Erst der EuGH, jetzt auch der BGH: Die Gerichte sind sich einig, dass Webseitenbetreiber eine aktive Einwilligung der Besucher benötigen, wenn sie Cookies setzen wollen. Diese Einwilligung muss vom Nutzer ausgehen, eine schon vorher ausgewählte Checkbox im Cookie-Banner genügt nicht. Wir erklären, was dieses Urteil für Webseitenbetreiber und Webdesigner bedeutet.
Inhaltsverzeichnis
- Cookies und Einwilligung: Was die Gerichte bisher entscheiden haben
- Warum der Fall „Planet49“ so wichtig für Webseitenbetreiber ist
- Was sind denn notwendige Cookies?
- Einwilligung, Cookie-Banner oder Consent Tool: Was denn nun?
- Wie können Webseitenbetreiber, Agenturen und Webdesigner diese Vorgaben praktisch umsetzen?
1. Cookies und Einwilligung: Was die Gerichte bisher entscheiden haben
Im Fall „Planet 49“ ging es um die Frage, ob Webseiten, die Cookies bei ihren Besuchern setzen, eine aktive Zustimmung der Seitenbesucher benötigen. Gemeint war hier eine echte Einwilligung, kein „Sie können ruhig weiter Surfen“-Banner. Konkret ging es um die Frage, ob die Checkbox in einem solchen Cookie Banner schon vorangekreuzt sein darf.
Die Verbraucherzentralen hatten den Anbieter Planet49 wegen einer schon vorangekreuzten Checkbox abgemahnt. Seitdem zog der Fall seine Kreise bis zum BGH, der den Fall dann für einige spezielle Fragen zum EuGH verweisen hat. Nach dem EuGH Urteil im Jahr 2019 war nun wieder der BGH als abschließende Instanz dran.
Der EuGH und aktuell auch der BGH (I ZR 7/16 ) haben entschieden, dass der Nutzer bei einer Zustimmung etwa bei bestimmten Cookies aktiv einwilligen muss. Ein „Surfen Sie ruhig weiter“ Banner ohne direkte Zustimmung (zum Beispiel ein Klick auf OK) reicht nicht aus. Auch eine schon ausgewählte Checkbox ist nicht erlaubt. Der Nutzer muss selbst aktiv zustimmen.
2. Warum ist der Fall „Planet49“ so wichtig für Webseitenbetreiber?
Fast alle kommerziellen Webseite setzen heute mehr oder weniger Cookies. Cookies sind eben praktisch und können zum Beispiel dafür genutzt werden, Inhalte von Warenkörben oder Daten für Nutzer LogIns zu speichern. Cookies werden aber auch dazu genutzt, einen Webseitenbesucher „wiederzuerkennen“, wenn er zurück auf eine Webseite kommt, die er schon einmal besucht hat, um ihm dann gezielt Werbung auszuspielen.
Hinzu kommt, dass die DSGVO zwar alles mögliche, aber nicht die Frage der Cookies regelt. Ob man für Cookies eine echte Einwilligung benötigt und wenn ja für welche Cookies, sollte die ePrivacy-VO schon 2018 regeln. Die ePrivacy-VO wird sehr wahrscheinlich aber auch im Jahr 2020 nicht in Kraft treten.
Um es noch komplizierter zu machen: Nicht verwechseln darf man die (noch nicht existente) ePrivacy-VO übrigens mit der in Deutschland niemals umgesetzten ePrivacy-Richtlinien. Deswegen galt hier zur Fragen Einwilligung ja oder nein dann das alte TMG. Aus § 5 Abs.3 TMG kommt das Erfordernis der „notwendigen Cookies“. Was dazu führt, dass die Einwilligung im Moment eben nicht für alle Cookies gilt, sondern eben nur für „nicht notwendige“ Cookies wie etwa Tracking- Cookies von Drittanbietern.
Zusätzlich zu diesem Chaos muss man sich bei der Frage „Cookie Einwilligung ja oder nein“ auch noch an den Auffassungen der Datenschutzbehörden und eben den Urteilen des BGH und des EuGH zu Cookies orientieren.
3. Was sind notwendige Cookies?
Leider gibt es keine Liste oder Datenbank mit einer Übersicht, welche Cookies notwendig sind und welche nicht.
Vielleicht hilft aber diese Aussage:
Notwendig sind alle Cookies, die technisch für den Betrieb einer Website und deren Funktionen erforderlich sind.
Es geht hier also ausschließlich um die technische Notwendigkeit, nicht um wirtschaftliche Überlegungen. Tracking-Cookies oder Affiliate-Cookies sind für die Funktion einer Webseite eben nicht erforderlich. Deswegen sind Sie auch keine notwendigen Cookies. Deswegen benötigen Sie eine Einwilligung.
4. Einwilligung, Cookie-Banner oder Consent Tool: Was denn nun?
Wenn Sie jetzt sagen: "Das ist mir wirklich zu blöd, wer soll all das noch verstehen“, dann stehen Sie nicht alleine da.
Hier deshalb die unjuristische Zusammenfassung:
1. Sie benötigen für alle nicht notwendigen Cookies - vor allem für Tracking Cookies wie etwa von Google Analytics, aber auch für alle anderen Tools und PlugIns, die technisch nicht notwendig sind - eine echte Einwilligung der Nutzer auf Ihrer Webseite.
2. Ein „Durch Weitersurfen akzeptieren Sie alle Cookies“ Banner oder ein Cookie Banner mit schon vorangekreuzter Checkbox reichen für die Einwilligung nicht aus.
3. Das Cookie- bzw. Einwilligungs-Banner muss die Cookies auch wirklich blockieren, bis der Nutzer eingewilligt hat.
5. Wie können Webseitenbetreiber, Agenturen und Webdesigner diese Vorgaben praktisch umsetzen?
Die zahlreichen rechtlichen Vorgaben im Zusammenhang mit Cookies, Tracking und Einwilligung und können Sie praktisch nur über ein so genanntes Consent Tool in Verbindung mit einer vollständigen Datenschutzerklärung umsetzen.
Beides bieten wir Ihnen bei eRecht24 Premium:
Die Profi-Version unseres Datenschutz-Generators. Und eine kostenfreie Profi-Version des Consent Tools von Usercentrics mit über 200 abgedeckten Tools und PlugIns für die Verwaltung der Cookies und Einwilligungen.
Sichern Sie Ihre Webseiten jetzt mit eRecht24 Premium ab!
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Wieso kann man bei DHL.de die Cookies nicht abschalten ? Und, wer kennt sich in dem WIRRWARR der Cookies noch aus ? Siehe Cookies von www.dhl.de :
DHL :
Notwendige Cookies
Immer aktiv
Diese Cookies dienen dem technisch einwandfreien Betrieb unserer Website und können in Ihren Systemen nicht deaktiviert werden.
Name
test
Host
dhl.de
Duration
Session
Type
1st Party
Description
If you know anything about this cookie and its uses that are not specific to a particular site please add your contributions.
Name
8e3bf6be8d4d96f012b043f8fb8832de
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
BIGipServerpl_origin-awxvzh0k3k-bonus-www.dhl.com_443
Host
www.dhl.de
Duration
Session
Type
1st Party
Description
This cookie name is associated with the BIG-IP product suite from company F5. Usually associated with managing sessions on load balanced servers, to ensure user requests are routed consistently to the correct server. The common root is BIGipServer most commonly followed by a domain name, usually the one that it is hosted on, but not always.
Name
47cec3f3c07a8104be6b87c3c450fcd0
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
verfolgenCsrfToken
Host
www.dhl.de
Duration
a few seconds
Type
1st Party
Name
bm_sz
Host
dhl.de
Duration
a few seconds
Type
1st Party
Name
lastActivity
Host
www.dhl.de
Duration
180 days
Type
1st Party
Name
akaalb_wwwdhldealb
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
3bee075008e4f4d7d7ca92165f87f9db
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
bm_mi
Host
www.dhl.de
Duration
a few seconds
Type
1st Party
Name
NOLSESSIONID
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
BIGipServerRD_030_POOL_STD_160.58.148.13_443_POPWEB
Host
www.dhl.de
Duration
Session
Type
1st Party
Description
This cookie name is associated with the BIG-IP product suite from company F5. Usually associated with managing sessions on load balanced servers, to ensure user requests are routed consistently to the correct server. The common root is BIGipServer most commonly followed by a domain name, usually the one that it is hosted on, but not always.
Name
BIGipServerRD_080_POOL_STD_149.239.125.76_443
Host
www.dhl.de
Duration
Session
Type
1st Party
Description
This cookie name is associated with the BIG-IP product suite from company F5. Usually associated with managing sessions on load balanced servers, to ensure user requests are routed consistently to the correct server. The common root is BIGipServer most commonly followed by a domain name, usually the one that it is hosted on, but not always.
Name
eDeviceID
Host
www.dhl.de
Duration
90 days
Type
1st Party
Name
OptanonAlertBoxClosed
Host
.www.dhl.de
Duration
1 year
Type
1st Party
Description
This cookie is set by websites using certain versions of the cookie law compliance solution from OneTrust. It is set after visitors have seen a cookie information notice and in some cases only when they actively close the notice down. It enables the website not to show the message more than once to a user. The cookie has a one year lifespan and contains no personal information.
Name
ak_bmsc
Host
www.dhl.de
Duration
a few seconds
Type
1st Party
Name
TS019c6793
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
OFISESSIONID
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
31d03feb679202a4b93c12e7e5905c08
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
lb-cookie
Host
www.dhl.de
Duration
Session
Type
1st Party
Name
check
Host
dhl.de
Duration
Session
Type
1st Party
Name
ASP.NET_SessionId
Host
shipping.dhl.de
Duration
Session
Type
1st Party
Description
General purpose platform session cookie, used by sites written with Miscrosoft .NET based technologies. Usually used to maintain an anonymised user session by the server.
Name
bm_sv
Host
www.dhl.de
Duration
a few seconds
Type
1st Party
assets.adobedtm.com
Name
check
Host
assets.adobedtm.com
Duration
a few seconds
Type
3rd Party
www.dhl.de
Name
BIGipServerRD_030_POOL_STD_160.58.148.13_443
Host
www.dhl.de
Duration
Session
Type
3rd Party
Description
This cookie name is associated with the BIG-IP product suite from company F5. Usually associated with managing sessions on load balanced servers, to ensure user requests are routed consistently to the correct server. The common root is BIGipServer most commonly followed by a domain name, usually the one that it is hosted on, but not always.
Name
ofi.ekp
Host
www.dhl.de
Duration
180 days
Type
3rd Party
dhl.de
Name
_abck
Host
dhl.de
Duration
1 year
Type
3rd Party
Description
Akamai Bot Manager - This cookie is to distinguish between human and bot. Also this is necessary to create valid reports for the website.
.www.dhl.de
Name
OptanonConsent
Host
.www.dhl.de
Duration
1 year
Type
3rd Party
Description
This cookie is set by the cookie compliance solution from OneTrust. It stores information about the categories of cookies the site uses and whether visitors have given or withdrawn consent for the use of each category. This enables site owners to prevent cookies in each category from being set in the users browser, when consent is not given. The cookie has a normal lifespan of one year, so that returning visitors to the site will have their preferences remembered. It contains no information that can identify the site visitor.
d.la1-c1-fra.salesforceliveagent.com
Name
X-Salesforce-CHAT
Host
d.la1-c1-fra.salesforceliveagent.com
Duration
Session
Type
3rd Party
warum wird um diesen Begriff "technische Cookies sind notwendig" so ein Wirbel gemacht ? Ich selber programmiere HP`s (nur Privat bzw. für unseren Verein) und benötige absolut keine Cookies, um die HP ausführen zu lassen, die ich auch noch selber auf einem RASPI hoste ! Das kommt mir ungefähr genauso blöd vor wie, wenn Ihr Autohersteller Ihnen VORSCHREIBT, welche Reifenmarke Sie fahren dürfen.... gemäß der Aussage : "....nur mit Reifen von xxxxxxx können wir als Fahrzeughersteller gewähren das Ihr PKW einwandfrei fährt.".
Hier sollte auch ein Riegel vorgeschoben werden..
Wer keine Kinder haben will, kann verhüten.
Wer keine Cookies haben will, kann sie im Browser abstellen.
Wer nicht überwacht werden will, kann sein Handy ins Klo werfen.
Das ist eigentlich super einfach.
Aber wegen des wirklich aller geringsten "Überwachungsproblems" fordert man ein Riegel vorzuschieben. Abslolut lächerlich.
Man fragt sich daher, warum man nicht endlich einen Internet-Führerschein einführt. Unter 18 - besser noch unter 21 - ist das Internet komplett verboten. Wegen Cookies. Dann sind wir alle ganz sicher.
(Verstanden)
Seltsam ... einen Abs. 3 suche ich in § 5 vergeblich.
Im Urteil ging es um § 15 Abs. 3 Satz 1 TMG.
In einem Satz spricht man speziell vom Tracking, im nächsten Satz steht wieder nur das Cookies eine Einwilligung brauchen??? Ich bitte um Entschuldigung für die Kleinkariertheit, aber für mich ist es wirklich wichtig hier genau zu sein. Sonst verwirrt es zu sehr.
Weiter entsteht doch nun die Frage wie man die Einwilligung dokumentieren soll? Ich muss es ja nachweisen können das der Nutzer eingewilligt hat ...
Es ist wirklich nicht einfach was die Herren Politiker da teils auf den Weg bringen ...
Mit dem eigentlichen Problem wird sich nicht richtig auseinandergesetzt und was daraus resultiert sind sinnlose Maßnahmen für Webseiten-Betreiber und -Besucher.
Des weiteren würde ich es begrüßen wenn es einen Web-Standard in Sachen Consent geben würde, so dass der Browser des Nutzers direkt zum Consent Management benutzt werden kann und man sich nicht mit kurzlebigen aber kostspieligen Insellösungen herumschlagen muss.
gibt es millionenfach Webseiten von Künstlern die mit all dem was Seesions-cookies angeht überhaupt nichts am Hut haben. Und falls jemand doch eine Thirdpart sprich
soziale Netzwerke oder Youtube Videos einbindet, wem intressiert das?
Der sogenannte "gläserne Bürger" ist der, der seine Cookies niemals löscht, weil er sprich überhaupt keine Ahnung hat
gerade war ich auf der DHL-Seite und fand es überaus amüsant, dass sie zwar neuerdings den Zustimmungsbanner einblenden, das Tracking aber auch ohne Zustimmung läuft.
1) Trotz "Ablehnung" konnte ich Youtube-Videos auf der Seite abspielen, ohne zu einer Freigabe aufgefordert zu werden. Ein Blick in die Konsole zeigt mir, dass der YT Cookie aktiv ist. Wenn ich mir nun die Erklärung auf der Website von UC ansehe, dann sehe ich dass Youtube als "funktionaler Cookie" deklariert wurde, und damit nicht von mir abgelehnt werden kann (deaktivieren unmöglich). Meine IP wird laut Selbstauskunft selbstverständlich gespeichert.
2) Wird Matomo (als Google Analytics Alternative) ebenfalls als "Funktionaler Cookie" geführt. Somit werde ich gegen meinen Willen erfasst, nur halt über Matomo. Vielleicht hat der Betreiber Matomo und Youtube bewusst und entgegen der allgemeinen Auffassung so deklariert, was für mich nach einer ziemlichen Schummelei aussieht. Auch über Matomo wird laut Selbstauskunft zu allem Überfluss meine vollständige IP erfasst, was nicht einmal Google Analytics macht. Ich setze mich also einer weitaus aggressiveren Erfassung aus, als es mit GA der Fall wäre. Dass die gegen meinen Willen erhobenen persönlichen Daten auf einem unsicheren eigenen Server des Websitebetreibers lagern werden, macht die Sache nicht besser.
Es muss daher keine Schwäche des Tools sein, sondern allein der vermeintlichen Kreativität des Website-Betreibers geschuldet, wenn meine Überwachung als 'funktional' und somit technisch unabdingbar erklärt wird. Ich finde aber, als Hersteller einer solchen Lösung sollte UC vorbildlich handeln, und nicht das Gegenteil tun von dem was sie predigen. Auch zweifle ich daran, dass so ein Vorgehen abmahnsicher ist. Aber das wissen Sie sicher besser!
Geht das dann in Ordnung?
Muss man z.B. für ein technisch einwandfrei umgesetztes und reines Session Cookie nun auch eine Frage stellen oder gar ein Opt-In anbieten?
Wenn ich KEIN Analytics, FB-Pixel o.ä. einsetze, also aktiv nichts tue, um irgendwelche Daten zu sammeln, dann werden ja trotzdem Cookies gesetzt.
Muss ich trotzdem ein Cookie-Banner haben, dem der Besucher aktiv zustimmt??
Weiterhin habe ich anderswo gelesen, dass bei notwendigen Cookies sogar KEIN Cookie-Banner angezeigt werden soll??
Danke für Aufklärung
Wie handhabt ihr das?
Ich stamme aus den Anfängen des Internet und damals funktionierten Webseiten auch ohen Cookies wunderbar, (was sie auch heute noch tun). Irgendwann kamen dann die Cookies, hauptsächlich durch die Werbebranche und Firmen wie Google, die alles über die User erfahren wollten. Die User hat es kaum interessiert. Den meisten Usern waren die Cookies egal, meist wussten sie nicht mal was Cookies sind. 20 Jahre lang hat das Internet so recht gut funktioniert. Aber gerade in Deutschland muss es ja für alles eine Regelung geben, wo kämen wir denn sonst hin? Nun sind die Cookies dran. Und nun muss jeder aktiv zustimmen. Das hatten wir schon bei den E-Mails, wo es auch Sinn macht. Cookies kann jeder selber löschen oder blockieren.
Die meisten User sind nur noch genervt von den ewigen Cookie Bannern und haben sie einfach weggeklickt. Jetzt brauchen sie einen Klick mehr um zuzustimmen. Viel ändern wird sich deshalb nicht, es werden weiter Tracking Cookies eingesetzt. Und Webseitenbetreiber die Böses im Schilde führen werden auch weiterhin nicht fragen.
Für mich reine Zeitverschwendung. Ich selber programmiere meine Webseiten nur noch ohne Cookies. Der einfachste Weg. Und die Big Player werden andere Techniken nutzen. Dafür wird es dann wieder irgendwann Regelungen geben.
Datenschutz muss sein und ist wichtig, aber man kann auch alles Totregulieren.
Ich denke, wir haben ganz andere Probleme.
Die Menschen sollen sich nun um Cookies Gedanken machen... Nunja.
Würden alle User genau wissen, was alles technisch machbar ist in Bezug auf Mobiltelefone, würden die meisten ihr Handy verbrennen (oder vielleicht auch nicht, weil viele User die Gefahren einfach ignorieren)
Ich halte hin und wieder Vorträge zu diesem Thema und bin immer wieder erstaunt, wie wenig die User wissen, bzw wie wenig es manche interessiert.
Aber eines muss man im Umgang mit den modernen Techniken einfach wissen, Cookies sind unser geringstes Problem.
es freut mich, das wenigstens Sie ohne Cookies programmieren. Ich stamme auch aus der Zeit weit vor den Anfängern des Internets :-) Wir "klapperten" in meiner Jugend noch die Mailboxen ab, und schielten ganz genau auf den Tarifzähler vom Telefon (ja, es gab einmal die Zeit wo noch die Minutentaktung des Telefon`s die Telefongewohnheit diktierte). Ich schaue kritsich auf das Begehren der BigPlayer....ich wäre (konjunktiv !) auch ggfs. bereit ab & zu Datenspuren zu hinterlassen, aber ich lasse mich nicht zwingen angeblich-notwendige Cookies zu akzeptieren, siehe DHL wie in meiner Kritik. Wenn eine Firma höflich bittet, und mir das Angebot / oder die Seite gefällt, dann lasse ich auch Cookies zu. Aber generell stehe ich diesem Müll kritisch gegenüber, denn wie ist es : Mit den technisch-notwendigen Cookies fängt es an, und endet mit der Vorschrift Ihres Autoherstellers, welches Gummi auf Ihre Felgen dürfen, um eine funkionalität Ihres PKW`s zu gewährleisten....
Ich schüttel mich immer mehr...wann kommt endlich ein Verein/Rechtsanwalt und kloppt einmal dazwischen ? Technisch....Notwendig.... tzz tzz
wie sieht es mit der Lösung aus das eine Vorauswahl getroffen wird (sprich alle Häckchen sind gesetzt) der User aber erst noch mit "ja ich akzeptiere alle cookies" bestätigen muss das er auch alles möchte. Direkt darunter gibt es einen Knopf "nur essentielle cookies akzeptieren" mit dem sämtliche Tracking Geschichten abgeschaltet werden aber z.b. Warenkorb / Session cookies freigeschaltet werden. Ist das noch Legal? So kann der Besucher doch eine Wahl treffen...
muß jetzt erst wieder Jahrelang geklagt werden, bevor die HP-Betreiber einsehen, das "technisch-notwendige" Cookies es nicht gibt, und das nur eine Ausrede ist ?
[Zitat Anfang] Kaum eine Webseite funktioniert heute ohne Cookies. Diese sind dafür da, einen Nutzer „wiederzuerkennen“, wenn er zurück auf eine Webseite kommt, die er schon einmal besucht hat. Oder wenn es sich um Tracking Cookies handelt den Nutzer über verschiedene Webseiten zu erkennen. [Zitat Ende]
Praktisch alles in diesem Absatz ist falsch. Auch wenn heute fast alle Webseiten Cookies verwenden, würden die meisten von ihnen doch auch ohne sie tadelos funktionieren (selbst Werbung).
Cookies sind nicht "dafür da, einen Nutzer wiederzuerkennen", das ist lediglich eine mögliche Verwendung von Cookies. Cookies sind dazu da, kleine Textinformationen im Browser zwischenzuspeichern. Das kann auch ein Warenkorb auf einer Shoppingseite sein, ein Spielstand auf einer Gamingseite, oder einfach ein Login.
Die anschließend genannten Trackingcookies (die im Grunde auch nur normale Cookies sind) sind genau die Variante, die Nutzer wiedererkennen soll. Das Erkennen über verschiedene Webseiten hinweg, ist hingegen wieder nur eine mögliche Variante der Trackingcookies, die hauptsächlich von Werbefirmen verwendet wird.
Mir ist durchaus bewusst, dass Herr Siebert eigentlich nur eine leicht verständliche Erklärung für Nicht-Techniker geben wollte. Aber das geht auch, wenn man die Fakten korrekt wiedergibt.
Beispiel:
Kaum eine Webseite verwendet heute keine Cookies. Diese werden oft dafür verwendet, einen Nutzer "wiederzuerkennen", wenn er zurück auf eine Webseite kommt, die er schon einmal besucht hat. Mit diese sogenannten Tracking Cookies kann der Nutzer auch über verschiedene Webseiten erkennt werden.
Was den "Cookies sind dazu da Nutzer wiederzuerkennen" Teil angeht, ja, natürlich ist das vereinfacht. Aber die Beispiele die Sie genannt haben (...Warenkorb auf einer Shoppingseite, ein Spielstand auf einer Gamingseite oder einfach ein Login...) haben ja genau dieses Ziel: Über ein Cookie kann der Spielstand A einem Nutzer B zugeordnet werden.
Diese Fragen sind rechtlich und technisch sehr komplex, ohne Vereinfachung geht es da oft eben nicht.
... und hebt sich dadurch deutlich von der Konkurrenz ab, aber ich verkaufe auch keine Handtaschen o.ä.