Cookies-Hinweis vs. Cookie-Opt-In

Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter.

Letztes Update: 19.12.2019

Der juristische Hintergrund:
Der EuGH stellte am 1. Oktober 2019 klar, dass für Cookies eine Einwilligung eingeholt werden muss, siehe bit.ly/2YXR9Tq (PDF). Für Ihre Website bedeutet dies: Sie müssen nicht nur ausreichend über die gesetzten Cookies (Anbieter, Art, Funktion und Speicherdauer) informieren, sondern auch eine explizite Zustimmung von Ihren Website-Besuchern einholen.

Noch (Stand 17. Dezember 2019) hat der BGH dazu kein Urteil gesprochen und diese Rechtsauffassung bestätigt. Die Betonung liegt hierbei auf „noch“. Denn es stellt sich weniger die Frage, ob, sondern vielmehr, wann dies geschieht.

Wie sagt der Datenschutzbeauftragte Ihres Bundeslandes?
Schon jetzt betrachten einige Datenschutzbehörden das Cookie Opt-In als verpflichtend und kündigten bereits an, „Verstöße gegen die Datenschutz-Grundverordnung nach pflichtgemäßem Ermessen (zu) verfolgen.“

Prüfen Sie deshalb im ersten Schritt, ob es vom Datenschutzbeauftragten Ihres Bundeslandes ein Statement dazu gibt. Links zu den neuesten Pressemitteilungen der Datenschutzbehörden der Länder finden Sie in einem überaus lesenswerten Artikel von eRecht24.

Sind vorausgewählte Ankreuzkästchen erlaubt?
Noch gehen die Meinung von Rechtsanwälten auseinander, ob voreingestellte Ankreuzkästchen im Cookie-Banner vertretbar sind. Während die Datenschutzbehörden dies - meines Wissens unisono - für unzulässig erachten, halten es manche Anwälte unter Abwägung von Risiko und Nutzen grundsätzlich für vertretbar.

Der Berliner Datenschutzbeauftragte stellt dazu in einer Pressemitteilung am 14. November 2019 (PDF) fest: „Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen.“

Zu demselben Schluss kommt Niedersachsen. Dort heißt es: „Ein Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeutet, ist unzureichend. Dasselbe gilt, wenn die Einwilligung durch ein bereits aktiviertes Kästchen gegeben bzw. durch Entfernen des Häkchens widerrufen werden soll (Opt-out-Lösung). Vielmehr muss der Nutzer das Kästchen selbst aktiv anklicken (Opt-in-Lösung).“

Unklar ist hierbei in meinen Augen, ob dies auch gilt, wenn die vorausgewählten Cookies erst dann gesetzt werden, wenn es der Besucher mit einem Klick auf den „OK“-Button bestätigt. Tendenziell dürfte es zu bejahen sein.

Gibt es eine Ausnahme? Wie steht es um „notwendige“ Cookies?
Für 1st-Party Cookies*, die zwingend erforderlich sind, sieht der Gesetzgeber keine Einwilligungspflicht vor. Sie dürfen deshalb automatisch, also noch vor einem Klick auf den „Ok“-Button, gesetzt werden.

Bleibt natürlich die Frage, was unter „notwendig“ zu verstehen ist. Einig sind sich die meisten Rechtsanwälte, dass hierzu die sogenannten Session-Cookies zählen. Sie ermöglichen es beispielsweise, in einem Online-Shop einzukaufen. Denn anhand einer eindeutigen Kennung (ID) können die Eingaben der Nutzer von der Eingabe der Lieferadresse bis hin zur Auswahl der Bezahlart zwischengespeichert werden. Ebenso zählen dazu Cookies der Consent Management Tools. Denn darin wird festgehalten, ob und falls ja, welchen Cookies der jeweilige Nutzer bereits zugestimmt hat.

* 1st-Party Cookies werden direkt von Ihrer Website und nicht von Dritten (z.B. Microsoft) gesetzt.

Wie finde ich heraus, welche Cookies auf meiner Website gesetzt werden?
Am einfachsten ist dies mit dem Browser von Firefox möglich. Wählen Sie dazu unter Extras / Web-Entwickler den Punkt Web-Speicher-Inspektor.

Dort finden Sie auf der linken Seite den Ordner „Cookies“. Bitte klappen Sie diesen auf und schon sehen Sie, welche Cookies zuletzt gesetzt wurden.

Alternativ können Sie sich die Cookies natürlich auch im Chrome-Browser anzeigen lassen. Rufen Sie Ihre Seite auf - idealerweise als Inkognitofenster (Datei / Neues Inkognitofenster). Klicken Sie nun mit der rechten Maustaste auf eine leere Stelle. Es öffnet sich ein Kontextmenü. Wählen Sie darin den Punkt „Untersuchen“. Am Fuß Ihrer Website erscheint nun ein neuer Bereich. Wechseln Sie darin zum Reiter „Application“ und klappen dort zur Linken im Ordner „Storage“ den Bereich „Cookies“ auf. Schon sehen Sie alle gesetzten Cookies.

Weit anspruchsvoller ist es, diese Cookies nun einzuordnen und zu beschreiben. Erfahrungsgemäß kann man bei großen Websites mit zahlreichen Tracking-Pixeln hierfür schon mal ein bis zwei Tage einrechnen. Zumal es oft keine oder eine nur lückenhafte technische Dokumentationen zu den Cookies der jeweiligen Anwendungen gibt. Erstaunlicherweise gilt dies selbst für die Cookies großer Spieler wie Google & Co. Allein die Cookies von eingebetteten YouTube-Videos sind sehr undurchsichtig.

Auf unserer Agenturwebsite sind dies beispielsweise:

• CookieConsent: Speichert, welchen Cookies der Nutzer zugestimmt hat. (= Notwendig)
• _ga: Wird von Google Analytics verwendet. Erzeugt eine eindeutige, zufallsgenerierte Nutzer-ID, die dazu dient, den Besucher zu identifizieren und läuft nach 2 Jahren aus. Damit ist es beispielsweise möglich, wiederkehrende Besucher zu erkennen. (= Statistik)
• _gid: Wird von Google Analytics verwendet. Ähnlich dem _ga-Cookie. Beinhaltet eine eindeutige, zufallsgenerierte Nutzer-ID, die dazu dient, das Nutzerverhalten zu erkennen. Läuft nach 24 Stunden Inaktivität aus. (= Statistik)
• _gat bzw. _dc_gtm_property-id: Wird von Google Analytics verwendet. Dieses Cookie speichert keine Nutzerdaten. Es dient dazu die Anfragen an Google zu minimieren. Das Cookie hat eine Lebensdauer von einer Minute. (= Statistik)

Welche Lösungen zum sogenannten Cookie Consent-Management sind empfehlenswert?
Dies hängt davon ab, welches Redaktionssystem Sie für Ihre Website nutzen. Für Websites auf WordPress-Basis ist die Cookie Opt-In Lösung von Borlabs erste Wahl. Sie ist optisch und funktional in meinen Augen sehr gut gelungen und mit 39 € pro Jahr überaus erschwinglich. Einziges Handicap: Es ist wirklich ausschließlich mit WordPress einsetzbar.

Nutzen Sie hingegen ein Redaktionssystem wie TYPO3, dann wird die Auswahl schon kniffliger. Denn der Markt bietet eine Vielzahl an Lösungen. Einige davon sind mehr, andere weniger ausgereift. Ich habe bisher bei meinen Kundenprojekten sowohl mit Cookiebot als auch mit OneTrust überwiegend gute Erfahrungen gesammelt. Auch Usercentrics ist für anspruchsvollere Seiten gewiss eine gute Option.

Mehr zu den Vor- und Nachteilen der Anbieter? Erfahren Sie schon bald in unserem nächsten Blog-Artikel „Cookie-Banner: Opt-In Lösung für TYPO3“.

Interesse an einer kostenlosen telefonischen Erstberatung rund um Ihre Cookies?
Rufen Sie mich an: 030 / 4 03 67 33-0 oder schreiben Sie mir:
juergen.zoellner@berliner-digitalbuero.de