Das Wichtigste in Kürze: Cookie-Richtlinie in der EU
Die EU-Cookie-Richtlinie schreibt vor, dass Besucher von Websites vor der Nutzung von Cookies deren Verwendung zustimmen müssen. Dies gilt zumindest für technisch nicht erforderliche Cookies. Erst nach informierter, aktiver und freiwilliger Einwilligung dürfen Website-Betreiber dann Cookies setzen und somit Daten erheben. Dies bewerkstelligen die Betreiber z. B. über Cookie-Banner und umfassende Consent-Management-Systeme.
Im Grunde jeden Website-Betreiber, der auf seiner Website Cookies einsetzt. Ausgenommen von der Einwilligungspflicht sind in der Regel First-Party-Cookies, die zum technischen Betrieb der Website unbedingt erforderlich sind.
Derzeit gibt es kein eigenes Gesetz, das die E-Privacy-Richtlinie der EU in ein nationales Gesetz überträgt. Als Grundlage für den Einsatz von Cookies dienen jedoch das Telekommunikations-Telemedien-Datenschutz-Gesetz sowie die DSGVO.
„Diese Website verwendet Cookies“: Zu den Vorschriften der E-Privacy-Richtlinie
Inhaltsverzeichnis
Die Datenschutzgrundverordnung (DSGVO) hat in der Europäischen Union zu einer Vielzahl neuer Regelungen zum Schutze personenbezogener Daten geführt. Für Behörden, Unternehmen und Webseitenbetreiber gingen diese unter anderem mit zahlreichen neuen Dokumentationspflichten einher. Im Zuge der Umsetzung der DSGVO sollte zeitgleich auch die neue ePrivacy-Verordnung als Ersatz für die Cookie-Richtlinie in Kraft treten. Allerdings liegen die Weiterentwicklung und Umsetzung der Verordnung derzeit auf Eis. Die Cookie-Richtlinie ist somit weiterhin maßgeblicher Leitfaden für die Anwendung von Cookies auf Websites. Doch was schreibt diese aktuell vor?
Unterschieden wird in der Cookie-Richtlinie grundsätzlich zwischen technisch notwendigen und technisch nicht notwendigen Cookies. Ausgehend von dieser Klassifizierung besteht für Website-Betreiber mitunter die Pflicht, die Einwilligung der Besucher einzuholen, bevor Cookies gesetzt und somit Daten der Nutzer erfasst und gespeichert werden.
- technisch notwendige Cookies: Hierunter fallen Cookies, die für einen funktionierenden Betrieb einer Website erforderlich sind. Dies kann unter anderem Log-in-Daten meinen oder aber Cookies, die der Speicherung eines Warenkorbes erforderlich sind. Einer eindeutigen Einwilligung in diese notwendigen Cookies bedarf es nach Cookie-Richtlinie nicht. Die erforderlichen Infos dürfen somit auch bereits zu Beginn des Besuchs der Website gespeichert werden. Über eine Opt-out-Lösung können die Nutzer nachträglich der Verwendung widersprechen.
- technisch nicht notwendige Cookies: Hierbei kann es sich zum Beispiel um Tracking- oder Analyse-Cookies handeln, über die Website-Betreiber zum Beispiel Standortdaten, Besuchszeiten und Trafficzahlen erfassen und auswerten können. Auch Cookies, die der Personalisierung von Werbung dienen oder die bei der Einbindung von Tools durch Drittanbieter (Third-Party-Cookies) gesetzt werden, fallen hierunter. Für technisch nicht erforderliche Cookies besteht laut EU-Richtlinie die Pflicht, eine Opt-in-Lösung zu setzen. Das bedeutet: Die Besucher müssen der Datenspeicherung durch die jeweiligen Cookies eindeutig zustimmen, bevor die Cookies gesetzt werden.
Wichtig! Die Einwilligung des Nutzers muss nach einem BGH-Urteil vom 28.05.2020 (Aktenzeichen I ZR 7/16) müssen Website-Betreiber sicherstellen, dass der Nutzer seine Einwilligung aktiv, freiwillig und nach vorheriger umfassender Information treffen kann. Die Vorabauswahl für technisch nicht notwendige Cookies in der Auswahlliste ist unzulässig. Da der Besucher in diesem Fall zunächst aktiv einzelne Cookies abwählen müsste, handelte es sich um eine Opt-out-Lösung. Vorgeschrieben sei jedoch die Opt-in-Variante.
Umsetzung der EU-Cookie-Richtlinie in Deutschland: Keine eigene gesetzliche Grundlage
In Deutschland gibt es bislang kein eigenes Gesetz, das die EU-Cookie-Richtlinie umsetzt. Stattdessen verwies die Bundesregierung stets auf das Telemediengesetz (TMG). Mit Inkrafttreten des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) im Dezember 2021 wurden zahlreiche Grundlagen zum Datenschutz aus der Cookie-Richtlinie und anderen zusammengefasst und in deutsches Recht übertragen.
Es sieht ebenfalls eindeutig vor, dass Nutzer der Verwendung von Cookies zuvor eindeutig zustimmen müssen. Der Website-Betreiber muss den Nutzern für eine fundierte Entscheidung sämtliche Informationen über die Datenspeicherung zur Verfügung stellen.
Mehr zum TTDSG und dessen Auswirkungen für Website-Betreiber sehen Sie in diesem Video:
Wichtig: Die Übertragung von personenbezogenen Daten in Drittländer (außerhalb der EU) ist selbst mit Zustimmung mitunter unzulässig. So ist zum Beispiel die Verwendung von Google Analytics derzeit nach Auffassung der Datenschutzbeauftragten des Bundes und der Länder nicht gestattet. Diese Lücke sollte durch das Privacy Shield geschlossen werden. Dieses Abkommen mit den USA hatte der EuGH jedoch am 16. Juni 2020 gekippt. Eine überarbeitete Fassung – der neue Datenschutzrahmen Privacy Shield 2.0 – trat am 10. Juli 2023 in Kraft.
Ich finde keine Antwort auf ausnahmslose Ablehnung aller Coockies bei dem Besuch von Webseiten.
Gibt es eine gesetzliche Grundlage, wonach ich jegliche Cookies ablehnen kann und ist der Webseiten-Besitzer verpflichtet, die Schaltfläche „alle ablehnen“ zu führen. Wenn ja, wie kann der Webseiten-Besitzer dazu verpflichtet werden?