die meisten Websites verwenden Cookies. Angewiesen sind sie darauf nicht, zumindest nicht aus technischer Sicht. Nur dann, wenn Informationen für die spätere Verwendung benötigt sind, ist ein Cookie nötig. Der Inhalt eines Warenkorbs beispielsweise, ebenso wie Anmeldeinformationen bleiben dank eines Cookies erhalten, wenn der Nutzer weitere Seiten besucht.
Allerdings verwenden viele, insbesondere kommerziell ausgerichtete Seiten, Tools zum Tracken von Besuchern und für das Erstellen von Statistiken. Diese nutzen Cookies, um an relevante Informationen zu kommen. Kommen also beispielsweise Google Ads oder Analytics zum Einsatz, dann werden auch Cookies genutzt.
Ein Cookie-Banner, genauer ein Consent-Tool, ist nötig, wenn Sie Cookies verwenden, die für den technischen Betrieb einer Seite nicht erforderlich sind. Tracking, Analyse und ähnliche Funktionen benötigen die Informationen, die die kleinen Programme zusammentragen, um überhaupt zu funktionieren. Verwenden Sie einen entsprechenden Dienst, ist ein Cookie-Banner in jedem Fall erforderlich.
Die jüngsten Urteile zu diesem Themenkomplex legen zudem nahe, ein Cookie-Banner oder Consent-Tool auch dann zu verwenden, wenn nur technisch relevante Cookies zum Einsatz kommen. Denn diese beziehen sich auf alle Cookies und treffen keine Unterscheidungen mehr.
Welche Anbieter für Banner gibt es?
Borlabs: Gilt als das beste Tool auf dem Markt. Ab 39 Euro geht’s los. Nur Wordpress.
CookieFirst: Ab 9 Euro pro Monat. Finale Kosten anhängig von den genutzten Features. Starterversion kostenfrei. Gut individualisierbar.
Cookiebot: Scannt die Website automatisch. Für kleine Domains kostenlos, sonst ab 9 Euro pro Monat zu haben.
Usercentric: Mit White-Label und Selfhosting eine Profi-Lösung, was sich allerdings auch im Preis niederschlägt. Dieser wird nicht offen kommuniziert und ist individuell.
Consentmanager: Kosten abhängig von den Seitenaufrufen pro Monat. Bis 10.000 kostenlos, danach ab 50 Euro p. M. Einfach zu implementieren mit vielen vorgefertigten Inhalten.
Complianz: Kostenlos in einer abgespeckten Version, sonst ab 55 $ p.a. Schwächen im Design und im Umfang, stark in der Usability und Sicherheit. Nur Wordpress.
Cookie Notice for GDPR: Kostenlos, aber etwas kompliziert in der Anwendung, da alle Einträge manuell vorgenommen werden müssen.
Was bringt die Zukunft?
Viel Vermutungen und Halbwahrheiten. Ziel der ePrivacy-Verordnung ist eigentlich eine Erleichterung und Verringerung der Regularien insbesondere für Unternehmen. Datenschutzexperten und Verbraucherschützer haben jedoch Zweifel an den neuen Regelungen und fordern immer wieder Nachbesserungen. Wie lange dieser Konflikt noch dauert und wann ein tragfähiger Kompromiss gefunden wird, lässt sich momentan nicht absehen.
1 https://www.heise.de/newsticker/meldung/E-Privacy-EU-Staaten-lassen-Verordnung-scheitern-Kommission-will-Neustart-4603164.html
2 https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32009L0136
3 https://www.blaetter.de/ausgabe/2019/mai/gesetzgebung-in-der-blackbox-wie-demokratisch-ist-die-eu
4 https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html (abgerufen am 09.09.2020)
5 http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=6699035 (abgerufen am 09.09.2020)
6 https://www.ionos.de/digitalguide/websites/online-recht/cookie-richtlinie/