Mandanteninformation über die neue Cookie-Einwilligung

Diese Information richtet  sich ausschließlich an Shop-Betreiber.

Mandanten, die über eBay-verkaufen, sind von diese Mandanteninformation nicht betroffen.

Am 01.10.2019 hat der Europäische Gerichtshof eine Entscheidung zur aktiven Einwilligung beim Setzen von Cookies veröffentlicht.

In dieser Information erläutern wir Shop-Betreibern die Entscheidung.

Wir erläutern Ihnen ferner, welche Informationen Sie bereits jetzt einholen sollten und um welche technischen Voraussetzungen Sie sich zeitnah kümmern sollten.

Notwendig ist auch eine Aktualisierung der Datenschutzerklärung zum Thema Cookies.

Konkrete Informationen zur Aktualisierung bzw Ergänzung der Datenschutzerklärung liegen Ihnen gesondert vor.

EuGH zum Setzen von Cookies

Der Europäische Gerichtshof hat sich mit Urteil vom 01.10.2019, Az.: C-673/17 zur Frage der Einwilligung bei dem Setzen von Cookies geäußert. Gegenstand des Verfahrens war ein Vorlagebeschluss des Bundesgerichtshofes in einem Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und einem deutschen Internetanbieter. Dieser Internetanbieter hatte im Rahmen eines Gewinnspiels Cookies gesetzt, um über  Diensteanbieter abgestimmte Werbung zu ermöglichen. Der Besucher der Seite hatte lediglich die Möglichkeit, den Cookie zu löschen.

Die bisherige Rechtslage sah wie folgt aus:

Die Cookie-Richtlinie der EU, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland nicht umgesetzt. § 15 Abs. 3 Telemediengesetz sah bisher lediglich vor, dass es ausreichend ist, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Im deutschen Recht gab es somit bisher keine Pflicht, dass Nutzer in die Verwendung von Cookies ausdrücklich einwilligen müssen. Diese Rechtslage hat sich durch die Entscheidung des Europäischen Gerichtshofes geändert. Die deutsche Regelung des § 15 Abs. 3 Telemediengesetz gilt daher in der bisherigen Form nicht mehr. Im Gesetzgebungsverfahren ist seitens der EU die ePrivacy-VO, die sich mit der Frage zu Cookies und Tracking befasst. Wann diese in Kraft treten wird, ist jedoch aktuell vollkommen unklar. Unsere bisherige Beratung zu datenschutzrechtlichen Aspekten von Cookies für Shopbetreiber entsprach der bisherigen Rechtslage.

Der Europäische Gerichtshof hat Folgendes entschieden, wir zitieren insofern aus der Pressemitteilung des EuGH, die das Urteil einfach verständlich zusammenfasst:

„Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers. Ein voreingestelltes Ankreuzkästchen genügt daher nicht.

Für den Abruf von Cookies auf dem Gerät des Besuchers einer Webseite ist eine Einwilligung erforderlich. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, reicht nicht aus.

Es macht keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass Instrumente die Nachverfolgbarkeit des Nutzers ermöglichen.

Die Einwilligung muss für den konkreten Fall erteilt werden, und zwar bezogen auf die jeweiligen Cookies.

Diensteanbieter, d.h. Seitenbetreiber müssen gegenüber dem Nutzer hinsichtlich der Cookies Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen.

Es ist sicherzustellen, dass der Nutzer klare und umfassende Informationen über den Zweck der Verarbeitung erhält, zu der er seine Einwilligung geben soll.“

Zu diesen Informationen gehören neben der Identität des für die Verarbeitung Verantwortlichen (Unternehmen, das den Cookie setzt)  und den Zweckbestimmungen der Verarbeitung für die Daten weitere Informationen. Der EuGH spricht hier von „bspw. betreffend Empfänger oder Kategorien der Empfänger der Daten“. Dazu gehören auch Informationen über die Funktionsdauer der Cookies. Die Vorgaben des EuGH sind daher nicht abschließend.

Was das EuGH-Urteil für Shop-Betreiber in der Praxis bedeutet

Grundsätzlich möchten wir darauf hinweisen, dass die konkreten praktischen Folgen der EuGH-Entscheidung ungeklärt sind. Wie konkret die Entscheidung des EuGH in Deutschland umzusetzen ist, wird demnächst durch den Bundesgerichtshof und dann im Folgenden durch Gerichte und Datenschutzbehörden geklärt werden. Zum jetzigen Zeitpunkt gibt es noch keine konkreten Vorgaben zur Umsetzung.

Ungeklärte Punkte

Wir weisen ausdrücklich darauf hin, dass Einzelfragen zur Umsetzung des EuGH-Urteils aktuell vollkommen ungeklärt sind. In dieser Mandanteninformation möchten wir Sie daher zunächst über allgemeine Aspekte zu neuen datenschutzrechtlichen Vorgaben bei der Verwendung von Cookies informieren.

Sowohl in der juristischen Diskussion, durch das kommende BGH Urteil zu diesem Fall, wie auch durch Vorgaben der Landesdatenschutzbehörden werden sich die konkreten Anforderungen zur Umsetzung des Urteils erst in den nächsten Monaten entwickeln. Wir werden Sie jeweils in unserem Newsletter darüber informieren.

Diese Mandanteninformation dient zunächst dazu, Sie zunächst allgemein über die neuen Vorgaben des EuGH zu informieren.

Wie schnell sind die Vorgaben des EuGH umzusetzen?

Der Europäische Gerichtshof hat aufgrund eines Vorlageersuchens des Bundesgerichtshofes (BGH) entschieden. Wie genau die Vorgaben des EuGH in das deutsche Recht umzusetzen sind, ist daher eigentlich noch durch den BGH zu entscheiden. Die entsprechende BGH-Entscheidung erwarten wir erst in mehreren Monaten. Abweichungen von der der EuGH-Entscheidung durch den Bundesgerichtshof sind jedoch nicht zu erwarten.

Wir empfehlen dringend, dass Sie zeitnah reagieren und die neuen rechtlichen Vorgaben umsetzen. Die Landesdatenschutzbeauftragten weisen beispielsweise aktuell bereits darauf hin, dass Google-Analytics nur noch mit Einwilligung nutzbar ist. Hier finden Sie eine Information des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Nachfolgend erhalten Sie eine Einschätzung, wie Sie die Vorgaben des EuGH-Urteils in Ihrem Internetshop umsetzen sollten.

1. Allgemeine Cookie-Informationen in der Datenschutzerklärung reichen nicht mehr aus

In der Datenschutzerklärung, die Sie von uns für Ihren Internetshop erhalten haben, informieren Sie bislang allgemein über Cookies. Diese Information reicht zukünftig nicht mehr aus.

Konkrete Informationen zur Abänderung Ihrer Datenschutzerklärung erhalten Sie bis zum Ende des Monats.

2. Notwendig ist eine ausdrückliche Zustimmung des Webseiten-Besuchers in das Setzen von Cookies verbunden mit weiteren Informationen zu Cookies, bevor diese Cookies gesetzt werden (Opt-In)

Bisher übliche Cookie-Banner, in denen lediglich über Cookies informiert wurde, reichen nicht mehr aus.

Gleiches gilt auch für die Option, dass der Webseitenbesucher Cookies aktiv abwählen muss (Opt-Out).

Zukünftig muss der Webseitenbesucher in Ihrem Internetshop die Möglichkeit erhalten, bis auf wenige Ausnahmen aktiv in das Setzen von Cookies einzuwilligen.  Obwohl es in dem EuGH-Urteil zwar nur um Cookies geht, umfasst das Urteil alle Technologien, die Daten auf den Geräten der Seitennutzer speichern oder auslesen. Hierzu gehören bspw. sogenannte Fingerprints, durch die Geräte über eine Prüfsumme identifizierbar werden.

Grundsätzlich gilt:

Über jeden von Ihnen verwendeten Cookie muss informiert werden.

Wenn Ihre Internetseite für den Nutzer ohne den Cookie fehlerfrei angezeigt wird und genutzt werden kann, ist dieser Cookie technisch nicht notwendig. In diesem Fall ist dann eine Einwilligung des Seitennutzers notwendig.

Wichtig:

Bevor diese Einwilligung nicht erteilt wurde, dürfen keine Cookies gesetzt werden, die nicht technisch notwendig sind.

Aktuell ist es häufig so, dass zusammen mit einer Cookie-Information bereits entsprechende Cookies im Browser abgespeichert wurden.

Kein Zustimmungserfordernis für technisch notwendige Cookies

Das Zustimmungserfordernis vor dem Setzen eines Cookies gilt nicht für technisch notwendige Cookies. Technisch notwendige Cookies sind Cookies, die für den Betrieb einer Webseite und deren Funktionen erforderlich sind. Derartige Cookies unterliegen nicht der Verpflichtung, dass der Seitenbesucher in das Setzen des Cookies einwilligen muss. Genauere Informationen zu diesem Punkt finden Sie weiter unten im Text.

Weitere Folgen des Urteils: Ohne Einwilligung gesetzte technisch nicht notwendige Cookies dürfen nicht weiter verwendet werden

Die Entscheidung des EuGH konsequent zu Ende gedacht, hat dies auch Auswirkungen für in der Vergangenheit gesetzte Cookies. Da diese in der Regel ohne Einwilligung des Seitennutzers gesetzt worden sind, dürfen technisch nicht notwendige Cookies, in erster Linie Marketing-Cookies, eigentlich nicht weiter verwendet werden. Es ist vollkommen ungeklärt, wie mit dieser Frage in der Praxis umzugehen ist.

Was Sie jetzt konkret tun sollten

Die nachfolgend beschriebenen Erläuterungen dienen der Vorbereitung einer rechtskonformen Nutzung von Cookies. Viele Shopbetreiber haben sich bisher nicht näher mit den auf der Seite genutzten Cookies befasst. Notwendig sind zukünftig genauere Informationen über die von Ihnen genutzten Cookies.

I. Welche Cookies nutzen Sie?

Stellen Sie fest, welche Cookies Ihre Seite tatsächlich nutzt und beim Webseitenbesucher setzt.

Um den Webeseitenbesucher eine transparente Information zu den genutzten Cookies zu geben, müssen Sie zunächst einmal feststellen, welche Cookies auf Ihrer Seite überhaupt genutzt werden.

Die beste Quelle ist zunächst einmal das Unternehmen, welches Ihre Seite sowie auch die Software, die Sie nutzen, technisch betreut.

Eine, nach unserem Eindruck wirklich zuverlässige Anzeige von Cookies ist in dem Browser Chrome möglich:

Verwenden Sie nach Aufruf Ihrer Seite bzw. Unterseiten die Tastenkombination STRG+Umschalttaste+I.

Klicken Sie dann auf „Application“.

Auf der linken Seite gibt es dem Punkt „ Cookies “. Klicken Sie „Cookies“ an. Dort werden dann übersichtlich sämtliche Cookies und zwar unterteilt in First Party Cookies und Third Party Cookies angezeigt.

Wir empfehlen grundsätzlich, mehrere Optionen einzusetzen, damit Sie sicher feststellen können, welche Cookies Ihre Seite tatsächlich setzt.

Wir empfehlen bei dieser Gelegenheit zu überprüfen, ob die von Ihnen eingesetzten Cookies für Ihre Tätigkeit wichtig sind oder ob Sie auf bestimmte Cookies verzichten können.

II. Klassifizieren Sie Ihre genutzten Cookies.

Bei den unterschiedlichen Cookies, die auf Ihrer Seite verwendet werden, stellen Sie fest, wer Anbieter ist, was der Zweck des Cookies ist und wie lange die Cookies gespeichert werden (bspw. für einen bestimmten Zeitraum oder nur für die Session).

1. Unterschiedliche Nutzungzwecke der Cookies

Nach unserer Auffassung ist grundsätzlich zwischen folgenden Cookie-Arten zu unterscheiden:

Technisch notwendige Cookies und technisch nicht notwendige Cookies .

Das Zustimmungserfordernis gilt nur bei den technisch nicht notwendigen Cookies.

a) Technisch notwendige Cookies:

Technisch notwendige Cookies sind nicht zustimmungspflichtig.

Technisch notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen, wie Seitennavigation und den Zugriff auf sichere Bereiche der Webseite ermöglichen. Hierzu gehört bspw. auch der Cookie, der die Nutzung des Checkouts ermöglicht. Ein notwendiger Cookie hat, wenn er nicht gesetzt wird, zur Folge, dass die Webseite in diesem Fall nicht richtig funktioniert.

Zu den technisch notwendigen Cookies gehören

– Session-Cookies, die für eine Sitzung bestimmte Einstellungen des Seitenbesuchers speichern. Hierzu gehört bspw. der Warenkorb, Spracheinstellungen, Login-Dateien, Währungen, etc.

– Cookies zur Wiedergabe von Medieninhalten

– Ggf. Cookies von Zahlungsdiensteanbietern zur Vorbereitung der Zahlung oder der Zahlungslegitimation

– Opt-Out-Cookies, mit denen eine erteilte Einwilligung in das Setzen von Cookies widerrufen werden kann

-Cookies, die die Einwilligung/Einstellung aufgrund der Nutzung eines Cookie-Consent Tools (dazu mehr unten) dokumentieren

b) Präferenzen-Cookies:

Präferenzen-Cookies ermöglichen einer Webseite, sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht. Hierzu gehört z.B. die bevorzugte Sprache oder die Region des Webseitennutzers.

Ob Präferenzen-Cookies den Zustimmungserfordernis unterliegen oder sowie technisch notwendige Cookies zu behandeln sind, ist ungeklärt. Wir empfehlen bei der Nutzung von Präferenzen-Cookies eine Einwilligung einzuholen.

Präferenzen-Cookies unterscheiden sich von den technisch notwendigen Cookies dadurch, dass sie für die Nutzung der Webseite nicht zwingend erforderlich sind.

c) Statistik-Cookies

Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

d) Marketing-Cookies

Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für die einzelnen Benutzer sind.

Zu Marketing Cookies gehören auch Cookies, die im Zusammenhang mit der Nutzung von Google-Analytics gesetzt werden.

Marketing-Cookies dürften für Webseitenbetreiber das größte Problem darstellen. Durch Marketing Cookies wird zielgerichtete Werbung für Produkte auch auf anderen Webseiten ermöglicht. Bei Nutzung einer Opt-In-Lösung ist davon auszugehen, dass Seitenbesucher ihre Zustimmung nicht erteilen werden.

2. Nicht dauerhafte (nicht-persistente) und dauerhafte (persistente) Cookies

Sie müssen über die Speicherdauer der Cookies informieren.

Grundsätzlich wird unterschieden zwischen nicht-persistenten Cookies und persistenten Cookies. Nicht-persistente Cookies werden nur für die Dauer einer Benutzersitzung gespeichert.

Bei persistenten Cookies, die in der Regel im Bereich des Online-Marketings genutzt werden, werden die Cookies im Browser des Nutzers gespeichert, um ein Session-übergreifendes Tracking zu ermöglichen. Diese Cookies werden längerfristig gespeichert.

Stellen Sie fest, wie lange persistente Cookies beim Webseitenbesucher gespeichert werden.

3. Wer setzt die Cookies? Sie oder ein Dritter?

Hier wird unterschieden zwischen First-Party-Cookies und Third-Party-Cookies.

First-Party-Cookies: First-Party-Cookies werden durch den Server aufgespielt, auf dem sich die besuchte Webseite befindet.

Third-Party-Cookies: Third-Party-Cookies werden von einem Dritt-Server aufgespielt.

Sie müssen letztlich für jeden der von Ihnen genutzten Cookies eine Information vorhalten, wer den Cookie setzt (Sie oder ein Dritter).

III.  Tragen Sie dafür Sorge, dass technisch nicht notwendige Cookies erst nach ausdrücklicher Einwilligung durch den Seitenbesucher gesetzt werden.

Außer für technisch notwendige Cookies gilt:

Es darf keinen Einsatz von Cookies vor der ausdrücklichen Einwilligung des Webseitenbesuchers geben.

Erst wenn der Nutzer seine Einwilligung in bestimmte Cookies erteilt hat, dürfen diese gesetzt werden und die entsprechenden Datenverarbeitungsvorgänge durchgeführt werden. Es darf somit ganz grundsätzlich keine Einwilligung voreingestellt werden, die der Kunde erst aktiv abwählen muss (Opt-Out). Vielmehr muss der Webseitennutzer die Zustimmung aktiv vornehmen (Opt-In). Solange der Webseitenbesucher seine Einwilligung nicht erteilt hat, darf der Cookie, soweit zustimmungspflichtig, nicht gesetzt werden!

Zur Klarstellung: Dies gilt nicht für technisch notwendige Cookies.

IV. Protokollierung der Einwilligungen

Speichern Sie die entsprechenden Einwilligungen. Der Besucher der Seite muss zudem nicht jedes Mal bei einem erneuten Seitenaufruf eine Einwilligung erteilen.

Ob es ausreichend ist, die Präferenzen beim Seitenbesuchers auf seinem Rechner durch einen Cookie zu speichern oder ob eine zusätzliche Speicherung und Dokumentation der Einwilligung auf Ihrem Server erforderlich ist, ist zum jetzigen Zeitpunkt vollkommen ungeklärt.

V. Gewährleisten Sie eine jederzeitige Widerruflichkeit der Einwilligung

Jede datenschutzrechtliche Einwilligung muss widerruflich sein. Tragen Sie dafür Sorge, dass der Seitenbesucher grundsätzlich die Möglichkeit hat, durch eine Schaltfläche, die auf jeder der Seiten erkennbar ist, über „Cookie-Einstellungen“ seine Zustimmung zu Cookies zu widerrufen bzw. diese abzuwählen. Ab diesem Zeitpunkt darf dann natürlich auch der Cookie nicht mehr gesetzt bzw. genutzt werden.

VI. Technische Umsetzung

Zur technischen Umsetzung bietet sich ein sogenanntes Cookie Consent Tool an.  Consent bedeutet „ Zustimmung “.

Hierbei handelt es sich um ein Zustimmungstool, mit dem der Webseitenbesucher zum einen über Cookies informiert wird und zum anderen die Möglichkeit hat, diese aktiv anzuwählen bzw. später wieder abzuwählen.

Aufgrund der bisherigen Rechtslage in Deutschland gibt es nach unserem Eindruck aktuell nur sehr wenige Anbieter von Cookie-Consent Tools.

Wir können Ihnen aktuell keine konkrete Empfehlung geben. Klären Sie mit dem Anbieter Ihrer Shopsoftware, ob dieser ein Cookie-Consent Tool anbietet.

Inwieweit es zulässig ist, dass der Seitenbesucher lediglich einer Cookie-Kategorie zustimmt (bspw. Statistik oder Marketing) ohne eine konkrete Möglichkeit bestimmte Cookies an- oder abzuwählen, halten wir für ungeklärt.

Notwendig ist auf jeden Fall eine Information zu den einzelnen Cookies. Die Information über die Cookies selbst gilt im Übrigen auch für die technisch notwendigen Cookies, für die keine Zustimmungserfordernis gilt.

Notwendig sind folgende Informationen in dem Cookie-Consent Tool:

– Name des Cookies

– Funktion,

– Speicherdauer

– Verantwortlicher (Sie oder ein Dritter)

Es bietet sich ferner an, im Cookie-Consent Tool zu den einzelnen Cookies auf weitergehende konkrete Informationen in der Datenschutzerklärung zu verlinken. Bei einer Verlinkung empfehlen wir, dass nicht allgemein auf Ihre Datenschutzerklärung verlinkt wird, sondern über einen Anker bzw. eine Sprungmarke direkt an die Stelle der Datenschutzerklärung, wo die konkrete Information zu dem Cookie enthalten ist.

Sie sollten daher zeitnah klären, welches Cookie Consent Tools Sie einsetzen werden.

VII. An wen sie sich bei Fragen zu den von Ihnen eingesetzten Cookies wenden können

Wir bitten um Verständnis, dass wir Sie zu technischen Aspekten der von Ihnen eingesetzten Cookies und Tools nicht beraten können. Hierzu liegen uns keine Informationen vor.

Klären Sie diese Fragen bitte mit Ihrem IT-Dienstleister.

Auch zu den notwendigen Informationen zu den einzelnen Cookies können wir Sie leider nicht konkret beraten. Auch hierzu liegen uns keine konkreten Informationen vor. Klären Sie diese Fragen bitte mit dem jeweiligen Anbieter der von Ihnen eingesetzten Cookies und Tools.

Wir empfehlen ferner, dass Sie Kontakt zu dem Anbieter Ihrer Shopsoftware aufnehmen, um mit diesem zu klären, ob dieser ein Cookie-Consent Tool anbieten wird.

Stand: 11/2019