Telefon

+49 (0)421.2 38 04-60

E-Mail

datasec@merentis.com

Der Einsatz von sogenannten Third-Party-Cookies bzw. Drittanbieter-Cookies ist für Internet-Browser wie Firefox, Chrome oder Microsoft Edge heutzutage Standard. Bei solchen Cookies handelt es sich um kleine Textdateien, die auf dem Endgerät des Nutzers gespeichert werden und zum Tracking des Nutzerverhaltens oder zu Marketingzwecken genutzt werden. Firefox schränkt bereits seit längerem die Nutzung von Drittanbieter-Cookies ein. Auch Google kündigte an, den Einsatz der Cookies in der zweiten Jahreshälfte 2024 einzuschränken. Vor kurzem gab Google jedoch bekannt, dass sich dieses Vorhaben auf Anfang 2025 verschieben wird.

Was haben Cookies mit Datenschutz zu tun?

Bei Cookies ist zwischen technisch notwendigen und nicht technisch notwendigen Cookies zu unterscheiden. Technisch notwendige Cookies sind solche, die für den normalen und reibungslosen Betrieb einer Website zwingend notwendig sind. Hierzu zählen zum Beispiel Cookies zum Speichern der Warenkorbinhalte (sogenannte Session Cookies) oder Spracheinstellungen. Die Session Cookies werden nur temporär gespeichert und nach dem Schließen des Browsers automatisch gelöscht. Für diese Art von Cookies bedarf es keiner Einwilligung der Nutzer im Sinne der DSGVO.

Anders verhält es sich bei den technisch nicht notwendigen Cookies. Zu diesen zählen zum Beispiel Tracking- oder Analyse-Cookies, Cookies zur Personalisierung von Werbeanzeigen und eben auch die Drittanbieter-Cookies. Hierbei reicht allein die Möglichkeit aus, dass personenbezogene Daten verarbeitet werden könnten, z. B. durch die Verarbeitung der IP-Adresse. In diesen Fällen müssen Nutzer aktiv und freiwillig vorab in diese Cookies einwilligen. In der Praxis nutzen Website-Betreiber hierfür meist sogenannte Cookie-Banner. Bei Cookie-Bannern ist darauf zu achten, dass vor der Einwilligung der Nutzer in technisch nicht notwendige Cookies noch keine Daten verarbeitet werden, dies darf ausdrücklich erst nach der Einwilligung geschehen. Außerdem darf es nicht möglich sein, die Website auch ohne Einwilligung oder Ablehnung der Cookies zu nutzen.

 

TDDDG nicht vergessen

Seit Ende 2021 gilt das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), welches im Mai 2024 umbenannt wurde in Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Dieses bündelte die bis dahin bestehenden Datenschutzregelungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in einem neuen Gesetz. Ziel des TDDDG ist zum einen, die das TKG und TMG betreffenden datenschutzrechtlichen Bestimmungen an die DSGVO anzupassen und andererseits, Teile der ePrivacy-Richtlinie der EU in nationales Recht umzusetzen. Eine solche datenschutzrechtliche Regelung stellt §25 TDDDG dar: Da Cookies kleine Textdateien sind, die (zumindest temporär) auf der Endeinrichtung des Endnutzers gespeichert werden, bedarf es neben der datenschutzrechtlichen Einwilligung zusätzlich gemäß §25 TDDDG einer informierten Einwilligung für die Speicherung. Unter den Begriff der Endeinrichtungen fallen in der Regel auch alle Geräte mit einer Internetverbindung. Die Einwilligung nach TDDDG kann über das Cookie-Banner bzw. das Cookie-Consent-Tool eingeholt werden.

 

Privacy by Design und Privacy by Default

Im Datenschutz ergeben sich aus Art. 25 DSGVO zwei Grundsätze, die unter anderem bei der Gestaltung einer Website, insbesondere bei der Gestaltung von Cookie-Bannern, eingesetzt werden müssen, um von Anfang an den bestmöglichen Datenschutz zu gewährleisten:

 

Privacy by Design – Datenschutz durch Technikgestaltung

Datenschutz greift dann am besten, wenn dieser bereits bei Erarbeitung eines Verarbeitungsvorgangs personenbezogener Daten technisch integriert ist. So spielen technische und organisatorische Maßnahmen schon im Entwicklungsstadium von Hard- und Software eine wesentliche Rolle. Datenschutz durch Technikgestaltung zielt vor allem darauf ab, Nutzer vor Risiken für ihre Rechte und Freiheiten zu schützen, ohne, dass diese selbst aktiv werden müssen.

 

Privacy by Default – Datenschutz durch datenschutzfreundliche Voreinstellungen

Der zweite Grundsatz zielt auf die Werkseinstellungen der genutzten Systeme ab: So sollen diese bereits datenschutzfreundlich ausgestaltet sein. Die Voreinstellungen sollten nur die Verarbeitung von notwendigen personenbezogenen Daten zulassen. Dies gilt sowohl für die Menge der personenbezogenen Daten als auch für den Umfang der Verarbeitung und die Speicherdauer. Für die Nutzung von Cookies heißt das konkret: Es dürfen im Cookie-Banner keine Voreinstellungen vorliegen, die zum Beispiel die Nutzung von Drittanbieter-Cookies pauschal erlaubt. Ziel ist es, Nutzer ohne Datenschutzkenntnissen ein Mindestmaß an Datenschutz zu gewähren.

 

Datenschutzkonforme Gestaltung von Cookie-Bannern

Bei der Gestaltung von Cookie-Bannern, insbesondere für technisch nicht notwendige Cookies, sollten die oben genannten Grundsätze berücksichtigt werden. Damit ein Cookie-Banner datenschutzkonform ist, sollten aber auch weitere Punkte beachtet werden: Cookie Banner müssen neben der Zustimmung auch eine Ablehnungsmöglichkeit enthalten. Letztere muss sich auf der gleichen Ebene befinden, wie die Zustimmung – Ablehnung muss also genauso leicht sein, wie Zustimmung. Wie bereits erwähnt dürfen die Optionen außerdem nicht vorausgewählt bzw. ausgefüllt sein. Die Gestaltung sollte dabei einheitlich sein, um eine Beeinflussung des Nutzers durch sogenanntes Nudging, zum Beispiel durch Farben, hin zu einer (gewünschten) Auswahlmöglichkeit zu vermeiden. Die Optionen „Zustimmen“ und „Ablehnen“ müssen gleichwertig sein – das entschied zuletzt auch das Oberlandesgericht Köln in seinem Urteil vom 19.01.2024.
Weiter müssen auch die Informations- und Auskunftspflichten gemäß Art. 12 ff. DSGVO eingehalten werden, dies schließt insbesondere auch den Hinweis auf das Widerrufsrecht des Nutzers ein. Über die Cookies und deren Zweck ist in einfacher bzw. verständlicher Sprache zu informieren. Zudem ist die eingeholte Einwilligung in die Verwendung von technisch nicht notwendigen Cookies strikt von anderen Einwilligungen, z. B. in den Erhalt eines Newsletters, zu trennen.