Die Cookie-Richtlinie ist das europäische Datenschutzgesetz und gilt auch in Deutschland. Hier ist festgelegt, dass beim Betreten einer Webseite jeder Nutzer dem Einsatz von Cookies aktiv zustimmen oder diese ablehnen muss. Hintergrund ist das Recht auf Privatsphäre, damit von den Seitenbetreibern keine persönlichen Daten gesammelt oder gespeichert werden. Mehr zur Gesetzeslage und zur Umsetzung in Deutschland liest du im Ratgeber.
- Die Datenschutzgrundverordnung (DSGVO) ist im Mai 2018 europaweit in Kraft getreten. Sie enthält viele Vorschriften zur Sammlung und Speicherung von personenbezogen Daten im Internet.
- Besucher einer Webseite müssen ihre Einwilligung geben, bevor Cookies gesetzt werden dürfen. Dies betrifft insbesondere Marketing oder Tracking Cookies. Ein einfacher Hinweis auf die Verwendung der Cookies reicht nicht mehr aus.
- Die e-Privacy-Verordnung ist speziell für den Anwendungsbereich Cookies zuständig und ergänzt die Regelungen in der DSGVO. Die EU-Cookie-Richtlinie setzt sich deshalb aus mehreren Vorschriften zusammen.
Die DSGVO schreibt viele neue Regelungen zum Schutz personenbezogener Daten vor. Dies betrifft Unternehmen, Behörden und auch Betreiber von Webseiten, die sich mit ihrer Dokumentationspflicht auseinandersetzen müssen. Das Thema Cookie wird jedoch in der Verordnung nicht genau angesprochen. Deshalb gibt es ein Urteil des Europäischen Gerichtshofs über die Verwendung von Cookies und die Zustimmung des Nutzers.
Webseitenbetreiber müssen den Besucher nicht nur über die Verwendung von Cookies informieren. Er muss eine aktive und freiwillige Zustimmung erteilen. Vorgeschrieben ist dabei die Opt-In-Variante. Cookies dürfen erst gesetzt werden, wenn die Zustimmung erfolgt ist. Eine Vorauswahl darf nicht getroffen werden. Aufsichtsbehörden prüfen diesen Vorgang und verhängen Bußgelder bei einem entsprechenden Verstoß. Das betrifft auch unklare Designs oder sogenannte Dark Patterns. Nutzern wird hier über eine größere Schaltfläche oder eine farbliche Darstellung die Einwilligung aufgezwungen. Diese Regelungen betreffen nur Cookies zur Analyse oder zur Marktforschung. Sie gelten als nicht technische Cookies und sind für den Betrieb der Webseite nicht notwendig. Schauen wir uns die Cookie-Richtlinie der EU deshalb im Detail an.
In der Cookie Richtlinie 2009/136/EG der EU geht es um den Schutz von personenbezogenen Daten bei dem Besuch einer Webseite. Erstellt wurde diese Richtlinie bereits im Jahr 2009, wobei eine vollständige Umsetzung für das Jahr 2011 angedacht gewesen ist. Der Inhalt dieser Richtlinie sieht vor, den Nutzer beim Betreten einer Webseite über Cookies zu informieren und seine Zustimmung einzufordern. Hier gibt es zwei große Teilbereiche:
- Technisch notwendige Cookies: Nur technisch notwendige Cookies dürfen ohne explizite Einwilligung gesetzt werden. Dabei handelt es sich um sogenannte Session-Cookies, um Log-In-Daten zu speichern, Spracheinstellungen abzurufen oder auch den Warenkorb beim Onlineshopping zu erhalten.
- Technisch nicht notwendige Cookies: Für diese Form der Cookies brauchen Seitenbetreiber immer die Zustimmung der Nutzer. Sie dienen dem Tracking und Marketing und werden zu Analysezwecken genutzt. Auch Social Media Cookies, beispielsweise von Facebook, zählen in diesen Bereich. Die Zustimmung ist in diesem Fall erforderlich, weil personenbezogene Daten gespeichert werden. Das betrifft den Standort des Internetnutzers, die Interesse, Suchanfragen oder das Surfverhalten.
Ein großes Problem an der Cookie-Richtlinie der EU: es gibt keine genauen Vorgaben oder Auflagen, wie die oben genannten Anforderungen auf einer Webseite umzusetzen sind. Das Schriftstück klärt nicht genau, wie das Einverständnis des Nutzers eingeholt werden kann und soll. Es gibt jedoch ein Urteil des EuGH, das die Opt-in-Pflicht für alle Cookies vorschreibt. Auch technisch notwendige Cookies dürfen erst gesetzt werden, wenn der Nutzer seine Wahl getroffen hat.
🇩🇪 TTDSG: Umsetzung in Deutschland
In Deutschland wurde kein eigenes Gesetz zur Verwendung und Nutzung von Cookies veröffentlicht. Das deutsche Telemediengesetz (TMG) erfüllt jedoch nicht alle Punkte aus der Richtlinie. Es wurde deshalb ein neues Gesetz entwickelt, das die EU-Cookie-Richtlinie seit Dezember 2021 in das deutsche Recht überträgt: das Telekommunikations-Telemedien-Datenschutz-Gesetz, TTDSG. Es bündelt alle relevanten Punkte aus den geltenden europäischen Verordnungen und formuliert ein datenschutzrelevantes Gesetz nach deutschem Recht. Selbst die e-Privacy-Richtlinie (2002/58/EG) wurde hier bereits berücksichtigt.
Im TTDSG steht beschrieben, dass die Besucher einer Website der Verwendung von Cookies eindeutig zustimmen müssen. Die Webseitenbetreiber sollten dem Kunden alle nötigen Informationen darüber zur Verfügung stellen und eine entsprechende Auswahl ermöglichen. Diese Auswahl darf nicht beeinflusst sein. Vom Webseitenbetreiber selbst ist der Zugriff auf die Daten des Kunden erst gestattet, wenn dieser konform der Gesetze zugestimmt hat.
🔒 Die e-Privacy Verordnung
Die e-Privacy-Verordnung schließt nicht nur die Verwendung von Cookies mit ein. Auch die digitale Kommunikation per App, Mail oder VoIP wird hier berücksichtigt. Dabei geht es um die M2M-Kommunikation, also zwischen zwei Maschinen. Diese Regelungen sollen greifen, sobald sich eins der Endgeräte innerhalb der EU befindet. In den USA gibt es weniger strenge Richtlinien zum Datenschutz. Deshalb müssen sich amerikanische Unternehmen genau überlegen, wie sie mit dem Thema der zielgerichteten Werbung und dem Setzen von Cookies umgehen.
Im ersten Entwurf der e-Privacy-Verordnung ist beispielsweise festgelegt, dass ein Browser auf höchster Sicherheitsstufe laufen soll. In dieser Privatsphäre-Einstellung akzeptiert der Browser generell keine Cookies von Dritten. Die meisten Banner würden entfallen und das „Privacy by Design“ Prinzip würde unterstützt werden. Allerdings lockerte ein neuer Entwurf diese Einstellung, sodass Nutzer selbst über die Verwendung von Cookies entscheiden müssen und vorab informiert werden.
Die Rechtslage ist innerhalb der EU noch nicht eindeutig festgeschrieben und fertig entwickelt. Es kann immer wieder Anpassungen geben. Das betrifft vor allem die ePrivacy-Verordnung, die vieles vereinfachen soll. Bis dahin gilt die Datenschutz-Grundverordnung der EU. Doch auch hier müssen Webseitenbetreiber aufpassen, wenn sie etwa Waren in das EU-Ausland verkaufen oder Nutzer aus anderen Ländern ansprechen. Die gesetzlichen Regelungen in den Zielländern könnte strenger ausgelegt sein.
🌍 Drittländer außerhalb der EU
Werden personenbezogene Daten in Drittländer übertragen, außerhalb der EU, kann es sich auch mit der Zustimmung des Nutzers um ein unzulässiges verfahren handeln. Die Verwendung von Google Analytics fällt zum Beispiel in diesen Bereich, da es noch kein geregeltes Abkommen mit den USA gibt. Das Privacy Shield sollte einen Rahmen dafür geben, wurde aber vom Europäischen Gerichtshof wieder gekippt. Eine entsprechende Fassung ist jedoch noch nicht überarbeitet worden. Sollten sich hier neue Informationen ergeben, werden wir dich an dieser Stelle natürlich informieren.