Cookies: Was muss in den Cookie-Balken/das Cookie-Banner? Tipps zur praktischen Umsetzung nach EU-Recht

Die „Cookie-Richtline“ (e-Privacy-Richtline der EU) und das Urteil des EuGH vom 01.10.2019 werfen in der Praxis mehr Fragen auf als solche zu beantworten.

Cookies sind laut EuGH „Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen“. Darüber hinaus gibt es aber auch Cookies, die ausschließlich den Zweck verfolgen, das Nutzerverhalten zu analysieren. Der Nutzer erlangt hierdurch keinerlei Vorteil und in der Regel auch keine Kenntnis.

Laut Cookie-Richtlinie dürfen Cookies grundsätzlich nur nach vorheriger Einwilligung des Nutzers gesetzt und ausgelesen werden. Der EuGH hat dies nun weiter dahingehend präzisiert, dass das Einwilligungserfordernis auch solche Cookies erfasst, die keine personenbezogenen oder personenbeziehbaren Daten verarbeiten.

Eine Ausnahme von diesem Grundsatz gilt für Cookies,

1. deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder
2. wenn es sich um einen vom Nutzer ausdrücklich gewünschten Online-Dienst handelt und das Cookie unbedingt erforderlich ist, um diesen Dienst zur Verfügung stellen zu können.

Zu 1: Gemeint sind Cookies, die protokollieren, mit welchem Server des Anbieters der Nutzer kommunizieren soll, wenn der Anbieter seine Webseiteninhalte auf mehrere Server verteilt gespeichert hat (gleichmäßige Verteilung von Nutzeranfragen zur Vermeidung von Serverüberlastungen).

Zu 2.: Unter die 2. Kategorie fallen Cookies, die eingeloggte Nutzer wiedererkennen. Auf diese Weise kann ein Nutzer beispielsweise über einen längeren Zeitraum an einem Internetdienst angemeldet bleiben, ohne seine Zugangsdaten neu eingeben zu müssen.

Ebenfalls hierzu zählen Cookies, die Nutzereingaben verwalten. Der praktische Anwendungsfall sind mehrseitige Formulare bei Online-Umfragen oder Registrierungs-Abfragen: Durch die Cookies speichert der Server die Eingabedaten des Nutzers über mehrere Seiten hinweg. Erfasst werden auch Nutzereinstellungen wie Sprachpräferenzen, Anzahl Suchergebnisse, virtuelle Warenkörbe, Einstellungen zu Schriftgrößen etc.

Weiter sind in diese Kategorie sicherheitsbezogene Cookies einzuordnen. Diese speichern eine eindeutige Nutzerkennung und dienen dem Zweck, diesen bestimmten Nutzer und den verwendeten Client bei Neuaufruf der Website wiederzuerkennen. Im Umkehrschluss ermöglichen diese Cookies die Einstufung potenzieller Angriffe, wenn der vermeintliche Nutzerzugriff von bislang unbekannten Rechnern erfolgt. Es werden in diesen Fällen häufig daraufhin zusätzliche Sicherheitsmechanismen vorgeschaltet wie beispielsweise ein auf ein bestimmtes Endgerät gesendeter Authentifizierungscode oder die Eingabe von „Captchas“ vorgeschaltet. Hierdurch sollen Hackerangriffe und rechnergesteuerte maschinelle Angriffe abgewehrt werden.

Schlussendlich sind in dieser Kategorie noch die Multimedia-Cookies zu nennen, die der Speicherung technischer Informationen über vom Nutzer verwendete Abspieleinrichtungen und die bestehende Netzwerkverbindung dienen. Zweck ist die störungsfreie Wiedergabe von Audio- und Videoinhalten.

Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. b DS-GVO.

Auch solche Cookies haben jedoch eine „Ablaufzeit“. Ihr Einsatz ist auf das zwingend erforderliche Maß zu beschränken. Sofern für die technische Durchführung der ordnungsgemäßen Leistung erforderlich und ausreichend, sind Session-Cookies zu verwenden, die nur für die Dauer einer einzigen Browser-Session wirksam sind und bei schließen des Browsers unverzüglich und automatisch gelöscht werden. Bei dauerhaften Cookies muss die Lebensdauer auf ein dem Zweck angemessenes und für den Zweck erforderliches Zeitmaß eingegrenzt werden.

Aber auch über den Einsatz von solchen legitimen Cookies ist der Nutzer – unbeschadet der Einwilligungsfreiheit – in der Datenschutzerklärung zu informieren. Wie zuvor gesehen, besteht die Informationspflicht laut EuGH auch für solche Cookies, deren Funktionsweise keinen Personenbezug hat. Der EuGH setzt den Schutz der Privatsphäre der Website-Nutzer also noch über das datenschutzrechtliche Kriterium des Personenbezugs bzw. der Personenbeziehbarkeit. Es geht ihm zugleich um die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, auf dessen Grundrechtscharakter auch bereits das deutsche Bundesverfassungsgericht hingewiesen hat.

Außerhalb der beiden genannten Kategorien bedarf es stets einer Vorab-Einwilligung des Nutzers. Für die Setzung von Cookies zu Werbezwecken, zur Analyse des Nutzerverhaltens und zur Nachverfolgung, Auswertung und Zusammenführung weiterer digitaler Fußabdrücke von Nutzern bedarf es demnach stets einer Einwilligung, die der Nutzer vor dem Setzen bzw. dem Auslesen eines bereits gesetzten Cookies in informierter Weise, d.h. mit der Möglichkeit, umfassend und verständlich über Zweck und Funktionsweise informiert zu sein, erteilen muss. Natürlich gilt auch die Widerrufsbelehrungspflicht und das Erfordernis von Erläuterungen zur praktischen Durchführung eines Cookie-Widerrufs (z.B. wie das Einwilligungscookie vom Rechner gelöscht werden kann). Die Einwilligung selbst muss den Verarbeitungsvorgang vollständig und in verständlicher Weise unter Benennung des Verantwortlichen und der Zweckbestimmungen der Verarbeitung sowie der Funktionsweise der verwendeten Cookies enthalten. Auch Einwilligungscookies dürfen keine längere Gültigkeitsdauer haben als dies – bezogen auf den jeweiligen Zweck – zwingend erforderlich ist.

Die Einwilligung erfordert eine aktive Handlung, z.B. indem ein Optionsfeld angeklickt wird. Jede Form von Opt-Out-Verfahren scheidet damit aus. Auch eine konkludente Einwilligung kommt damit zwangsläufig nicht in Betracht, wie sie früher insbesondere dann angenommen wurde, wenn der Nutzer ein Bestätigungsfenster wegklickt und auf der Website (weiter-)surft. Es fehlt an der erforderlichen Freiwilligkeit nach Art. 7 DS-GVO, wenn der Nutzer keine Möglichkeit erhält, Cookies abzulehnen. Das anklickbare „OK“,, „Verstanden” oder „Weiter“ hilft dem Anbieter hier nicht. Es bedarf der Wahlfreiheit und der Verweigerungsmöglichkeit ohne hierdurch bewirkte Nachteile. Auch dass der Nutzer in seinen Browsereinstellungen Cookies generell zulässt, genügt nicht den EuGH-Vorgaben.

Die Art. 29-Datenschutzgruppe hat in diesem Zusammenhang Vorschläge zur technischen Ausgestaltung von Information nebst Einwilligungstext erarbeitet (vgl. auch Pressemitteilung des LfDI BaWü vom 09.10.2019; WP 208 und 229 der Art. 29-Gruppe):

1. Ein statisches Informationsbanner („Cookie-Banner“ bzw. „Cookie-Balken“), das die Nutzer unmittelbar mit dem Aufruf der Website um Einwilligung bittet. Dieses Banner führt per Hyperlink zu einer Datenschutzerklärung nebst Einwilligungstext. Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung (z.B. das Setzen von Häkchen oder den Klick auf eine Schaltfläche) erteilt hat, darf die einwilligungsbedürftige Datenverarbeitung stattfinden.
2. Beim Aufruf der Website erscheint ein Startbildschirm, der die erforderlichen Informationen enthält und auf dem der Nutzer in das Setzen und Auslesen von Cookies einwilligen oder dieses ablehnen kann (vergleichbar den „Online-Schleusen“ zur Altersverifikation auf Webseiten mit Alterszugangsbeschränkungen).