Mandanteninformation – Vorbereitung für die Cookienutzung in Internetshops

Diese Information erhalten Sie im Rahmen Ihrer Shopberatung.

In diesem Text informieren wir Sie allgemein über die aktuelle Rechtslage bei der Nutzung von Cookies in Internetshops und erläutern Ihnen, welche Vorbereitungen Sie treffen sollten, bevor Sie Ihre Datenschutzerklärung entsprechend unseren Vorschlägen ergänzen.

EuGH zum Setzen von Cookies

Der Europäische Gerichtshof hat sich mit Urteil vom 01.10.2019, Az.: C-673/17 zur Frage der Einwilligung bei dem Setzen von Cookies geäußert. Gegenstand des Verfahrens war ein Vorlagebeschluss des Bundesgerichtshofes in einem Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und einem deutschen Internetanbieter. Dieser Internetanbieter hatte im Rahmen eines Gewinnspiels Cookies gesetzt, um über  Diensteanbieter abgestimmte Werbung zu ermöglichen. Der Besucher der Seite hatte lediglich die Möglichkeit, den Cookie zu löschen.

Die bisherige Rechtslage sah wie folgt aus:

Die Cookie-Richtlinie der EU, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland nicht umgesetzt. § 15 Abs. 3 Telemediengesetz sah bisher lediglich vor, dass es ausreichend ist, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Im deutschen Recht gab es somit bisher keine Pflicht, dass Nutzer in die Verwendung von Cookies ausdrücklich einwilligen müssen. Diese Rechtslage hat sich durch die Entscheidung des Europäischen Gerichtshofes geändert. Die deutsche Regelung des § 15 Abs. 3 Telemediengesetz gilt daher in der bisherigen Form nicht mehr. Im Gesetzgebungsverfahren ist seitens der EU die ePrivacy-VO, die sich mit der Frage zu Cookies und Tracking befasst. Wann diese in Kraft treten wird, ist jedoch aktuell vollkommen unklar.

Der Europäische Gerichtshof hat Folgendes entschieden, wir zitieren insofern aus der Pressemitteilung des EuGH, die das Urteil einfach verständlich zusammenfasst:

„Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers. Ein voreingestelltes Ankreuzkästchen genügt daher nicht.

Für den Abruf von Cookies auf dem Gerät des Besuchers einer Webseite ist eine Einwilligung erforderlich. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, reicht nicht aus.

Es macht keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass Instrumente die Nachverfolgbarkeit des Nutzers ermöglichen.

Die Einwilligung muss für den konkreten Fall erteilt werden, und zwar bezogen auf die jeweiligen Cookies.

Diensteanbieter, d.h. Seitenbetreiber müssen gegenüber dem Nutzer hinsichtlich der Cookies Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen.

Es ist sicherzustellen, dass der Nutzer klare und umfassende Informationen über den Zweck der Verarbeitung erhält, zu der er seine Einwilligung geben soll.“

Zu diesen Informationen gehören neben der Identität des für die Verarbeitung Verantwortlichen (Unternehmen, das den Cookie setzt)  und den Zweckbestimmungen der Verarbeitung für die Daten weitere Informationen. Der EuGH spricht hier von „bspw. betreffend Empfänger oder Kategorien der Empfänger der Daten“. Dazu gehören auch Informationen über die Funktionsdauer der Cookies. Die Vorgaben des EuGH sind daher nicht abschließend.

Was das EuGH-Urteil für Shop-Betreiber in der Praxis bedeutet

Grundsätzlich möchten wir darauf hinweisen, dass die konkreten praktischen Folgen der EuGH-Entscheidung ungeklärt sind. Wie konkret die Entscheidung des EuGH in Deutschland umzusetzen ist, wird demnächst durch den Bundesgerichtshof und dann im Folgenden durch Gerichte und Datenschutzbehörden geklärt werden. Zum jetzigen Zeitpunkt gibt es noch keine konkreten Vorgaben zur Umsetzung.

Ungeklärte Punkte

Wir weisen ausdrücklich darauf hin, dass Einzelfragen zur Umsetzung des EuGH-Urteils aktuell vollkommen ungeklärt sind. In dieser Mandanteninformation möchten wir Sie daher über allgemeine Aspekte zu neuen datenschutzrechtlichen Vorgaben bei der Verwendung von Cookies informieren.

Sowohl in der juristischen Diskussion, durch das kommende BGH Urteil zu diesem Fall, wie auch durch Vorgaben der Landesdatenschutzbehörden werden sich die konkreten Anforderungen zur Umsetzung des Urteils erst noch entwickeln. Wir werden Sie jeweils in unserem Updateservice-Newsletter darüber informieren.

Wir empfehlen dringend, dass Sie die neuen rechtlichen Vorgaben umsetzen. Die Landesdatenschutzbeauftragten weisen beispielsweise aktuell bereits darauf hin, dass Google-Analytics nur noch mit Einwilligung nutzbar ist. Hier finden Sie eine Information des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Nachfolgend erhalten Sie eine Einschätzung, wie Sie die Vorgaben des EuGH-Urteils in Ihrem Internetshop umsetzen sollten.

1. Allgemeine Cookie-Informationen in der Datenschutzerklärung reichen nicht

Eine allgemeine Information über Cookies und die Möglichkeit, durch Browser-Einstellungen das Setzen von Cookies zu verhindern reicht nicht mehr aus. Gleiches gilt auch für einen Cookie-Banner, mit dem lediglich allgemein über die Nutzung von Cookies informiert wird.

2. Notwendig ist eine ausdrückliche Zustimmung des Webseiten-Besuchers in das Setzen von Cookies verbunden mit weiteren Informationen zu Cookies, bevor diese Cookies gesetzt werden (Opt-In)

Bisher übliche Cookie-Banner, in denen lediglich über Cookies informiert wurde, reichen nicht mehr aus. Gleiches gilt auch für die Option, dass der Webseitenbesucher Cookies aktiv abwählen muss (Opt-Out).

Der Webseitenbesucher muss in Ihrem Internetshop die Möglichkeit erhalten, bis auf wenige Ausnahmen aktiv in das Setzen von Cookies einzuwilligen.  

Wichtig:

Obwohl es in dem EuGH-Urteil zwar nur um Cookies geht, umfasst das Urteil alle Technologien, die Daten auf den Geräten der Seitennutzer speichern oder auslesen. Hierzu gehören bspw. sogenannte Fingerprints, durch die Geräte über eine Prüfsumme identifizierbar werden.Sollten Sie derartige Techniken einsetzen, müssen Sie darüber genauso wie über Cookies informieren! Sie müssen auch in diesem Fall gewährleisten, dass diese Techniken erst nach ausdrücklicher informierte Zustimmung des Seitenbesuchers eingesetzt werden.

Grundsätzlich gilt:

Über jeden von Ihnen verwendeten Cookie muss informiert werden.

Wenn Ihre Internetseite für den Nutzer ohne den Cookie fehlerfrei angezeigt wird und genutzt werden kann, ist dieser Cookie technisch nicht notwendig. In diesem Fall ist dann eine Einwilligung des Seitennutzers notwendig.

Wichtig:

Bevor diese Einwilligung nicht erteilt wurde, dürfen keine Cookies gesetzt werden, die nicht technisch notwendig sind!

Kein Zustimmungserfordernis für technisch notwendige Cookies

Das Zustimmungserfordernis vor dem Setzen eines Cookies gilt nicht für technisch notwendige Cookies. Technisch notwendige Cookies sind Cookies, die für den Betrieb einer Webseite und deren Funktionen erforderlich sind. Derartige Cookies unterliegen nicht der Verpflichtung, dass der Seitenbesucher in das Setzen des Cookies einwilligen muss. Genauere Informationen zu diesem Punkt finden Sie weiter unten im Text.

Weitere Folgen des Urteils: Ohne Einwilligung gesetzte technisch nicht notwendige Cookies dürfen nicht weiter verwendet werden

Die Entscheidung des EuGH konsequent zu Ende gedacht, hat dies auch Auswirkungen für in der Vergangenheit gesetzte Cookies. Da diese in der Regel ohne Einwilligung des Seitennutzers gesetzt worden sind, dürfen technisch nicht notwendige Cookies, in erster Linie Marketing-Cookies, eigentlich nicht weiter verwendet werden. Es ist vollkommen ungeklärt, wie mit dieser Frage in der Praxis umzugehen ist.

Was Sie jetzt konkret tun sollten

Die nachfolgend beschriebenen Erläuterungen dienen der Vorbereitung einer rechtskonformen Nutzung von Cookies. Viele Shopbetreiber haben sich bisher nicht näher mit den auf der Seite genutzten Cookies befasst. Notwendig sind zukünftig genauere Informationen über die von Ihnen genutzten Cookies.

I. Welche Cookies nutzen Sie?

Stellen Sie fest, welche Cookies Ihre Seite tatsächlich nutzt und beim Webseitenbesucher setzt.

Um den Webeseitenbesucher eine transparente Information zu den genutzten Cookies zu geben, müssen Sie zunächst einmal feststellen, welche Cookies auf Ihrer Seite überhaupt genutzt werden.

Die beste Quelle ist zunächst einmal das Unternehmen, welches Ihre Seite sowie auch die Software, die Sie nutzen, technisch betreut.

Eine, nach unserem Eindruck wirklich zuverlässige Anzeige von Cookies ist in dem Browser Chrome möglich:

Öffnen Sie im Brwoser Chrome ein neues Inkognito-Fenster (STRG+Umschalttaste+N). Dadurch wird verhindert, dass ihnen alte und zuvor gesetzte Cookies angezeigt werden.

Verwenden Sie nach Aufruf Ihrer Seite bzw. Unterseiten die Tastenkombination STRG+Umschalttaste+I.

Klicken Sie dann auf „Application“.

Auf der linken Seite gibt es dem Punkt „ Cookies “. Klicken Sie „Cookies“ an. Dort werden dann übersichtlich sämtliche Cookies und zwar unterteilt in First Party Cookies und Third Party Cookies angezeigt.

Wir empfehlen grundsätzlich, mehrere Optionen einzusetzen, damit Sie sicher feststellen können, welche Cookies Ihre Seite tatsächlich setzt.

Wir empfehlen bei dieser Gelegenheit zu überprüfen, ob die von Ihnen eingesetzten Cookies für Ihre Tätigkeit wichtig sind oder ob Sie auf bestimmte Cookies verzichten können.

II. Klassifizieren Sie Ihre genutzten Cookies.

Bei den unterschiedlichen Cookies, die auf Ihrer Seite verwendet werden, stellen Sie fest, wer Anbieter ist, was der Zweck des Cookies ist und wie lange die Cookies gespeichert werden (bspw. für einen bestimmten Zeitraum oder nur für die Session).

1. Unterschiedliche Nutzungzwecke der Cookies

Nach unserer Auffassung ist grundsätzlich zwischen folgenden Cookie-Arten zu unterscheiden:

Technisch notwendige Cookies und technisch nicht notwendige Cookies .

Das Zustimmungserfordernis gilt nur bei den technisch nicht notwendigen Cookies.

a) Technisch notwendige Cookies:

Technisch notwendige Cookies sind nicht zustimmungspflichtig.

Technisch notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen, wie Seitennavigation und den Zugriff auf sichere Bereiche der Webseite ermöglichen. Hierzu gehört bspw. auch der Cookie, der die Nutzung des Checkouts ermöglicht. Ein notwendiger Cookie hat, wenn er nicht gesetzt wird, zur Folge, dass die Webseite in diesem Fall nicht richtig funktioniert.

Zu den technisch notwendigen Cookies gehören

– Session-Cookies, die für eine Sitzung bestimmte Einstellungen des Seitenbesuchers speichern. Hierzu gehört bspw. der Warenkorb, Spracheinstellungen, Login-Dateien, Währungen, etc.

– Cookies zur Wiedergabe von Medieninhalten

– Ggf. Cookies von Zahlungsdiensteanbietern zur Vorbereitung der Zahlung oder der Zahlungslegitimation

– Opt-Out-Cookies, mit denen eine erteilte Einwilligung in das Setzen von Cookies widerrufen werden kann

-Cookies, die die Einwilligung/Einstellung aufgrund der Nutzung eines Cookie-Consent Tools (dazu mehr unten) dokumentieren

b) technisch nicht notwendige Cookies

aa) Präferenzen-Cookies:

Präferenzen-Cookies ermöglichen einer Webseite, sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht. Hierzu gehört z.B. die bevorzugte Sprache oder die Region des Webseitennutzers.

Ob Präferenzen-Cookies den Zustimmungserfordernis unterliegen oder sowie technisch notwendige Cookies zu behandeln sind, ist ungeklärt. Wir empfehlen bei der Nutzung von Präferenzen-Cookies eine Einwilligung einzuholen.

Präferenzen-Cookies unterscheiden sich von den technisch notwendigen Cookies dadurch, dass sie für die Nutzung der Webseite nicht zwingend erforderlich sind.

bb) Statistik-Cookies

Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

cc) Marketing-Cookies

Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für die einzelnen Benutzer sind.

Zu Marketing Cookies gehören auch Cookies, die im Zusammenhang mit der Nutzung von Google-Analytics gesetzt werden.

Marketing-Cookies dürften für Webseitenbetreiber das größte Problem darstellen. Durch Marketing Cookies wird zielgerichtete Werbung für Produkte auch auf anderen Webseiten ermöglicht. Bei Nutzung einer Opt-In-Lösung ist davon auszugehen, dass Seitenbesucher ihre Zustimmung nicht erteilen werden.

2. Nicht dauerhafte (nicht-persistente) und dauerhafte (persistente) Cookies

Sie müssen über die Speicherdauer der Cookies informieren.

Grundsätzlich wird unterschieden zwischen nicht-persistenten Cookies und persistenten Cookies. Nicht-persistente Cookies werden nur für die Dauer einer Benutzersitzung gespeichert (Session Cookie).

Bei persistenten Cookies, die in der Regel im Bereich des Online-Marketings genutzt werden, werden die Cookies im Browser des Nutzers gespeichert, um ein Session-übergreifendes Tracking zu ermöglichen. Diese Cookies werden längerfristig gespeichert.

Stellen Sie fest, wie lange persistente Cookies beim Webseitenbesucher gespeichert werden.

3. Wer setzt die Cookies? Sie oder ein Dritter?

Hier wird unterschieden zwischen First-Party-Cookies und Third-Party-Cookies.

First-Party-Cookies: First-Party-Cookies werden durch den Server aufgespielt, auf dem sich die besuchte Webseite befindet.

Third-Party-Cookies: Third-Party-Cookies werden von einem Dritt-Server aufgespielt.

Sie müssen letztlich für jeden der von Ihnen genutzten Cookies eine Information vorhalten, wer den Cookie setzt (Sie oder ein Dritter).

III.  Tragen Sie dafür Sorge, dass technisch nicht notwendige Cookies erst nach ausdrücklicher Einwilligung durch den Seitenbesucher gesetzt werden.

Außer für technisch notwendige Cookies gilt:

Es darf keinen Einsatz von Cookies vor der ausdrücklichen Einwilligung des Webseitenbesuchers geben!

Erst wenn der Nutzer seine Einwilligung in bestimmte Cookies erteilt hat, dürfen diese gesetzt werden und die entsprechenden Datenverarbeitungsvorgänge durchgeführt werden. Es darf somit ganz grundsätzlich keine Einwilligung voreingestellt werden, die der Kunde erst aktiv abwählen muss (Opt-Out). Vielmehr muss der Webseitennutzer die Zustimmung aktiv vornehmen (Opt-In). Solange der Webseitenbesucher seine Einwilligung nicht erteilt hat, darf der Cookie, soweit zustimmungspflichtig, nicht gesetzt werden!

Zur Klarstellung: Dies gilt nicht für technisch notwendige Cookies.

IV. Protokollierung der Einwilligungen

Speichern Sie die entsprechenden Einwilligungen. Der Besucher der Seite muss zudem nicht jedes Mal bei einem erneuten Seitenaufruf eine Einwilligung erteilen.

Ob es ausreichend ist, die Präferenzen beim Seitenbesuchers auf seinem Rechner durch einen Cookie zu speichern oder ob eine zusätzliche Speicherung und Dokumentation der Einwilligung auf Ihrem Server erforderlich ist, ist zum jetzigen Zeitpunkt vollkommen ungeklärt.

V. Gewährleisten Sie eine jederzeitige Widerruflichkeit der Einwilligung

Jede datenschutzrechtliche Einwilligung muss widerruflich sein. Tragen Sie dafür Sorge, dass der Seitenbesucher grundsätzlich die Möglichkeit hat, durch eine Schaltfläche, die auf jeder der Seiten erkennbar ist, über „Cookie-Einstellungen“ seine Zustimmung zu Cookies zu widerrufen bzw. diese abzuwählen. Ab diesem Zeitpunkt darf dann natürlich auch der Cookie nicht mehr gesetzt bzw. genutzt werden.

VI. Technische Umsetzung

Zur technischen Umsetzung bietet sich ein sogenanntes Cookie Consent Tool an.  Consent bedeutet „ Zustimmung “.

Hierbei handelt es sich um ein Zustimmungstool, mit dem der Webseitenbesucher zum einen über Cookies informiert wird und zum anderen die Möglichkeit hat, diese aktiv anzuwählen bzw. später wieder abzuwählen.

VII. Praxishinweise zur Auswahl eines Cookie-Consent-Tools

Wenn Sie nur technisch notwendige Cookies einsetzen, benötigen Sie kein Cookie-Consent Tool. In diesem Fall reicht eine Information über die technischen notwendigen Cookies in der Datenschutzerklärung.

Da die Rechtslage vor Oktober 2019 in Deutschland kein Cookie-Consent-Tool erforderte, gibt es nach unserem Eindruck aktuell nicht viele Anbieter, die ein derartiges Tool bereitstellen.

Nach unserem Eindruck ist aktuell der Markt für Cookie-Consent-Tools noch sehr begrenzt. Tools, bei denen der Seitenbesucher nur allgemein bspw. in Marketing-Cookies einwilligen kann, ohne dass es zu den einzelnen Cookies weitergehende Informationen gibt, reichen nach unserer Auffassung nicht aus.

Um den Arbeitsaufwand bei dem Einsatz eines Cookie-Consent-Tools überschaubar zu halten bieten sich Anbieter an, die für die üblicherweise genutzten Cookies und Services (bspw.  Google-Analytics) in der Lage sind, ihre Seite hinsichtlich der genutzten Cookies zu scannen und die entsprechend aufbereitete Informationen bereits vorhalten.

Ein Tool, welches uns hinsichtlich seiner Gestaltung und der Information über die einzelnen Cookies positiv aufgefallen ist, ist Cookiebot. Weitergehende Informationen über dieses Tool liegen uns nicht vor.

Jedenfalls können wir trotz intensiver Recherche aktuell keine konkrete Empfehlung aussprechen.

Erster Ansprechpartner für ein Cookie-Consent-Tool sollte der Anbieter Ihrer Shop-Software sein.

Ein rechtskonformes Cookie-Consent-Tool sollte nach unserer Auffassung folgende Eigenschaften erfüllen:

• transparente Darstellung, dass technisch nicht notwendige Cookies erst nach ausdrücklicher Zustimmung des Seitenbesuchers gesetzt werden
• eine transparente Information zu den einzelnen eingesetzten Cookies, am besten unterteilt in Kategorien, wie bspw.

– notwendige Cookies

– Präferenzen Cookies

– Statistik Cookies

– Marketing Cookies

• die Möglichkeit, dass zu jedem einzelnen gesetzten Cookie der Cookie-Name, der Anbieter, der Zweck und die Speicherdauer, dass zu jedem einzelnen verwendeten Cookies folgende Informationen dargestellt werden:

– Cookie-Name

– Anbieter

– Zweck

– Speicherdauer

Wünschenswert wäre die Möglichkeit, auf entsprechende weitergehende Informationen an dieser Stelle in der Datenschutzerklärung verlinken zu können und eine einfache und transparente Möglichkeit, dass der Seitenbesucher seine Entscheidung an jeder Stelle der Internetseite später noch einmal einsehen und abändern kann

VII. An wen sie sich bei Fragen zu den von Ihnen eingesetzten Cookies wenden können

Wir bitten um Verständnis, dass wir Sie zu technischen Aspekten der von Ihnen eingesetzten Cookies und Tools nicht beraten können. Hierzu liegen uns keine Informationen vor.

Klären Sie diese Fragen bitte mit Ihrem IT-Dienstleister.

Auch zu den notwendigen Informationen zu den einzelnen Cookies können wir Sie leider nicht konkret beraten. Auch hierzu liegen uns keine konkreten Informationen vor. Klären Sie diese Fragen bitte mit dem jeweiligen Anbieter der von Ihnen eingesetzten Cookies und Tools.

Wir empfehlen ferner, dass Sie Kontakt zu dem Anbieter Ihrer Shopsoftware aufnehmen, um mit diesem zu klären, ob dieser ein Cookie-Consent Tool anbieten wird.

Stand: 12/2019