Cookies – Worth the hype?!

Beim Öffnen einer Webseite hat jeder schon einmal ein Cookie-Banner weggeklickt. Die Frage ist nur: Was zieht das eigentlich nach sich? Und wieso gibt es überhaupt ein eigenes Banner nur für Cookies, wenn doch sonst alles in den Datenschutzhinweisen steht? Diese und weitere Infos rund um Cookies erläutert der nachstehende Beitrag!

Jede:r, der im Internet unterwegs ist, hat den Begriff „Cookie“ wahrscheinlich schon gelesen, selbst, wenn diese Person sich noch nie Datenschutzhinweise auf einer Webseite angeschaut hat. Denn Cookies erfahren in gewisser Weise eine Sonderbehandlung in Form eines Banners, das sich ins Bild schiebt, bevor die eigentlichen Inhalte der Website wahrgenommen werden können. Sie also quasi gar nicht zu übersehen.

Der Bedarf an Cookies

Wieso haben Cookies eine so hohe Relevanz? Dieses „Warum“ bringt ein bisschen mehr Verständnis für den heutigen Umgang mit Cookie-Technologien.

Mit den steigenden Nutzerzahlen des Internets Mitte der 1990er-Jahre stieg auch der Wert der Werbung durch, aber auch auf Webseiten. Gut besuchte Webseiten finanzierten sich bald über die Vermarktung von Werbeplätzen an Dritte. Daher war es für die Betreiber einer Webseite, aber auch für Marketing-Unternehmen, die solche Plätze vermarkteten und nicht zuletzt für die Werbenden selbst höchst interessant, zu wissen, wie sich der Besucherstrom zusammensetzt. Daraus entstand das Bedürfnis einer zuverlässigen Methode, mit der Werbung gezielt ausgespielt und der Preis für Werbeplätze angemessen bestimmt werden konnte. Bis heute ergeben sich hieraus die bekanntesten Anwendungsfälle für Cookies: Analyse der Webseitenbesuche und Tracking zur gezielten Ausspielung eigener oder für Dritte eingebundene Werbemittel.

Alles in allem war es also für die Internetwirtschaft ganz gut, dass diese Technologie 1994 patentiert wurde: Cookies waren geboren. Neben den gerade genannten erfüllen sie bis heute viele weitere Funktionen, zum Beispiel die Speicherung von Spracheinstellungen oder Produkten im Warenkorb eines Nutzers über dessen Besuch der Webseite hinweg. Aber wie funktioniert das?

An dieser Stelle wird auf eine Definition aus dem digitalen Marketing Lexikon „Ryte Wiki“ verwiesen, welche das sehr verständlich und präzise erklärt:

„Ein Cookie ist ein Datensatz, der von einem Webserver auf der Festplatte des Nutzers hinterlegt wird. Bei der erhaltenen Datei handelt es sich um eine Zeichenkombination (…), welche dem Nutzer eine bestimmte Identität zuweist.“

https://de.ryte.com/wiki/Cookie

Die Definition erklärt weiter, dass neben dieser vergebenen ID weitere Informationen, beispielsweise zur Besuchsdauer oder zu Eingaben des Nutzers im Cookie gespeichert werden können. Und weiter:

„Bei späterem, erneutem Besuch der Webseite sendet der Client [Anm.: das Gerät des Nutzers] die Cookie-Information wieder an den Server zurück. Hierbei wird das Ziel verfolgt, den Nutzer und seine Einstellungen wiederzuerkennen.“

https://de.ryte.com/wiki/Cookie

Kurz gesagt: Mit Cookies werden Informationen unter einer individuellen Kennung auf dem eigenen Gerät gespeichert und können durch Webserver später wieder ausgelesen werden. Genau darin liegt aus rechtlicher Sicht die potentielle Gefahr der Cookies. Was es damit auf sich hat – hier kommen die Legal Facts… 

Legal Facts

Fakt 1: Regelung von Cookies durch das TTDSG

Datenschutzrechtlich waren Cookies lange ein Streitthema. Dabei spielten mehrere Fragen eine Rolle: Handelt es sich bei den im Cookie gespeicherten Informationen um personenbezogene Daten? Und macht es einen Unterschied, dass diese Daten auf dem Endgerät des Nutzers und nicht woanders gespeichert werden oder dass er sie jederzeit manuell löschen kann?

Vorweg muss man sagen: Es gibt eine Vielzahl verschiedener Cookies, die sich vor allem hinsichtlich des Verwendungszwecks, des Umfangs und der Art der Daten, die gespeichert werden, sowie hinsichtlich der Dauer der Aufbewahrung unterscheiden. Wird beispielsweise ein Cookie gesetzt, um die Spracheinstellung für eine Webseite über die Dauer des Besuchs hinaus zu speichern, dann braucht es nicht viele Informationen im Cookie. Hier würde man vielleicht gar nicht darauf kommen, dass Datenschutzrecht anzuwenden ist. Das kann bei einem Cookie zum Zweck zielgruppengerechter Werbung, das bei Klick auf ein Werbebanner durch ein Marketingnetzwerk gesetzt wird, schon anders aussehen: Hier werden vielleicht Daten zum Nutzungsverhalten im Cookie hinterlegt und von Webservern verschiedener Unternehmen in diesem Werbenetzwerk abgerufen.

Letztlich wohnt allen Cookies die gleiche Grundfunktion inne: Das Gerät, bzw. der dahinter stehende Nutzer soll wieder erkannt werden können. Und genau dieser Aspekt sorgt seit jeher für die Diskussion, ob und wenn ja welche Cookies eine Verarbeitung personenbezogener Daten bedeuten, bzw. welche Cookies rechtlich zulässig sind und unter welchen Voraussetzungen. Bis vor knapp drei Jahren gab es dazu keine eindeutige Regelung im Gesetz. 2021 trat das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“, abgekürzt TTDSG, in Kraft. Dort wird in § 25 geregelt, dass immer dann, wenn Angaben im Endgerät des Nutzers gespeichert und oder ausgelesen werden, eine Information und – bis auf wenige Ausnahmen – die Einwilligung des Nutzers in diesen Vorgang notwendig sind.

Hinsichtlich der Ausgestaltung von Einwilligung und Information verweist die Vorschrift auf die DSGVO. Damit sind zwar – auch unter dem Aspekt, dass sich die Möglichkeiten und die Technologie stets weiterentwickeln – nicht alle Fragen abschließend geklärt. Sicher ist aber, Cookies und ähnliche Technologien erfordern vor ihrem Einsatz stets einige Vorkehrungen, die sich aus dem Datenschutzrecht ergeben oder in weiten Teilen jedenfalls an diesem orientieren.

Fakt 2: Einwilligung als Rechtsgrundlage

Wie gerade erläutert, sieht § 25 TTDSG vor, dass eine Einwilligung des Nutzers vorliegen muss. Sie dient als Rechtsgrundlage für den Einsatz von Cookies – nur und zeitlich gesehen erst, wenn sie wirksam vorliegt, dürfen Cookies gesetzt werden.

Für eine wirksame Einwilligung ist nach DSGVO eine aktive Handlung, also zum Beispiel das Anklicken eines Buttons oder das Aktivieren eines kleinen Schiebers, notwendig. Außerdem muss die einwilligende Person ausreichend informiert worden sein, um eine freiwillige Entscheidung treffen zu können. Es muss die Möglichkeit bestehen, die Einwilligung abzulehnen – dem Nutzer darf dies nicht besonders schwer gemacht werden, zum Beispiel durch einen wesentlich weniger prominenten „Ablehnen“ Button oder ähnliches. Und schließlich muss es die Option geben, die Einwilligung zu einem späteren Zeitpunkt zu widerrufen. Diese Voraussetzungen haben dazu geführt, dass viele früher vorgebrachten Vorschläge einer praktikablen Lösung, wie eine allgemeine Zustimmung des Nutzers in das Setzen von Cookies über die Einstellungen des eigenen Webbrowsers, als nicht ausreichend verworfen wurden. Entstanden ist stattdessen die zu Beginn erwähnte Sonderbehandlung, wie wir sie aktuell von Webseiten kennen: Das sogenannte Cookie-Banner.

Weil Cookies direkt mit dem Abruf einer Webseite gespeichert werden, kann das vorherige „OK“ vom Nutzer nur eingeholt werden, bevor er die Domain tatsächlich aufruft. Mit dem Cookie-Banner wird der eigentlichen Webseite sozusagen eine eigene kleine Seite vorgeschaltet, bei deren Abruf die vorgesehenen Cookies noch nicht gesetzt werden. Durch das Banner wird der Nutzer informiert und die Einwilligung abgefragt. Je nach Entscheidung wird der Nutzer anschließend auf die Webseite weitergeleitet, die anhand der getroffenen Auswahl Cookies setzt, teilweise setzt oder nicht setzt.

Von diesem Erfordernis einer vorherigen wirksamen Einwilligung gibt es zwei ausdrücklich im Gesetz genannte Ausnahmen: 1. Das Cookie ist notwendig, um die Übermittlung einer Nachricht über ein Telekommunikationsnetz zu ermöglichen oder 2. das Cookie ist aus technischer Sicht notwendig, um dem Nutzer das von ihm gewünschte Angebot bereitzustellen, also zum Beispiel die Webseite an sich oder auch, um die zuvor getroffene Auswahl hinsichtlich Cookies zu speichern.

§ 25 TTDSG und das Cookie-Banner als Konsequenz sind in der Wirtschaft natürlich nicht auf große Begeisterung gestoßen – und selbst Nutzer sind häufig genervt von dieser Gestaltung. Nichtsdestotrotz: das ist der aktuelle Stand und die einzige Möglichkeit, wie die Mehrheit der Cookies rechtmäßig eingesetzt werden kann. Keine oder abweichende Banner, beispielsweise eine Information mit „OK“-Button, sind insoweit eine Kompromisslösung, für die sich ein Webseitenbetreiber nur entscheiden sollte, wenn er bereit ist, das damit verbundene Risiko eines Bußgelds nach TTDSG und oder DSGVO zu tragen.

Fakt 3: Information über den Einsatz von Cookies

Neben den eben genannten Anforderungen an eine wirksame Einwilligung gelten für die Information zur Verarbeitung von Daten im Zusammenhang mit einem Cookie ebenfalls die Vorgaben der DSGVO – hierzu kann auf den letzten Blogbeitrag zu den Datenschutzinformationen verwiesen werden. In der Praxis wurde dazu übergegangen, im Cookie-Banner selbst nur die wichtigsten Informationen aufzunehmen und für Details auf die Datenschutzhinweise der Webseite oder eigene Hinweise zu Cookies zu verlinken. Das ist möglich. Es sollte jedoch beachtet werden, dass auch bei Abruf dieser weiteren Hinweise keine Cookies gesetzt werden dürfen, wenn vorher die Einwilligung nicht erteilt wurde.

Fakt 4: DSGVO ist weiterhin zu beachten

Ansonsten gelten bei Cookies, jedenfalls solchen, mit denen die Verarbeitung personenbezogener Daten verbunden ist, natürlich auch die übrigen Voraussetzungen einer Verarbeitung nach DSGVO, zum Beispiel im Zusammenhang mit der Übermittlung von Daten an Dritte oder ins EU-Ausland. Das TTDSG schließt die Anwendung der DSGVO nicht aus, es ergänzt sie vielmehr! Die Rechtsprechung des EuGH und die Auffassung der Datenschutz-Aufsichtsbehörden tendieren derzeit zu einer weiten Auslegung des Begriffs personenbezogener Daten.

Das heißt, es ist fast nicht davon auszugehen, dass es Cookies gibt, die einerseits das Wiedererkennen eines Nutzers bei späterem Besuch zuverlässig ermöglichen und andererseits nach dieser Auffassung keine personenbezogenen Daten verarbeiten. Im Zweifel sollte beim Einsatz von Cookies daher neben dem TTDSG die DSGVO und ihre Anforderungen berücksichtigt werden.

Das sagen die Gerichte

Mit dem nachfolgend erläuterten Urteil werden die Anforderungen an eine wirksame Einwilligung noch einmal etwas genauer aufgegriffen. Es wurde durch das Oberlandesgericht Köln am 19. Januar 2024 (OLG Köln, Urteil v. 19.01.2024, Az. 6 U 80/23) gesprochen und ist damit noch recht frisch.

In dem Verfahren ging es um die bereits kurz erwähnte Ausgestaltung des Cookie-Banners hinsichtlich der Buttons, mit denen die Einwilligung gewährt oder abgelehnt werden soll. Konkret hatte ein Unternehmen in dem Banner, das der Webseite vorausging, unmittelbar unter der Überschrift einen in kräftigem Blau auf weißem Grund gefärbten Button mit der Aufschrift „Akzeptieren“ angebracht. Darunter war in hellgrauer Schrift eine Schaltfläche „Einstellungen“, die – anders als der Button zum Akzeptieren – keine Umrahmung oder ähnliches hatte. Erst darunter folgte, ebenfalls Grau auf Weiß und in deutlich kleinerer Schrift, ein Informationstext.

Oben rechts im Cookie-Banner befand sich zudem eine Schaltfläche, die mit „Akzeptieren und schließen“ sowie einem „X“, das Computernutzern als Symbol zum Schließen bekannt ist, bezeichnet war. Klickte der Nutzer auf diese Fläche oder auf den prominenten blauen Button „Akzeptieren“, galt die Einwilligung als erteilt, entsprechend wurden alle Cookies gesetzt. Nur mit Klick auf „Einstellungen“ gelangte der Nutzer auf eine zweite Ebene. Diese bot eine Übersicht mit Schiebereglern, mit denen einzelne Cookies aktiviert oder deaktiviert werden konnten. Am Ende dieser Übersicht befanden sich erneut zwei Schaltflächen, eine Blau auf Weiß mit der Beschriftung „Alles akzeptieren“ und einer, Hellgrau auf Weiß mit „Speichern“. Allein, indem der Nutzer nach einzelner Auswahl der Schieberegler auf „Speichern“ klickte, konnte er das Setzen aller Cookies verhindern. 

Dies sah das OLG Köln – wie auch die Vorinstanzen – als nicht ausreichende Möglichkeit einer freiwilligen Einwilligung an. Das Gericht begründete seine Entscheidung damit, dass die gewählte Gestaltung des Cookie-Banner dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine „gleichwertige, mithin auf klaren und umfassenden beruhende, Ablehnungsoption“ anbiete. Der Verbraucher werde vielmehr zur Abgabe der Einwilligung hingelenkt und von einer Ablehnung abgehalten. Auch die zweite Ebene, also die Übersicht mit den Schiebereglern, änderte nach Auffassung der Richter daran nichts. Dem Durchschnittsnutzer erschließe sich an dieser Stelle nicht, welche Funktion sich konkret hinter dem jeweiligen Button verberge und mit welcher Schaltfläche er eine Ablehnung erreichen könne. Eine Einwilligung in den Einsatz von Cookies wurde durch dieses Banner nicht wirksam eingeholt. 

Das Urteil zeigt, dass es rechtlich eben nicht darauf ankommt, irgendwie in einem Banner auf die Cookies hinzuweisen, sondern betont, dass es hier um eine Einwilligung im datenschutzrechtlichen Sinne geht, die wirksam erteilt werden muss, bevor Cookies eingesetzt werden dürfen.

Zum guten Schluss

Fassen wir noch einmal zusammen: Cookies werden im TTDSG geregelt, es braucht eine Information und wirksame Einwilligung im datenschutzrechtlichen Sinn. Das ist der Grund für die Cookiebanner, die – wie wir zuletzt beim OLG-Urteil aus Köln gesehen haben – auch korrekt ausgestaltet werden müssen. Wichtig: Auch wenn alternative Technologien zu Cookies genutzt werden sollen, kann § 25 TTDSG greifen und die entsprechenden Vorgaben gelten – der europäische Datenschutz und Schutz von Verbrauchern, bzw. Nutzern ist hier groß.

Ob Cookies den Hype mit dem Banner daher wert sind oder nicht, liegt wohl im Auge des Betrachters.

[UPDATE zum 14.05.2024] Das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) wurde zum 14. Mai 2024 im Rahmen der Umsetzung der Digitale-Dienste-Verordnung der EU in das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TDDDG) umbenannt. Der Begriff des „Telemediendienstes“ geht in den Begriff „Digitaler Dienst“ über. Inhaltliche Änderungen sind damit nicht verbunden, sodass die Regelung aus dem ehemaligen § 25 TDDSG sich nun aus § 25 TDDDG ergibt.