Unter welchen Umständen ist der Einsatz von Cookies zulässig und welche Anforderungen haben Webseitenbetreiber zu beachten?

Cookies
Cookies sind Datensätze, die beim Besuch von Webseiten und bei der Nutzung von Apps auf dem Endgerät abgelegt und von diesem wieder ausgelesen werden können. In Cookies können beliebige Informationen gespeichert werden und sie können verschiedenen Zwecken dienen. Manche Cookies sind notwendig, um Webseiten korrekt darzustellen, andere Cookies dienen dem Zweck, die Nutzerinnen und Nutzer wiederzuerkennen und weitere Informationen über sie zu sammeln. Diese Informationen können bspw. verwendet werden, um Nutzenden individuell passende Werbung auszuspielen.

Die Frage, wann und wie eine Einwilligung für die Verarbeitung von Daten der Internetnutzenden durch Cookies notwendig und wann eine Datenerhebung ohne Einwilligung zulässig ist, beschäftigt viele Internetseitenbetreiber.

Zulässigkeit von Cookies
Mit Inkrafttreten des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) am 1. Dezember 2021 ist durch dessen §25 TTDSG der Art. 5 Abs. 3 der ePrivacy-Richtlinie vom deutschen Gesetzgeber umgesetzt worden. Datenschutzvorschriften für Telekommunikations- und Telemediendienste sind nun gebündelt im TTDSG zu finden.

§ 25 Abs. 1 Satz 1 TTDSG regelt ausdrücklich, dass die Speicherung von Informationen in Endeinrichtungen von Endnutzenden oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, nur zulässig ist, wenn die Endnutzenden auf der Grundlage von klaren und umfassenden Informationen eingewilligt haben.

Der Anwendungsbereich des § 25 Abs. 1 Satz 1 TTDSG betrifft insbesondere das Setzen und Auslesen von Cookies, aber auch den Einsatz aller übrigen technischen Mechanismen, die Informationen in Endgeräten speichern oder aus diesen auslesen. Im Gegensatz zu den datenschutzrechtlichen Vorschriften der DS-GVO gilt § 25 TTDSG unabhängig davon, ob ein Personenbezug der Informationen besteht oder nicht.

Ausnahmen vom Erfordernis der Einwilligung bestehen gemäß §25 Abs. 2 Satz 2 TTDSG nur für das Speichern oder Auslesen von Informationen, die zwingend erforderlich sind, um einen von den Nutzerinnen und Nutzern ausdrücklich gewünschten Telemediendienst technisch bereitzustellen. Inwiefern der Dienst gewünscht ist, ist anhand objektiver Kriterien zu prüfen. Dabei genügt das bloße Aufrufen der Website noch nicht, um davon auszugehen, dass das gesamte Webseitenangebot inklusive aller eingebetteten Funktionen gewünscht ist. Ohne Einwilligung dürfen auch technisch erforderliche Cookies erst dann gesetzt und ausgelesen werden, wenn sie erforderlich werden und nur solange sie erforderlich sind. D.h. der Zugriff ist in zeitlicher und inhaltlicher Hinsicht auf ein Minimum zu reduzieren.

§ 25 Abs. 1 Satz 1 TTDSG ist nicht die einzige Rechtsgrundlage, die für eine wirksame Einwilligung hinsichtlich der Verarbeitung von Nutzungsdaten zu beachten ist. Beim Betrieb von Telemedien sind zwei Schritte zu unterscheiden. Die Rechtmäßigkeit der erteilten Einwilligung richtet sich (1.) bei der Speicherung von und dem Zugriff auf Informationen in der Endeinrichtung nach § 25 Abs. 1 Satz 1 TTDSG. Bei (2.) der Weiterverarbeitung dieser Daten (z.B. Profilbildung und Werbeeinblendung) richtet sich die Rechtmäßigkeit der erteilten Einwilligung hingegen nach Art. 6 Abs. 1 Satz 1 lit. a DS-GVO.

In der Regel schließen sich beide Schritte bei Telemedien aneinander an, sodass zwei Einwilligungen nötig sind. Es ist grundsätzlich möglich, dass beide Einwilligungen durch dieselbe Handlung der Besucherinnen und Besucher einer Webseite erteilt werden (z.B. durch ein Einwilligungsbanner). Voraussetzung hierfür ist, dass bereits an dieser Stelle über alle Zwecke der Datenverarbeitung informiert wird und eindeutig erkennbar ist, dass es sich um mehrere Einwilligungen handelt.

Ist eine Einwilligung nach den dargestellten Vorschriften notwendig, so ist eine Datenverarbeitung ohne wirksame Einwilligung rechtswidrig und kann von den Aufsichtsbehörden untersagt oder auch mit Bußgeldern geahndet werden.

Anforderungen an eine wirksame Einwilligung gem. § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO

Hinsichtlich der Anforderungen an eine Einwilligung verweist § 25 Abs.1 Satz 2 TTDSG auf die Regelungen der DS-GVO.

Demnach ist eine Einwilligung nur dann wirksam, wenn die Nutzerinnen und Nutzer sie aktiv erteilen. Eine wirksame Einwilligung liegt daher nicht vor, wenn die Felder der Einwilligungserklärung z.B. in einem Einwilligungsbanner schon vorab angekreuzt sind oder die Einwilligung einfach wegen „Weitersurfens“ unterstellt wird. Eine „Opt-out“-Lösung, bei der die Nutzerinnen und Nutzer der Verarbeitung aktiv widersprechen müssen, erfüllt die Anforderungen nicht und führt zu rechtswidrigen Verarbeitungen.

Die Einwilligung muss erfolgt sein, bevor der einwilligungsbedürftige Zugriff auf die Endeinrichtung erfolgt, vorher dürfen keine Cookies gesetzt werden (mit Ausnahme technisch zwingend erforderlicher Cookies).

Wirksame Einwilligungen können nur unter Einhaltung der Grundsätze der Transparenz und von Treu und Glauben (Art. 5 Abs.1 lit. a DS-GVO) erlangt werden und müssen auf freien, unmissverständlich und aktiv zum Ausdruck gekommenen Entscheidungen der betroffenen Personen beruhen. An der Freiwilligkeit fehlt es insbesondere dann, wenn keine gleichwertige Möglichkeit zum Ablehnen der Einwilligung angeboten wird. Wird also auf der ersten Ebene eines Einwilligungsbanners eine Möglichkeit zum „Akzeptieren“ angeboten, muss ebenso auf erster Ebene eine Möglichkeit zum „Ablehnen“ angeboten werden. Diese darf nicht weniger hervorgehoben sein und muss ebenso schnell und unkompliziert zum gewünschten Ergebnis führen wie beim „Akzeptieren“.

General- oder Blankoeinwilligungen reichen nicht aus. Vor dem Erteilen der Einwilligungen muss den Nutzenden durch verständliche Darstellung der Inhalt und die Tragweite der Einwilligung klar werden, also insbesondere betroffene Daten, Umfang, Dauer und Zweck der Verarbeitung sowie deren Weitergabe an Dritte.

Die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien v 1. Dezember 2021 (OH Telemedien 2021) enthält detaillierte Hinweise für die Gestaltung von Einwilligungsbannern und Einwilligungsmanagement-Systemen.