Technisch nicht notwendige Cookies dürfen nur mit Zustimmung des Nutzers gespeichert und ausgelesen werden.
Ein entsprechendes Urteil des europäischen Gerichtshofs hatte im letzten Jahr bereits zu Aufregung und ersten Klagen gegen Webseitenbetreiber geführt. Dieses Urteil wurde nun durch den BGH bestätigt.
Grundlage des Urteils ist Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in der durch die EU-Richtlinie 2009/136/EG überarbeiteten Fassung:
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Die EU-Richtlinie und damit auch dieses Urteil gilt also nicht für jede Form von Cookies.
Daraus ergeben sich zwei Fragen:
Welche Cookies sind unbedingt erforderlich und damit nicht zustimmungspflichtig?
Unbedingt erforderlich sind solche Cookies, ohne die die Funktion der Webseite nicht mehr gegeben ist. Kriterium ist dabei ausschließlich die technische Notwendigkeit, nicht aber wirtschaftliche Interessen. Ob ein Cookie personenbezogene Daten enthält, Tracking oder Profiling bezweckt oder schlicht der Benutzerfreundlichkeit dient, ist dabei nicht relevant. Für alle diese Fälle ist eine Zustimmung einzuholen.
Technisch notwendig und daher nicht zustimmungspflichtig sind:
- technische Session-Cookies, welche nur der korrekten Darstellung und Ausführung von Grundfunktionen der Webseite dienen, wie zum Beispiel Login-Cookies für Social-Media- oder Bestellfunktionen und Warenkorb-Cookies für Webshops. Das gilt insbesondere, wenn die Cookies nach dem Schließen des Browserfensters gelöscht werden.
Sehr wahrscheinlich nicht zustimmungspflichtig sind:
- für die korrekte Funktion der Webseite notwendige funktionelle Cookies wie Sprachauswahl-Cookies bei mehrsprachigen Seiten oder Cookiezustimmungscookies, auch wenn sie nicht notwendig sind. Diese Cookies bleiben auch nach dem Schließen des Browserfensters gespeichert.
Zustimmungspflichtig sind:
- Cookies zu Marketingzwecken, die dazu eingesetzt werden, Nutzerverhalten zu messen und Nutzerprofile zu erstellen. Solche Cookies dienen allein den Interessen des Webseitenbetreibers und müssen abschaltbar sein.
- Funktionelle Cookies für Komfortfunktionen wie Benutzerpräferenzen, voreingestellte Filter, den aktuellen Standort oder letzte Suchbegriffe. Auch diese Cookies ermöglichen teilweise die Erstellung von Benutzerprofilen und können für zielgruppenspezifische Werbung wie Artikelvorschläge eingesetzt werden. Das gilt auch dann, wenn das Cookie nur zur Verbesserung des Bedienkomforts eingesetzt wird. Der Benutzer muss entscheiden können, ob das erwünscht ist oder nicht.
- Cookies für Zusatzfunktionen wie zum Beispiel Adresssuche, auch wenn diese ohne die Cookies nicht funktionsfähig sind. In dem Fall muss der Benutzer wählen können, ob er die Funktion mit den dazugehörigen Cookies verwenden will oder ohne Zustimmung zu den Cookies auch auf die Funktion verzichtet.
Nicht ganz eindeutig ist die Zustimmpflicht bei Cookies zur Verbesserung der Serverleistung. Eine Benutzung der Website ohne diese Cookies ist möglich.
Ob es sich bei den gespeicherten Daten um Cookies handelt oder die Daten in einer anderen Form gespeichert werden ist dabei nicht relevant, da in der EU-Richtlinie allgemein von technischer Speicherung die Rede ist.
In welcher Form muss die Zustimmung erfolgen?
Die Zustimmung muss in jedem Fall aktiv erfolgen. Eine stillschweigende Zustimmung ist nicht ausreichend. In den Urteilen ging es um den Fall einer vorausgewählten Checkbox innerhalb eines zustimmungspflichtigen Cookiebanners. Auch das ist nicht zulässig.
Ein einfaches
“Durch Nutzung unserer Website stimmen Sie der Verwendung von Cookies für Analysen, personalisierte Inhalte und Werbung zu. In unserer Datenschutzerklärung finden Sie Informationen über Cookies und können auch die Einstellungen ändern.”
ist also nicht ausreichend.
Der Nutzer muss aktiv durch Anklicken der Checkbox seine Zustimmung erklären, nachdem er verständlich und umfassend über Inhalt und Zweck der verschiedenen Cookies informiert wurde, und zusätzlich das Speichern selbst bestätigen. Dabei dürfen Cookies erst nach erfolgter Einwilligung überhaupt gesetzt werden.
Das ist nur mit einem umfassenden, individuell generierten Cookie-Einwilligungsbanner möglich.
Eine getrennte Einwilligung für die verschiedenen Cookiearten ist nicht zwingend notwendig aber sinnvoll.