Der Cookie-Hinweis ist für jede Webseite Pflicht – richtig? Matic Štojs Lomovšek / Fotolia

18. April 2019, 20:56 Uhr

Darf ich eigent­lich? Der Cookie-Hinweis ist für jede Webseite Pflicht – richtig?

Cookie-Hinweis – ja oder nein? Diese Frage sorgt bei vielen Betreibern einer Webseite für Unsicherheit. Besonders heiß diskutiert wird das Thema, seit die europäische Datenschutzgrundverordnung (DSGVO) in kraft ist. Aber ist die ganze Aufregung überhaupt gerechtfertigt?

Wir helfen dir auch bei Ärger mit deinem Internetanbieter. >>

Was sind Cookies?

Einfach gesagt ist ein Cookie – auch HTTP-Cookie, Web-Cookie, Internet-Cookie oder Browser-Cookie genannt – ein kleines Programm, mit dem Internetseiten (beziehungsweise deren Betreiber) Nutzer identifizieren und bei jedem Besuch wiedererkennen sowie ihre Aktivitäten dokumentieren. Das hat im Wesentlichen zwei Vorteile:

  • Die Nutzer müssen nicht bei jedem Aufrufen der Seite ihre Daten eingeben und sich anmelden.
  • Die Betreiber, bei­spiels­wei­se Online-Shops, können anhand der Cookies Besu­cher­pro­fi­le erstellen und diese bei­spiels­wei­se für Mar­ke­ting­zwe­cke verwenden oder Kunden das anzeigen, was sie am meisten inter­es­siert.

Was hat die DSGVO damit zu tun?

Weil Cookies je nach Zweck personenbezogene Daten speichern, analysieren und weiterverarbeiten oder an Dritte leiten, stehen sie in der Diskussion. Deshalb sind "Cookie-Richtlinie" oder "Cookie-Hinweis" zwei Begriffe, die spätestens ab dem 25. Mai 2018 fast jeder Betreiber einer Internetseite kennt.

Der Grund: Nach einer zweijährigen Schonfrist wurde damals die europäische Datenschutzgrundverordnung (DSGVO) in bindendes Recht umgesetzt. Mit ihr gelten strengere Regeln für den Umgang mit personenbezogenen Daten, und es drohen bei Verstößen Bußgelder und Sanktionen.

Das sorgte für viel Wirbel und Unsicherheiten. Auch beim Thema Cookies. Wer sie nutzt, soll einen Cookie-Hinweis samt Widerspruchsmöglichkeit auf seiner Internetseite platzieren. Allerdings ging in der öffentlichen Debatte offenbar einiges durcheinander, denn die DSGVO sagt im Grunde wenig über die Handhabung von Cookie-Hinweisen aus. Sie hat eher Konsequenzen für die Datenschutzerklärung auf einer Internetseite.

Viel wichtiger für Cookies als die DSGVO ist die europäische ePrivacy-Verordnung. Doch die gibt es noch gar nicht. Sie wird nach aktuellem Stand 2020 eingeführt. Mit ihrer rechtsverbindlichen Anwendung ist – wie bei der DSGVO – erst nach einer zweijährigen Übergangszeit zu rechnen und damit frühestens 2022.

Also viel Lärm um nichts?

Nicht ganz, denn es gibt tatsächlich bereits eine europaweit geltende Bestimmung: die EU-Richtlinie 2009/136/EG vom 25. November 2009, auch Cookie-Richtlinie genannt. Sie verfügt, dass Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung ihrer Daten zustimmen müssen. Diese Regelung sollte spätestens im Jahr 2011 in allen EU-Mitgliedsstaaten geltendes Recht sein. Ist sie aber nicht.

Auch Deutschland hat die Cookie-Richtlinie nicht umgesetzt. Die Bundesregierung hat stattdessen auf das bestehende deutsche Telemediengesetz verwiesen.  Dort heißt es in § 15 Abs. 3 TMG: "Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen."

Eine ausdrückliche und aktive Zustimmung der Nutzer ist damit nicht erforderlich. Stattdessen genügt beispielsweise ein simpler Cookie-Hinweis, der auf die Datenschutzerklärung mit weiteren Informationen zum Widerrufsrecht führt.

Mann sitzt vor dem Laptop

© Elnur, Fotolia

Cookie-Hinweis: Pflicht oder nicht?

Das ist angesichts der uneinheitlichen Rechtslage schwer zu sagen. Cookie-Hinweis: eher Pflicht. Widerspruchsmöglichkeit: eher keine Pflicht.

Die sicherste Lösung: Du solltest Cookies nur einsetzen, wenn du die Nutzer darüber informierst und diese sich mit der Verwendung der Daten einverstanden erklären (im Folgenden "Variante 1"). Auch, wenn es beispielsweise "nur" um eine Vereinshomepage geht. In der Praxis kommen aber auch andere Verfahren ("Variante 2" und "Variante 3") zum Einsatz – mit jeweils unterschiedlich hohen  rechtlichen Risiken.

Variante 1: Ein­wil­li­gung der Nutzer

In diesem Fall wird beim ersten Aufruf deiner Internetseite ein Cookie-Hinweis in Form eines eingeblendeten Banners, Pop-up-Fensters oder einer eigenen Seite angezeigt. Über Schaltflächen können die Nutzer darüber per Klick die Verwendung von Cookies zulassen oder ablehnen. Außerdem führt ein Link des Banners zu deiner Datenschutzerklärung.

Das rechtliche Risiko ist in diesem Fall gleich null.

Variante 2:  Hinweis auf Cookie-Nutzung

Mehr Informationen zum Thema Rechtsschutz

Hier informiert beim ersten Aufruf deiner Internetseite ein Hinweis auf die Verwendung von Cookies. Die Besucher müssen diese Information – auch über ihr Widerrufsrecht – lediglich zur Kenntnis nehmen. Eine explizite Einwilligung ist nicht erforderlich.

Das rechtliche Risiko ist in diesem Fall eher gering.

Variante 3: Kein Cookie-Hinweis

Bei dieser Variante sparst du dir den Cookie-Hinweis komplett. Stattdessen wartest du ab, wie sich die weitere rechtliche Regelung entwickelt. Möglicherweise kommt es bis zu einer klaren Entscheidung hier nicht zu juristischen Verfahren.

Das rechtliche Risiko ist in diesem Fall mittelgroß.

Das gehört in die Daten­schutz­er­klä­rung

Unabhängig davon, ob und wie du die Besucher deiner Homepage über eingesetzte Cookies unterrichtest, musst du in deiner Datenschutzerklärung auf die Verwendung hinweisen.

Abgesehen von anderen notwendigen Aspekten solltest du darin detailliert und in verständlicher Weise über deine Praxis mit den Cookies informieren:

  • welche Art von Daten sie sammeln,
  • welchem Zweck sie dienen,
  • wie lange sie gespei­chert bleiben,
  • an wen du sie gege­be­nen­falls wei­ter­lei­test,
  • und wie sich die Ein­wil­li­gung zur Spei­che­rung der Daten zurück­neh­men lässt.
FAZIT
  • Den Umgang mit Cookies regelt in Deutsch­land am ehesten das Tele­me­di­en­ge­setz.
  • Das geringste recht­li­che Risiko besteht bei einem Cookie-Hinweis inklusive Wider­spruchs­mög­lich­keit für die Nutzer.
  • Wichtig sind vor allem Angaben zu Cookies in der Daten­schutz­er­klä­rung gemäß den Anfor­de­run­gen der DSGVO.

Bitte lesen Sie zu dem Inhalt auch unsere Rechtshinweise.

So einfach ist Rechts­schutz

Ein Rechtsstreit, ganz gleich in welchem Bereich, kommt oft unverhofft. Darum hat ADVOCARD mit dem 360°-Rechtsschutz einen besonders leistungsstarken Rundumschutz geschaffen.

Mehr erfahren

Mediation

Vertragen statt klagen: mit Mediation rechtliche Konflikte ohne Gerichts­ver­fahren lösen.

Strei­tatlas

Streit in Berlin? Zoff in München? Der interaktive Atlas zeigt, wo die deutschen Streithähne leben.

ADVOCARD-Service

Kompetente Beratung und professionelle Unterstützung rund um die Uhr.