WK LEGAL | SPRECHEN SIE UNS GERNE AN

Das Team von WK LEGAL steht Ihnen gerne jederzeit für Ihre rechtlichen Fragen am Standort Berlin, telefonisch oder per E-Mail zur Verfügung. Dabei legen wir besonderen Wert darauf für unsere Mandanten wirtschaftlich optimale Ergebnisse zu entwickeln, die rechtlich fundiert sind und das Ziel unserer Mandanten erreichen.

Cookies – rechtliche Pflichten und Umsetzung in der Praxis

17.01.2018 | Autor: Guido Kluck, LL.M.

Cookies sind Textdateien, die vom Browser beim Aufrufen der Webseite auf dem Computer des Nutzers gespeichert werden. Durch sie kann die Benutzerfreundlichkeit der Webseite erhöht werden, indem zum Beispiel Einkaufswagen in Online-Shops verwaltet oder Log-in-Daten und Spracheinstellungen gespeichert werden. Firmen können mit der Hilfe von Cookies aber auch detaillierte Benutzerprofile anlegen.

Um den Verbraucher zu schützen bestehen zu diesem Thema vielfältige gesetzliche Regelungen. Um für die Verwender von Cookies ein wenig Licht ins Dunkel zu bringen sollen im folgenden Beitrag die gesetzlichen Regelungen näher beleuchtet und zusammengefasst werden, was bei der Verwendung von Cookies besonders zu beachten ist.

Dabei ist von besonderer Bedeutung und gleichzeitig auch besonders strittig, ob ein bloßer Hinweis auf die Benutzung von Cookies ausreicht, um den gesetzlichen Vorschriften zu genügen oder ob eine Einwilligung des Nutzers der Webseite nötig ist. Zur Beantwortung dieser Frage gibt es unterschiedliche Rechtsgrundlagen.

Auf der einen Seite existiert seit 2009 die sogenannte „Cookie-Richtlinie“ der EU (Richtlinie 2009/136/EG). In dieser wird zunächst danach unterscheiden, ob es sich um technisch notwendige oder technisch nicht notwendige Cookies handelt. Technisch notwendig sind solche Cookies, die erforderlich sind, um den vom Nutzer gewünschten Dienst umzusetzen, zum Beispiel „Session-Cookies“, die dazu dienen den Inhalt des Warenkorbs oder Log-in-Daten zu speichern oder „Flash-Cookies“ zur Wiedergabe von Medieninhalten. Diese Art von Cookies können laut der Richtlinie ohne vorherigen Hinweis oder Einwilligung verwendet werden. Anders sieht es bei den technisch nicht notwendigen Cookies aus, die zum Beispiel Zwecken der Werbung oder Marktforschung dienen. Bei Verwendung dieser Cookies ist nach der Richtlinie die Einwilligung des Nutzers der Webseite erforderlich. Die EU-Richtlinie schreibt somit eine sogenannte Opt-in-Lösung für technisch nicht notwendige Cookies vor, bei der diese nicht von Anfang an gesetzt werden dürfen, sondern erst nach Zustimmung des Nutzers. Der User muss der Verwendung von Cookies also aktiv zustimmen.

Auf der anderen Seite ist bereits 2007 das deutsche Telemediengesetz (TMG) in Kraft getreten. Dieses sieht in § 15 Abs. 3 TMG vor, dass der Nutzer der Webseite zu unterrichten und auf sein Widerspruchsrecht hinzuweisen ist. Das TMG lässt somit im Gegensatz zur EU-Richtlinie eine sogenannte Opt-out-Lösung genügen, bei der Cookies von Anfang an gesetzt werden dürfen, der Nutzer ihrer Verwendung aber später widersprechen kann.
Im Allgemeinen ist das EU-Recht zwar vorrangig gegenüber dem deutschen Recht, jedoch bedarf eine EU-Richtlinie grundsätzlich einer Umsetzung in deutsches Recht, um Geltung gegenüber den Bürgern zu entfalten. Eine ausdrückliche Umsetzung hat nicht stattgefunden. Die Bundesregierung sieht die „Cookie-Richtlinie“ allerdings durch das TMG als erfüllt an.

Da sich Richtlinie und TMG aber zumindest hinsichtlich des Erfordernisses an eine Einwilligung beziehungsweise einen Hinweis nicht decken, stellt sich für den Cookie-Verwender also weiterhin die Frage, welche Anforderungen zu erfüllen sind.

Das TMG stellt das zurzeit geltende deutsche Recht dar. Es muss dem Grunde nach also ausreichen dessen Anforderungen zu genügen und den Nutzer der Webseite über die Verwendung von Cookies zu unterrichten und ihn auf sein Widerspruchsrecht hinzuweisen. Bei dieser Lösung sollte beim ersten Aufruf die Internetseite zum Beispiel mit einem Banner überlagert werden oder ein Pop-Up-Menü eingeblendet wenden, dass den User darüber informiert, dass Cookies verwendet werden und einen Button enthält, mit dem der User die Verwendung von Cookies unterbinden kann. Zudem sollte das Banner einen Link zur Datenschutzerklärung enthalten, die etwa darüber Aufschluss gibt, welche Daten gespeichert werden, wie dies geschieht, wie lange die Speicherzeit ist usw. Diese Informationen sollten leicht verständlich, dauerhaft abrufbar und für den User leicht zu finden sein.

Ende Mai 2018 tritt jedoch die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Diese sieht vor, dass jeder Seiten-Betreiber die Einwilligung der Nutzer in die Verwendung von Cookies einholen muss. Ein dementsprechender Einwilligungstext müsste dann ebenfalls beim ersten Aufruf der Internetseite eingeblendet werden. Dieser Text muss darüber Aufschluss geben, welche Daten gespeichert werden, wie diese genutzt und an wen sie gegebenenfalls weitergegeben werden. Der Nutzer der Webseite muss dann seine Einwilligung zum Beispiel mit Hilfe des Klicks auf einen Button erklären.
Im Moment ist also die bloße Information über die Nutzung von Cookies noch ausreichend um den gesetzlichen Anforderungen zu genügen, in Zukunft wird es jedoch erforderlich werden eine Einwilligung des Users einzuholen.
Der sicherste Weg ist es also schon jetzt die Einwilligung der Nutzer der Webseite für die Benutzung von Cookies einzuholen. Dies insbesondere vor dem Hintergrund, dass die vorgehaltenen Einwilligungen ab dem 25. Mai 2018 der neuen Regelung der DSGVO standhalten müssen. Wer die Vorgaben der „Cookie-Richtlinie“ einhält ist auf jeden Fall vor einer Abmahnung sicher. Doch auch beim Einhalten der weniger strengen Vorschriften des Telemediengesetzes ist die Wahrscheinlichkeit eines Abmahn- oder Bußgeldverfahrens, vor allem für kleinere Unternehmen und Betreiber, sehr gering.

Zudem müssen sich deutsche Webseiten-Betreiber in einigen Fällen auch jetzt schon stärker an der EU-Richtlinie orientieren, etwa wenn sie Waren ins EU-Ausland verkaufen oder bestimmte Google-Dienste nutzen. Denn Google hat Ende Juli 2015 den Nutzern von „Google AdSense“, „Google Doubleclick for Publishers“ und „Google DoubleClick Ad Exchange“ vorgeschrieben, dass diese auf die Google-Cookies hinweisen müssen und wirtschaftlich vertretbare Maßnahmen zu ergreifen haben, um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und eine entsprechende Einwilligung des Nutzers einzuholen ist. Ihre Pflichten gehen also über die Anforderungen des Telemediengesetzes hinaus.

 

Es bleibt also festzuhalten, dass der sicherste Weg mit Cookies umzugehen sowohl im Moment als auch in Zukunft, die Einholung der Einwilligung des Webseiten-Nutzers ist.

Davon unabhängig für welchen Weg sich der Cookie-Verwender entscheidet, ob eine Opt-in- oder eine Opt-out-Lösung, sollte die Datenschutzerklärung jedoch auf jeden Fall ausführliche und klar verständliche Informationen dazu enthalten, welche Informationen gespeichert werden, zu welchem Zweck die Speicherung erfolgt, wie lang die Speicherdauer ist, wer verantwortlich für die Speicherung ist und inwiefern eine Widerrufsmöglichkeit der bereits erteilten Einwilligung in die Cookie-Verwendung besteht.

Über den Autor

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. (Informationsrecht) ist Partner der Kanzlei WK LEGAL am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Social Media Recht.