Jetzt Mitglied werden!
eRecht24.de

Cookie-Hinweis, Cookie-Consent, Cookie-Banner

Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(330 Bewertungen, 4.29 von 5)

Das Wichtigste in Kürze

  • Wenn Sie Cookies setzen möchten, müssen Sie eine Cookie-Einwilligung einholen, wenn es keine technisch notwendigen Cookies sind.
  • Es dürfen erst dann Daten übertragen werden, wenn der Nutzer seine Einwilligung erteilt hat.
  • Auf der sicheren Seite und DSGVO-konform sind Sie, wenn Sie eine echte Einwilligung per Cookie Consent Tool einholen.
Ich möchte mich ausführlich informieren Ich brauche eine praktische Lösung für Cookies

Worum geht's?

Viele Website-Betreiber konfrontieren ihre Webseitenbesucher mit einem Cookie-Hinweis oder einem Cookie Banner. So einfach ist das Thema "Cookies auf Webseiten" aber leider nicht umzusetzen. Brauchen Webseitenbetreiber überhaupt einen Cookie Hinweis laut DSGVO und wo liegt der Unterschied zu einer Einwilligung? Ist eine Einwilligung für alle Cookies nötig? Welche Rolle spielt das neue TTDSG dabei? Was ist ein Consent Tool? Brauche ich zusätzlich zum DSGVO-konformen Cookie Banner noch einen Hinweis in der Datenschutzerklärung? Und wie genau sollte der Text für die Cookie Warnung aussehen, damit er dsgvo-konform ist?

 

1. Was sind Cookies?

Direkt aus dem Englischen übersetzt bedeutet „Cookie“ zu Deutsch „Plätzchen“. Cookies sind kleine Textdateien bzw. Datenpakete, die von Browsern und Webseiten erzeugt werden. Fast alle Webseiten verwenden Cookies. Diese sind dazu da, dass Unternehmen ihre Nutzer wiedererkennen und ihnen das Surfen auf einer Website erleichtern, etwa dadurch, dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Website-Besucher bereits gekauft hat.

Technisch notwendige Cookies und technisch nicht notwendige Cookies

Hierbei gilt es zwischen technisch notwendigen und technisch nicht notwendigen Cookies zu unterscheiden. Die notwendigen Cookies sind vor allem für das Funktionieren der Website zuständig. Dazu zählen z. B. Session Cookies, die nur für eine bestimmte Zeit im Browser gespeichert werden. Aber auch Cookies, die z. B. die Einstellungen zu Cookie-Bannern speichern zählen dazu.

Technisch nicht notwenige Cookies speichern vor allem das Internetverhalten von Usern über einen längeren Zeitraum. Sie sind für die Nutzung der Webseite nicht notwendig. Damit sie gesetzt werden dürfen, muss der Nutzung vom Verbraucher aktiv zugestimmt werden.

2. Cookie Hinweis, Cookie Banner, Cookie Warnung: Wo ist da der Unterschied?

Es existieren sehr viele verschiedene Bezeichnungen zur Problematik "Cookie Hinweis", gesetzliche Grundlagen und Darstellung in der Datenschutzerklärung. Zeit für eine kurze Klarstellung der Rechtslage und Begrifflichkeiten:

Cookie Hinweis:

Alternative Bezeichnungen: Cookie Banner, Cookie Warnung, Cookie Pop Up, Cookie Meldung

Mit dem Cookie-Hinweis ist der Text gemeint, den Nutzer beim erstmaligen Aufruf einer Seite entweder oben oder unten auf der Seite angezeigt bekommen. Also genau der Text, den 99% aller Internetnutzer sofort „bestätigen“ bzw. besser wegklicken.

Datenschutzerklärung (mit Cookie Hinweis):

Alternative Bezeichnungen: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweise für Webseiten

Damit ist die eigentliche Datenschutzerklärung einer Webseite gemeint. Unabhängig davon, ob Sie auf Ihrer Seite einen Cookie Hinweis einbinden oder nicht, sollte jede Datenschutzerklärung einen Passus zu Cookies enthalten: Dieser erklärt, welche Cookies Sie einsetzen und was diese tun.

Sie benötigen also für viele Cookies eine echte Einwilligung des Nutzers/ein Consent Tool. Zusätzlich müssen Sie DSGVO-konform über die Verwendung von Cookies in Ihrer Datenschutzerklärung informieren.

Praxis-Tipp:

Nutzen Sie für den DSGVO-konformen Cookie-Hinweis-Text unseren Datenschutz-Generator bei eRecht24 Premium.

3. Die verschiedenen Cookie-Richtlinien

Den rechtlichen Umgang regelt in der EU die so genannte "Cookie-Richtlinie". Zur Erklärung: Eine EU-Richtlinie ist nicht automatisch "Gesetz", sondern muss von den EU-Ländern umgesetzt werden.

Die EU-Kommission hatte erklärt, dass die Cookie-Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf "Ja, ich stimme zu"), sondern nur einen Cookie-Hinweis auf das Widerspruchsrecht vorsehen.

Der Punkt ist aktuell noch in § 15 Abs.3 Telemediengesetz (TMG) geregelt. Im Zusammenhang mit den aktuellen Urteilen des BGH ist § 15 TMG aber so zu lesen, dass aktuell hier eine Einwilligung bzw. ein Opt-In-Verfahren erforderlich ist. 

Die DSGVO, ePrivacy-Verordnung und Rechtsprechung

Seit Mai 2018 gilt allerdings die Datenschutzgrundverordnung (DSGVO). Alle Website-Eigentümer und Unternehmen, die Cookies nutzen, müssen seit Mai 2018 Ihre Datenschutzerklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.

Die Datenschutzgrundverordnung (DSGVO) regelt aber die Probleme "Tracking und Cookies" nicht ausdrücklich. Das sollte die ePrivacy-Verordnung tun, die zeitgleich mit der DSGVO in Kraft treten sollte. Nach mehrmaligem Verschieben soll die ePrivacy Verordnung nicht vor 2023 in Kraft treten. Eine Übergangsfrist würde dann voraussichtlich bis 2025 gelten.

Webseitenbetreiber orientieren sich aktuell an dem, was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz vorgeben und was der EuGH und in der Folge der BGH im Jahr 2020 dazu entschieden haben: In dem verhandelten Fall hatten Verbraucherzentralen den Anbieter Planet49 abgemahnt, weil er über eine schon vorangekreuzte Checkbox die „echte Einwilligung“ seiner Besucher einholen wollte.

Der EuGH und abschließend auch der BGH (I ZR 7/16) haben entschieden: Ein „Surfen Sie ruhig weiter“ Banner ohne direkte Zustimmung (zum Beispiel ein Klick auf OK) oder eine schon ausgewählte Checkbox reichen nicht aus. Der Website-Besucher muss selbst aktiv zustimmen.

Schluss mit der Unklarheit: das TTDSG

Aufräumen mit Nebeneinander von DSGVO, Cookie-Richtlinie, TMG und TKG – das ist das Ziel des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). Hierzu werden die datenschutzrechtlichen Vorschriften aus TMG und TKG zusammengeführt und an die Vorgaben der Cookie-Richtlinie angepasst. Die entsprechenden Regeln in TMG und TKG entfallen.

Am 1.12.2021 trat das Gesetz in Kraft. Jetzt ist gesetzlich festgeschrieben:

Wenn Sie Cookies (oder vergleichbare Informationen) setzen möchten, brauchen Sie eine echte und informierte Einwilligung des Nutzers.

Ausnahmen:

  • technisch zwingend notwendige Cookies
  • Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Damit steht nun auch endgültig fest: Ein Cookie Banner bzw. Cookie Hinweis ist Pflicht. 

4. Was können Webseitenbetreiber bezüglich der Cookie-Hinweis-Pflicht tun?

Auf der sicheren Seite sind Sie, wenn Sie für Cookies und Tracking Tools auf Ihrer Webseite eine echte Einwilligung einholen. Dafür gibt es die sogenannten Cookie Consent bzw. Consent Management Tools. An dieser Cookie Hinweis Pflicht kommen Sie nicht vorbei.

Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten und Informationen gegebenenfalls weitergegeben werden.

Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen. Er muss ausdrücklich bestätigen, dass er zustimmt.

Übrigens: Das TTDSG sieht in § 26 vor, dass Nutzer künftig über sog. PIMS (Personal Information Management Service) ihre Einwilligung zentral für alle besuchten Webseiten erteilen können. Für diese PIMS soll es ein Anerkennungsverfahren geben. Wie sich das auf Cookie Consent Tools auswirken wird, ist noch unklar. Bis PIMS an den Start gehen können, sind allerdings noch viele Schritte erforderlich. Trotz erstem Entwurf der Bundesregierung für eine Einwilligungsverwaltungs-Verordnung (EinwVO), steht ein Inkrafttreten noch in den Sternen.

5. Was ist ein Consent Tool?

Mit einem Consent Tool können Webseitenbetreiber mit einem Klick die Einwilligung der Nutzer zur Verwendung ihrer persönlichen Daten einholen. Damit legen Sie fest, welche personenbezogene Daten gespeichert und verarbeitet werden. Sie geben den Nutzern die Möglichkeit, die erteilten Einwilligungen zu verwalten und zu widerrufen.

Aber Achtung:

Um hier auf der sicheren Seite zu sein, müssen Sie Ihr Cookie Consent Tool selbst konfigurieren. Sonst laufen Sie Gefahr, dass ein einwilligungspflichtiges Tool eventuell vom Cookie Consent Anbieter unter "nicht einwilligungsbedürftig" eingestuft wird. Ob eine Einwilligung erforderlich ist, richtet sich danach, ob es sich um essenzielle oder nicht-essenzielle Cookies handelt. Details sowie eine Liste, auf denen wir die einzelnen Tools für Sie in die jeweilige Kategorie einsortiert haben, finden Sie in unserem Artikel "Einwilligung und Cookie Banner: Was sind essenzielle Cookies?". 

Und ganz wichtig:  Vor der Zustimmung des Webseiten-Besuchers dürfen noch keine Daten übertragen werden.

Risiko: Keins

Es gibt unzählige Anbieter von Cookie Consent Tools, um eine Einwilligung der Nutzer auf Webseiten einholen. Am wir wollen Ihnen hier eine Auswahl der am Markt erhältlichen Tools präsentieren:

Cookie Consent mit Usercentrics

Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Cookie Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.

Die Lösung von Usercentrics ist ohne Zusatzkosten in eRecht24 Premium enthalten. Inklusive sind 20.000 Sessions pro Website im Monat. Die Lösung deckt aktuell mehr als 370 der wichtigsten Tools wie Google Analytics, Facebook Pixel, Google Maps, YouTube, Xing, Twitter und Google Tag Manager ab.

Praxis-Tipp:
Agenturen und Webdesigner können nur bei eRecht24 Premium das Consent Tool von Usercentrics ohne Zusatzkosten auch für die Webseiten Ihrer Kunden nutzen.

Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know-How. Wir haben für die Einbindung des Usercentrics Tools deswegen bei eRecht24 Premium einen eigenen Generator entwickelt.

Cookie Consent mit Borlabs Cookie: Plugin für WordPress

Wenn Sie mit WordPress arbeiten und ein Plugin nutzen wollen, empfehlen wir Borlabs Cookie. Wir haben mit Benjamin Bornschein, dem CEO und Entwickler von Borlabs Cookies, einen Rabatt von bis zu 45% für eRecht24 Premium Nutzer vereinbart. Als Agentur-Mitglied können Sie das Rabatt-Angebot auch für die Webseiten Ihrer Kunden nutzen.

Consent Management Provider (CMP)

Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf WordPress beschränkt. Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/Monat. Für die kostenpflichtige Variante erhalten eRecht24 Premium Nutzer 20% Rabatt.

Weitere Anbieter

Was mache ich, wenn mir keine dieser Lösungen zusagt?

Es gibt natürlich noch zahlreiche andere Anbieter, die alle Vor- und Nachteile haben. Egal ob aus technischen, wirtschaftlichen oder rechtlichen Überlegungen: Wenn Sie keine Lösung auf dem Markt finden, die ihren Ansprüchen gerecht wird, bleibt nur, eine Lösung für Ihre Webseiten und Dienste selbst entwickeln zu lassen.

Der Mittelweg: Info per Cookie Banner

Sie informieren den Nutzer Ihrer Website beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht (Cookie Banner), verzichten aber auf eine vorherige Zustimmung, also auf eine Einwilligung. Der Nutzer muss hier also nicht klicken und bestätigen.

Risiko: Sehr hoch, denn Sie verstoßen damit gegen die Rechtsprechung des EuGH, BGH und das TTDSG, das seit dem 1.12.2021 gilt.

Der risikoreiche Weg: Info nur in der Datenschutzerklärung

Als Website-Betreiber informieren Sie die Nutzer lediglich in der Datenschutzerklärung Ihrer Website. Damit verstoßen Sie aber gegen die aktuellen Aussagen des EuGH, gegen die Vorgaben der Datenschutzbehörden und gegen das TTDG. Und auch immer mehr Unternehmen wie Google verlangen, dass für bestimmte Dienste eine Einwilligung der Nutzer eingeholt wird.

Risiko: Sehr hoch

Wichtig: Sie müssen IMMER einen entsprechenden Passus zu Cookies und dem verwendeten Consent Tool in Ihre Datenschutzerklärung aufnehmen.

Praxis-Tipp:

Unseren kostenlosen DSGVO-konformen Datenschutz-Generator finden Sie bei eRecht24 Premium.

6. Benötigen alle Cookies eine Einwilligung?

Nein, Sie benötigen nicht für sämtliche Cookies eine Zustimmung in Form der Einwilligung der Nutzer Ihrer Website. Laut TTDSG brauchen Sie  die Einwilligung nicht, wenn Sie dem Nutzer Ihren Dienst sonst nicht zur Verfügung stellen können. Sprich: Sie brauchen keine Einwilligung für technisch notwendige Cookies.

Dies entspricht dem, was der EuGH dazu entscheiden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz (DSK) vorgeben. Deren Auffassung ist aktuell:

  1. Nicht für alle Cookies benötigt man eine Einwilligung.
    Session-Cookies, Cookies für Logins oder Warenkörbe, die keine personenbezogene Daten weitergeben (technisch notwendige Cookies), können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.
  2. Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.
    Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann gegebenenfalls mit anderen Daten und Diensten verknüpfen oder teilen.

7. Cookies und Google Ads/Google Analytics

Google Ads

Google hatte schon seit 2015 für AdSense verlangt, den Nutzern einen Hinweis auf die Google-Cookies anzuzeigen. Dazu hat Google "Richtlinie zur Einwilligung der Nutzer in der EU“ online gestellt.

Dort heißt es, Webseitenbetreiber müssen

  1. "wirtschaftlich vertretbare Maßnahmen ergreifen" um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und
  2. eine entsprechende Einwilligung der Nutzer einholen.

Damit ging Google sogar weiter, als viele EU-Datenschutzbehörden es forderten. Allerdings schreibt Google die Einwilligung nur für AdSense und Double Klick vor, nicht hingegen für andere Dienste wie Google Analytics.

Mit der DSGVO und der Bündelung der Dienste als Google Ads hat Google dann seit 2017 geregelt, dass Werbetreibende eine Einwilligung der Nutzer einholen müssen.

Benötigt Google Analytics eine Einwilligung?

Ursprünglich hatte sich Google für Analytics auf eine Lösung verständigt, die DSGVO-konform ist - IP-Anonymisierung, AV-Vertrag, Austragelink für die Nutzer, alte Daten löschen, Darstellung von Analytics in der Datenschutzerklärung. Mehr Infos dazu finden Sie als eRecht24 Premium-Mitglied in unserem Artikel zu Google Analytics .

Zur Erinnerung: Die Datenschutzgrundverordnung (DSGVO) regelt Fragen zu Cookies und Tracking nicht direkt. Fragen zu Cookies und Tracking sollte die ePrivacy-VO regeln. Diese wird frühestens 2023 in Kraft treten. Aber mit dem BGH-Urteil, die durch das Inkrafttreten des TTDSG am 1.12. gesetzlich festgezurrt wurde, ist das Einholen einer Einwilligung für Webtracking ausdrücklich vorgeschrieben.

Das gilt auch, wenn Sie Google Analytics nutzen. Denn Google Analytics ist besonders heikel, weil Google die Daten eben nicht nur dem einen Seitenbetreiber für das Tracking seiner Seitenbesucher zur Verfügung stellt. Vielmehr werden verschiedene Daten auf nicht mehr nachvollziehbare Weise verknüpft und diese Informationen und Daten stehen dann quasi weltweit und für andere Dienste aus dem Google Ads Universum zur Verfügung. Dies hatten die Datenschutzbehörden bereits mit einem Positionspapier in 2019 festgestellt.

Ergebnis: Google Analytics dürfen Sie nur mit echter Einwilligung nutzen.

Und was gilt, wenn ich Google Analytics 4 nutze?

Mittlerweile ist Google Analytics 4 als Beta-Version verfügbar. Hierbei handelt es sich um die Weiterentwicklung und den Nachfolger von Google Universal Analytics. Die wichtigsten Unterschiede zum Vorgänger:

  • Die IP-Adressen werden standardmäßig anonymisiert. Dies kann der Nutzer auch nicht ausschalten.
  • Cookiesloses Tracking: Daten können gesammelt werden, ohne das Cookies oder andere „Identifier“ gesetzt werden.
  • Geräterübergreifendes Tracking: Nutzer können auch dann getrackt werden, wenn sie verschiedene Geräte verwenden
  • Datenkontrolle: Nutzer können Daten besser administrieren, also besser einstellen, ob und wie lange sie einzelne Daten löschen, teilen, aufbewahren wollen.
  • Die Optionen der Fristen für die Datenaufbewahrung sind kürzer als zuvor (2 oder 14 Monate).
Doch was bedeuten diese Anpassungen für den Datenschutz?

Nicht viel. Zwar scheinen einige Funktionen datenschutzrechtlich sicherer: Insbesondere haben die Nutzer einen datenschutzrechtlichen Vorteil, wenn sie die 2-monatige Aufbewahrungsfrist nutzen. Doch insgesamt ändert sich trotzdem kaum etwas. Denn selbst wenn Nutzer cookielos tracken und IP-Adressen anonymisieren: Es ist möglich, dass die Nutzer trotzdem identifiziert werden können.

Grund: Google kann sämtliche Informationen verknüpfen, die über Google Analytics 4 zu einem bestimmten Pseudonym gesammelt werden. Dadurch kann Google eventuell Rückschlüsse auf die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website bzw. App ziehen. Damit könnten auch einzelne Website-/App-Nutzer auch auf anderen Websites und in anderen Apps wiedererkannt werden.

Wichtig: Universal Analytics wird zum 01.06.2023 vollständig eingestellt! Das bedeutet, sollten Sie bis dato Universal Analytics nutzen, empfehlen wir Ihnen jetzt bereits die Umstellung auf Google Analytics 4.

Sie können auch Google Analytics 4 nicht rechtssicher nutzen. Wenn Sie aber auf Google Analytics nicht verzichten wollen, sind Sie in jedem Fall rechtlich am sichersten, wenn Sie eine Einwilligung Ihrer Nutzer einholen. Das gilt auch, wenn Sie sich für „cookieloses Tracking“ entscheiden.

8. „Diese Seite verwendet Cookies“ - Der Text für einen Cookie Hinweis

Für die Formulierung des Textes in einem Cookie Banner gibt es keine gesetzlichen Vorgaben. Auf den meisten Webseiten und Datenschutzerklärungen lautet der Text auf dem Cookie Banner wie folgt:

Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.

Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Wichtig für Tracking und Retargeting: Nach aktueller Rechtsprechung und dem TTDSG reicht so ein bloßer Cookie-Hinweis zumindest für viele Tracking-Cookies aber eben nicht aus. Hier sollte von Webseitenbetreibern eine echte Einwilligung der Seitenbesucher (vorherige Zustimmung) einholen. 

9. Praxis-Tipps zu Cookie Hinweisen

  • Auf Nummer sicher gehen
    Wenn Sie auf Nummer sicher gehen wollen, binden Sie ein Consent Tool mit Einwilligung auf Ihrer Webseite ein.
  • Neue gesetzliche Regelungen
    Holen Sie für Cookies von Drittanbietern, die zu Werbe- und Trackingzwecken eingesetzt werden, eine Einwilligung ein.
  • Datenschutzerklärung nicht vergessen
    Fügen Sie auf jeden Fall immer einen aktuellen DSGVO-konformen Passus zu Cookies in Ihrer Datenschutzerklärung ein.
  • Die korrekte Umsetzung
    Nutzen Sie für die rechtssichere Umsetzung einfach die ohne zusätzliche Kosten in eRecht24 Premium enthaltene Lösung von Usercentrics. Bei eRecht24 Premium beantwortet das Team der Kanzlei Siebert Ihre Fragen und Sie können alle Profi-Datenschutzgeneratoren nutzen.

10. FAQ zu Cookies, ePrivacy-Verordnung & Co.

Was ist die ePrivacy-Verordnung und was hat das mit Cookies zu tun?

Die ePrivacy-Verordnung regelt spezielle Bereiche zum Thema Datenschutz im Internet. Unter anderem sollen dort auch die Themen Cookies und Tracking geregelt werden. 

Wann tritt die ePrivacyVO in Kraft?

Man weiß es leider nicht. Die ePrivacy-VO sollte eigentlich 2018 zeitgleich mit der DSGVO in Kraft treten. Im Moment heißt es, dass sie nicht vor 2023 in Kraft tritt.

Hängen die ePrivacyVO und die DSGVO zusammen?

Die DSGVO regelt die Grundsätze des Datenschutzrechts. Die DSGVO ist so etwas wie der große Rahmen und gilt für alle personenbezogenen Daten, nicht nur im Internet. Die ePrivacy-VO regelt spezielle Bereiche wie den Schutz personenbezogener Daten in der "elektronischen Kommunikation", wie es im Juristendeutsch heißt.

Gibt es unterschiedliche Cookies oder Cookie-Arten?

Ja. So genannte First Party Cookies, die ein Seitenbetreiber selbst setzt, etwa für LogIn Einstellungen oder Warenkörbe. Diese Cookies werden nicht an andere Unternehmen übertragen. Dann gibt es noch Third Party Cookies. Diese Cookies werden von externen Anbietern gesetzt und für Marketing- und Tracking-Zwecke übertragen und ausgewertet.

Was sind „notwendige“ Cookies?

Dabei handelt es sich um technisch notwendige Cookies, die zum Funktionieren einer Seite nötig sind. Zum Beispiel Cookies für Logins auf Webseiten oder für Warenkörbe.

Wie ist mit Affiliate Cookies umzugehen?

Das kommt auf die Daten an, die übertragen werden. Man wird aber davon ausgehen müssen, dass die Diskussion um die Einwilligung des Nutzers bei Tracking Cookies auch Affiliate Cookies betrifft, wenn diese personenbezogene Daten beinhalten.

Wie ist mit Session Cookies umzugehen?

Eigene Session Cookies auf Ihrer Seite sind von dem Urteil nicht betroffen. Das gleiche gilt für Cookies, die der reinen Funktionsweise der Webseite dienen, sogenannte technisch notwendige Cookies

Reichen Cookie Banner weiterhin aus oder muss ich ein Consent-Banner/Consent Tool verwenden?

Ein bloßes Cookie-Hinweis Banner reicht nicht aus. Seitenbetreiber, die Marketing-Cookies zu Werbe- und Trackingzwecken einsetzen, müssen eine Einwilligungslösung über ein Consent Tool einbinden.

Worauf sollte ich bei der Gestaltung der Einwilligung achten?

Der Website-Besucher muss informiert werden, welche Dienste / Tools auf der Webseite laufen. Er muss diese ablehnen können. Die Tools dürfen vor der Zustimmung des Nutzers noch keine Daten übertragen oder Cookies setzen.

Ist es legitim, einen Consent zu erzwingen, indem der User die Cookies akzeptiert oder die Website ansonsten verlassen muss?

Einige europäische Datenschutzbehörden sagen, dass dies nicht erlaubt ist. Der Nutzer muss also auch bei Ablehnung weiter surfen können. Ob sich diese Ansicht auch in Deutschland durchsetzt, können wir leider nicht sagen. Fragen Sie im Zweifel bei Ihrer zuständigen Datenschutzbehörde nach.

Muss ich in der Datenschutzerklärung über alle auf meiner Webseite eingesetzten Cookies informieren?

Ja, zusätzlich zu der Cookie-Einwilligung des Nutzers sollten Sie in Ihrer Datenschutzerklärung auch über den Einsatz der verschiedenen Cookies informieren.

Umfassende Informationen zum Thema "Website rechtssicher gestalten" finden Sie in unserem Artikel "So erstellen Sie 2022 abmahnsichere Webseiten".

Caroline Schmidt
Caroline Schmidt

Caroline Schmidt ist Online-Redakteurin und bei eRecht24 für Content und SEO zuständig. Als Legal Writer kümmert sie sich um die Aktualisierung bestehender Beiträge und bereitet sowohl alte als auch neue Texte verständlich auf. Nach ihrem Studium der Medienbildung konnte sie bereits erste redaktionelle Erfahrung in verschiedenen Rechtsgebieten z. B. Arbeits-, Verkehrs- und Familienrecht sammeln.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Arne Drews
Ich habe mir mal einige Kommentare mehr durchgelesen und möchte dazu mal zwei Dinge anmerken:

1. Die Browserherstell er in die Pflicht zu nehmen, klingt erstmal nach einer guten Idee, ist aber alles andere als wirklich "sicher" umsetzbar. Das erfordert zum ersten, dass der Browser beim Seitenaufruf sämtliche Cookies erkennt, bevor diese gesetzt werden und diese auch entsprechend kennt und zuordnen kann. Das weiß i.d.R. nur der Betreiber der Website. Hinzu kommt, dass nach meiner persönlichen Schätzung über die Hälfte der Benutzer mit Sicherheit keinen aktuellen Stand Ihres Browsers haben. Besuche ich also mit so einem Browser eine Website und es werden nicht alle Cookies erkannt bzw. korrekt zugeordnet, wer hat dann gegen die ePrivacy verstoßen, Betreiber, Benutzer oder Browserherstell er?

2. Vielen sind die Cookie Hinweis- und Consent Tools lästig, auch als Besucher. Ich gehöre ebenfalls dazu! Das sind Ideen und Entscheidungen, die von Menschen getroffen werden, die keinen Plan von der Materie haben. Ähnlich geht es mir bei Impressumsangab en, wo ich auch als privater Betreiber ( denn die Grauzone ist sehr klein ) nur sicher sein kann, dass meine Seite rechtskonform ist, wenn ich meinen vollen Namen, Anschrift und weitere Kontaktmöglichkeit (E-Mail oder Telefon) angebe. Wo ist denn an der Stelle der Datenschutz gegenüber meiner Person?!

Aus meiner Sicht ist der Besucher einer Website verpflichtet sich zu informieren, wenn er eine Seite aufruft. Ein Klick auf die Datenschutzerkl ärung und dort steht alles drin. Schließlich ruft er die Seite freiwillig auf und wird nicht dazu gezwungen!
1
Arne Drews
Ich verwalte Websites, die kein Tracking-/Retargeting-Gedöns brauchen und auch nicht verwenden. Gewöhnliche Server-/Session-Cookies werden natürlich gesetzt, aber alles ohne persönliche Daten.
Wenn ich mir das also alles so durchlese, darf ich davon ausgehen, dass ein Cookie Hinweis mit aufklärendem Text ausreicht?
0
J. S.
Wir haben Matomo anonymisiert, lokal und mit Tracking ohne Cookies auf einer Internetseite eingebunden. Wenn die Internetseite auf Cookies geprüft wird, erscheint nur der SessionID-Cookie von Matomo (wegen des Opt-Out Häckchens auf der Datenschutzseit e). Dürfen wir im Datenschutztext dennoch von „cookielos er Analyse" sprechen? Dies erscheint im Datenschutztext von eRecht24. Wir sind unsicher, da das SessionID ja doch ein Cookie ist? Vielen Dank für eine Antwort.
0
Arne Drews
Wenn es technisch ohne Cookies läuft, dürft ihr das aus meiner Sicht als "cookielos" bezeichnen. Ich würde dabei aber den Sonderfall Matomo zumindest erwähnen und evtl. auf einen speziellen Absatz dazu im Datenschutztext verlinken.
0
Mareike Mohr
Wenn ich nur notwendige Cookies auf der Webseite haben, reicht dann die Kategorie "Essentiell, Notwendig,.." aus? Als Beispiel setzt das Plugin ein Cookie für jede definierte Kategorie (Performance/Analyse,...)im Banner. Da aber keine Analysetools genutzt werden, muss die Kategorie überhaupt genannt werden?
0
webfish
Vielen Dank für den ausführlichen Artikel. Leider bleibt unklar, wie es sich genau bei Webseiten verhält, die ausschließlich Cookies der Kategorie "technisch notwendig" verwenden :

"... Wenn Sie Cookies (oder vergleichbare Informationen) setzen möchten, brauchen Sie eine echte und informierte Einwilligung des Nutzers.
Ausnahmen:
- technisch zwingend notwendige Cookies
- Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliche s Telekommunikati onsnetz dienen.
Damit steht nun auch endgültig fest: Ein Cookie Banner bzw. Cookie Hinweis ist Pflicht. ... "

Für technisch notwendige Cookies muss keine aktive Einwilligung eingeholt werden - braucht es also dennoch ein Banner/Consent-Tool auf der ersten Seite, oder ist es ausreichend, wenn in den Datenschutzhinw eisen sämtliche technisch notwendigen Cookies aufgelistet sind?
2
Arne Drews
Ein Hinweis ist Pflicht, so wie es oben auch geschrieben steht.
Eine Einwilligung ist nicht notwendig, aber der Besucher der Website muss beim Aufruf informiert werden, dass Cookies verwendet werden, idealer Weise mit einem Hinweis, dass die Website die Dienstleistung am Kunden ohne diese Cookies nicht erfüllen kann, also technisch notwendig ist. Ob es benötigt wird oder nicht, bin ich mir auch grad nicht sicher, aber ich würde da zusätzlich einfach einen "Verstanden" Button zupappen und feddich.
0
David Höfgen
Danke Stephan Heller,die Frage habe ich mir auch gestellt. Wieso nutzt eRecht24 kein Cookie Consent Tool? Denn ich bin mir sicher, dass diese Webseite auch Nutzerdaten zu Werbezwecken erhebt.Ich habe das Gefühl, dass mit dem Unwissen und Angst der Nutzer Geld gemacht wird. Selbst die teuren Cookie Consent Anbeiter geben keine Garantie darauf, nicht abgemahnt zu werden. Selbst Fachleute können hierzu keine klare Aussage treffen. Es scheint also egal zu sein, was man macht. Man bleibt im Ungewissen.
17
Gunnar Riese
Peter sagte :
Hallo liebes e-Recht Team, vielen Dank für diesen Ausführlichen Bericht. Ich hätte noch ein Frage: wie verfällt sich die Cookie Thematik auf "geschlossenen" Websiten. Also bspw. einem Webshop, der nur über Login-Daten zu erreichen ist. Wenn dort Cookies verwendet werden, muss der User darüber ebenfalls informiert werden und muss er ebenfalls die Möglichkeite n erhalten der Cookienutzung zuzustimmen
Wenn jemand eine Frage stellt, sollte er das auch durch Fragezeichen verdeutlichen. Sonst antwortet niemand...
-3
dudo
Die Cookie-Hinweise sind nicht nur lästig für Betreiber, sondern auch für die Nutzer. Ich will den Inhalt sehen und lese bestimmt keine störenden Einblendungen, muss sie aber ständig wegklicken. Möchte ich keine Cookies auf meinem Rechner haben, so würde ich das in meinem Browser entsprechend einstellen - ganz einfach.Daher: Ist es eigentlich noch keinem in den Sinn gekommen die Browserherstell er in die Pflicht zu nehmen, statt unzählige Website-Betreiber? Default-Setting auf keine Cookies zB. damit es jeder bewusst erlauben muss. Oder würde das die EU arbeitslos machen oder den Umsatz der juristischen Branche zu sehr schmälern :)
73
Weitere Kommentare anzeigen
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Gericht: Schmerzensgeld wegen Verbreitung von Nacktbildern über WhatsApp
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
Weiterlesen...
Social Media Guidelines: Wie kommunizieren Ihre Mitarbeiter bei Facebook & Co?
Weiterlesen...
Ist Google Analytics unzulässig? Tipps und Lösungsvorschläge
Weiterlesen...
So binden Sie Google Fonts DSGVO-konform auf Ihrer Website ein
Weiterlesen...
Facebook, Google, Foren & Co.: So löschen Sie Ihren Account
Weiterlesen...
Die 6 gängigsten Cookie Consent Tools
Weiterlesen...
Datenschutz: Was jetzt für Kitas und Schulen wichtig ist
Weiterlesen...
Achtung: Hohe DSGVO-Bußgelder verhängt
Weiterlesen...
Webseiten abmahnsicher erstellen: Was Sie über Impressum, Domain, Urheberrecht & Co. wissen müssen
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details