– Tipps zur praktischen Umsetzung nach EU-Recht –
Cookies dürfen grundsätzlich nur nach vorheriger Einwilligung des Nutzers gesetzt und ausgelesen werden. Das Einwilligungserfordernis erfasst auch solche Cookies, die keine personenbezogenen oder personenbeziehbaren Daten verarbeiten.
Eine Ausnahme von diesem Grundsatz gilt für Cookies,
- deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder
- wenn es sich um einen vom Nutzer ausdrücklich gewünschten Online-Dienst handelt und das Cookie unbedingt erforderlich ist, um diesen Dienst zur Verfügung stellen zu können.
Zu 1: Gemeint sind Cookies, die protokollieren, mit welchem Server des Anbieters der Nutzer kommunizieren soll, wenn der Anbieter seine Webseiteninhalte auf mehrere Server verteilt gespeichert hat (gleichmäßige Verteilung von Nutzeranfragen zur Vermeidung von Serverüberlastungen).
Zu 2.: Unter diese Kategorie fallen Cookies, die eingeloggte Nutzer wiedererkennen. Auf diese Weise kann ein Nutzer beispielsweise über einen längeren Zeitraum an einem Internetdienst angemeldet bleiben, ohne seine Zugangsdaten neu eingeben zu müssen.
Ebenfalls hierzu zählen Cookies, die Nutzereingaben verwalten. Der praktische Anwendungsfall sind mehrseitige Formulare bei Online-Umfragen oder Registrierungs-Abfragen: Durch die Cookies speichert der Server die Eingabedaten des Nutzers über mehrere Seiten hinweg. Erfasst werden auch Nutzereinstellungen wie Sprachpräferenzen, Anzahl Suchergebnisse, virtuelle Warenkörbe, Einstellungen zu Schriftgrößen etc.
Weiter sind in diese Kategorie sicherheitsbezogene Cookies einzuordnen. Diese speichern eine eindeutige Nutzerkennung und dienen dem Zweck, diesen bestimmten Nutzer und den verwendeten Client bei Neuaufruf der Website wiederzuerkennen. Im Umkehrschluss ermöglichen diese Cookies die Einstufung potenzieller Angriffe, wenn der vermeintliche Nutzerzugriff von bislang unbekannten Rechnern erfolgt. Es werden in diesen Fällen häufig daraufhin zusätzliche Sicherheitsmechanismen vorgeschaltet wie beispielsweise ein auf ein bestimmtes Endgerät gesendeter Authentifizierungscode oder die Eingabe von „Captchas“ vorgeschaltet. Hierdurch sollen Hackerangriffe und rechnergesteuerte maschinelle Angriffe abgewehrt werden.
Schlussendlich sind in dieser Kategorie noch die Multimedia-Cookies zu nennen, die der Speicherung technischer Informationen über vom Nutzer verwendete Abspieleinrichtungen und die bestehende Netzwerkverbindung dienen. Zweck ist die störungsfreie Wiedergabe von Audio- und Videoinhalten.
Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. b DS-GVO.
Auch solche Cookies haben jedoch eine „Ablaufzeit“. Ihr Einsatz ist auf das zwingend erforderliche Maß zu beschränken. Sofern für die technische Durchführung der ordnungsgemäßen Leistung erforderlich und ausreichend, sind Session-Cookies zu verwenden, die nur für die Dauer einer einzigen Browser-Session wirksam sind und bei Schließen des Browsers unverzüglich und automatisch gelöscht werden. Bei dauerhaften Cookies muss die Lebensdauer auf ein dem Zweck angemessenes und für den Zweck erforderliches Zeitmaß eingegrenzt werden.
Aber auch über den Einsatz von solchen legitimen Cookies ist der Nutzer – unbeschadet der Einwilligungsfreiheit – in der Datenschutzerklärung zu informieren. Wie zuvor gesehen, besteht die Informationspflicht auch für solche Cookies, deren Funktionsweise keinen Personenbezug hat. Denn es geht auch um die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Außerhalb der beiden genannten Kategorien bedarf es stets einer Vorab-Einwilligung des Nutzers. Für die Setzung von Cookies zu Werbezwecken, zur Analyse des Nutzerverhaltens und zur Nachverfolgung, Auswertung und Zusammenführung weiterer digitaler Fußabdrücke von Nutzern bedarf es demnach immer einer Einwilligung, die der Nutzer vor dem Setzen bzw. dem Auslesen eines bereits gesetzten Cookies in informierter Weise, d.h. mit der Möglichkeit, umfassend und verständlich über Zweck und Funktionsweise informiert zu sein, erteilen muss.
Natürlich gilt auch die Widerrufsbelehrungspflicht und das Erfordernis von Erläuterungen zur praktischen Durchführung eines Cookie-Widerrufs (z.B. wie das Einwilligungscookie vom Rechner gelöscht werden kann).
Die Einwilligung selbst muss den Verarbeitungsvorgang vollständig und in verständlicher Weise unter Benennung des Verantwortlichen und der Zweckbestimmungen der Verarbeitung sowie der Funktionsweise der verwendeten Cookies enthalten. Auch Einwilligungscookies dürfen keine längere Gültigkeitsdauer haben als dies – bezogen auf den jeweiligen Zweck – zwingend erforderlich ist.
Die Einwilligung erfordert eine aktive Handlung, z.B. indem ein Optionsfeld angeklickt wird. Jede Form von Opt-Out-Verfahren scheidet damit aus. Auch eine konkludente Einwilligung kommt damit zwangsläufig nicht in Betracht, wie sie früher insbesondere dann angenommen wurde, wenn der Nutzer ein Bestätigungsfenster wegklickt und auf der Website (weiter-)surft. Es fehlt an der erforderlichen Freiwilligkeit nach Art. 7 DS-GVO, wenn der Nutzer keine Möglichkeit erhält, Cookies abzulehnen. Das anklickbare „OK“ bzw. „Verstanden” oder „Weiter“ hilft dem Anbieter hier nicht. Es bedarf der Wahlfreiheit und der Verweigerungsmöglichkeit ohne hierdurch bewirkte Nachteile.
Die Art. 29-Datenschutzgruppe hat in diesem Zusammenhang Vorschläge zur technischen Ausgestaltung von Information nebst Einwilligungstext erarbeitet (vgl. auch Pressemitteilung des LfDI BaWü vom 09.10.2019; WP 208 und 229 der Art. 29-Gruppe):
- Ein statisches „Cookie-Banner“, das die Nutzer unmittelbar mit dem Aufruf der Website um Einwilligung bittet. Dieses Banner führt per Hyperlink zu einer Datenschutzerklärung nebst Einwilligungstext. Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung (z.B. das Setzen von Häkchen oder den Klick auf eine Schaltfläche) erteilt hat, darf die einwilligungsbedürftige Datenverarbeitung stattfinden.
- Beim Aufruf der Website erscheint ein Startbildschirm, der die erforderlichen Informationen enthält und auf dem der Nutzer in das Setzen und Auslesen von Cookies einwilligen oder dieses ablehnen kann (vergleichbar den „Online-Schleusen“ zur Altersverifikation auf Webseiten mit Alterszugangsbeschränkungen).