Ohne Datenerhebung läuft nichts im Online-Handel. Seien es die verwendeten Tracking-Tools, die Eingabe und Speicherung von Kundendaten während eines Bestellprozesses oder das (unbemerkte) Arbeiten von Cookies. Was wird aus den Cookies nach den Regeln der neuen Datenschutzgrundverordnung (DSGVO)?

Offen Schloss auf einer Platine

© wk1003mike via Shutterstock.com

Cookies: Eine Bestandsaufnahme

Der Online-Handel kann in Sachen Tracking dank Cookies und Co. ein transparenteres Bild seiner Kunden nachzeichnen. Nicht nur die großen Unternehmen wie Amazon, Facebook oder Google arbeiten mit Cookies, sondern auch kleinere Webseiten. Viele Händler sind sich aber gar nicht im Klaren, ob sie überhaupt Cookies im Einsatz haben und welche rechtlichen Voraussetzungen hierbei erfüllt werden müssen.

Cookies sind kleine Textdateien, die (temporär) auf dem Rechner des Webseitenbesuchers abgelegt werden und dessen Browser speichern. Sie dienen beispielsweise dazu, das Web-Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sorgen etwa dafür, dass der Warenkorb des potenziellen Käufers gespeichert wird. Des Weiteren ermöglichen Cookies den Systemen des Webseitenbetreibers, den Browser des Besuchers zu erkennen und ihm Services durch die Schaltung von individueller Werbung anzubieten. Die durch den Cookie erzeugten Informationen über die Benutzung der Website werden durch den Webseitenbetreiber direkt genutzt oder an einen Server übertragen und dort gespeichert (z. B. bei Google-Analytics-Cookies an die Server von Google in den USA). 

Webseitenbesucher können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern. Dabei kann es jedoch dazu kommen, dass nicht alle Funktionen einer Website vollumfänglich genutzt werden können. Internetuser können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (z. B. der IP-Adresse) sowie die Verarbeitung der Daten verhindern, indem sie PlugIns nutzen (Opt-out, z. B. bei Google Analytics Cookies).

Status quo in Europa und Deutschland

Schon acht Jahre ist die umgangssprachlich als Cookie-Richtlinie (2009/136/EG) bezeichnete europäische Richtlinie im Einsatz. In Zeiten des rasenden technischen Fortschritts ist sie „steinalt“. Wesentlicher Punkt der Cookie-Richtlinie ist, dass der Einsatz von Cookies nur möglich sein soll, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er u. a. über die Zwecke der Verarbeitung erhält, seine informierte Einwilligung („Opt-In”) gegeben hat.

Bis 2011 hätten die Mitgliedstaaten die entsprechenden nationalen Rechts- und Verwaltungsvorschriften erlassen müssen. Die meisten Länder haben die Frist eingehalten. Deutschland hat die Regelungen nicht in deutsches Recht umgesetzt, weil dies nach Auffassung der Bundesregierung wegen der aktuell schon ausreichenden Gesetzeslage nicht notwendig sei. Hier ist es bis heute nicht zu einer neuen Rechtsauffassung gekommen. 

Davon abgesehen schreibt Google seit zwei Jahren einen Cookie-Hinweis verpflichtend vor.

Das deutsche Recht knüpft den Einsatz von Cookies, wenn der Cookie personenbezogene Daten sammelt (z. B. IP-Adressen), derzeit noch an folgende Voraussetzung: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit das Datenschutzrecht dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Für Cookies bleibt nur die Option der Einwilligung.

Ein Webseitenbetreiber darf Cookies ohne Personenbezug hingegen ohne Einwilligung für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen einsetzen. Das jedoch nur, sofern der Nutzer dem nicht widerspricht. Der Webseitenbetreiber hat den Nutzer aber auf sein Widerspruchsrecht in der Datenschutzerklärung hinzuweisen.

Cookies und die DSGVO

Was hat es zu bedeuten, dass das Wort Cookie im Text der neuen DSGVO nicht ein einziges Mal auftaucht? Für alle Webseitenbetreiber bedeutet das, dass ab Mai 2018 die allgemeinen Grundsätze über die Erhebung von Daten anzuwenden sind. 

Die Daten, die über einen Cookie vom Webseitenbesucher gesammelt werden, weisen in aller Regel einen Personenbezug auf, da sie sich (mit vertretbarem Aufwand) einer bestimmten Person zuordnen lassen. Ergo: Für das Sammeln solcher Daten ist unter anderem Voraussetzung, dass

  1. die betroffene Person ihre Einwilligung gegeben hat,
  2. die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist,
  3. die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
  4. die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betreffenden Person zu schützen,
  5. die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  6. die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortli­chen oder eines Dritten erforderlich ist.

 

Variante a)

Für Cookies in Frage kommt vor allem Variante a (Einwilligung). Dies kann etwa in Form einer schriftlichen (auch elektronisch) oder einer mündlichen Erklärung erfolgen. Dies könnte etwa durch das An­klicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl von Browser-Einstellungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezoge­nen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Wird die betroffene Per­son auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Ein­willigung gegeben wird, erfolgen.

Ein Cookie-Banner (etwa über ein Popup) war bislang und wird auch künftig nicht notwendig sein. Nach den neuen Regeln gilt der erstmalige Besuch der Website ohnehin nicht als Einwilligung in die Verarbeitung von Besucherdaten, auch wenn Sie Ihren Besuchern Informationen wie “Durch die Nutzung dieser Website akzeptieren Sie Cookies“ zur Verfügung stellen. Zudem könnten sie die Nutzung einer Internetseite „unnötig unterbrechen“.

Wie bislang auch muss der Betroffene natürlich informiert werden, in was er einwilligt. Vor seinem Mausklick muss also bekannt gegeben werden, wer genau die Daten erhebt, speichert und nutzt, aus welchem Grund dies getan wird und dass der Internetuser ein Widerrufsrecht hat.

 

Variante f)

Inwieweit auf eine Einwilligung verzichtet werden darf, weil der Webseitenbetreiber die Daten der Besucher zur Wahrung seiner berechtigten Interessen (siehe oben lit. f) sammelt, bleibt abzuwarten. Möglicherweise hilft aber schon ein Ausblick auf die neue e-Privacy-Verordnung.

Was sagt die e-Privacy-Verordnung?

Die DSGVO kommt nicht allein daher. Sie wird künftig begleitet von der e-Privacy-Verordnung, die ebenfalls unmittelbar in allen EU-Staaten gelten wird und idealerweise mit der DSGVO in Kraft treten soll. In Bezug auf die Verwendung von Cookies hat die EU-Kommission einen Informationsüberschuss sowie eine Ermüdung von Verbrauchern hinsichtlich der Zustimmung solcher Dienste anerkannt. Da hilft auch die beste Klausel nichts.

In der Verordnungsbegründung wird daher folgender Ansatz verfolgt: „Dank der Zentralisierung der Einwilligung in einer Software wie den Internet-Browsern und der Aufforderung an die Nutzer, ihre Einstellungen zur Privatsphäre zu wählen, sowie dank erweiterter Ausnahmen zu den Einwilligungsvorschriften in Bezug auf Cookies könnte ein beträchtlicher Anteil der Unternehmen auf Cookie-Banner und -Hinweise verzichten, was möglicherweise erhebliche Kosteneinsparungen und Vereinfachungen mit sich bringen würde.“

Das bedeutet: Obwohl eine Zustimmung beim Einsatz von Cookies weiterhin erforderlich sein wird, sollen Verbraucher künftig über ihre Browser-Einstellungen anstatt über Banner ihre Einwilligung zu Cookies oder anderen Tracking-Tools erteilen. Für Anbieter gezielter Online-Werbung könnte es dadurch schwieriger werden, die Einwilligung zu erlangen, wenn ein großer Teil der Nutzer Einstellungen wählt, bei denen Cookies von Dritten abgewiesen werden. Wir werden den Gang der neuen Verordnung weiter verfolgen und natürlich in unserem Portal vorstellen.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.