Switch language: Englisch
Kontakt
x

täglich 6-22 Uhr erreichbar Tel.: +49 341 926590

Fax: 0341 / 926 59 100

Vereinbaren Sie einen Rückruftermin!

E-Mail: info@haendlerbund.de

Mitglieder-Login
Tel:+49 341 926590

täglich 6-22 Uhr erreichbar

Das E-Commerce Netzwerk
mit über 80.000 betreuten Onlinepräsenzen

Cookie Hinweis
rechtssicher verwenden

Bei Cookies handelt es sich um kleine Textdateien, die von einer Website, die der Nutzer besucht, auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Webseite auf, kann ein Cookie auf dem Rechner des Nutzers gespeichert werden. Dieses Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Dies dient bspw. dazu, dass die Nutzung von Websites reibungslos abläuft. Regelmäßig werden Cookies bei der Verwendung von Online-Marketing-Tools eingesetzt, aber auch bei Analyse-Tools, Plug-ins und von Affiliate-Netzwerken.

Unter welchen Voraussetzungen darf ich Cookies verwenden?

Seit dem 1. Dezember 2021 findet sich die Rechtsgrundlage für Cookies und vergleichbare Technologien in § 25 TTDSG (Telekommunikations-Telemedien-Datenschutzgesetz). Demnach besteht für Cookies grundsätzlich die Pflicht, vor ihrer Verwendung eine ordnungsgemäße Einwilligung des Betroffenen einzuholen. Diese Pflicht gilt zunächst unabhängig davon, ob die durch die Cookies gespeicherten oder ausgelesenen Daten personenbezogen sind oder nicht. Auch andere Technologien können durch diese Vorschrift erfasst sein, wie z.B. das sogenannte Browser-Fingerprinting.

Die Umsetzung erfolgt derzeit in der Regel mittels sogenannter Consent Tools, häufig in der Form von Cookie Bannern.

Von der Einwilligungspflicht bestehen zwei Ausnahmen:

  • Alleiniger Zweck ist die Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz
  • Verarbeitung ist notwendig, wenn sie unbedingt erforderlich ist, um den Dienst bereitzustellen

Für die Praxis im Online-Handel ist die zweite Ausnahme von großer Bedeutung. Ist ein Cookie für die Bereitstellung eines ausdrücklich erwünschten Telemediendienstes (z.B. eines Online-Shops) unbedingt erforderlich, kann auf eine Einwilligung für das Setzen des Cookies unter Umständen verzichtet werden. Mehr Informationen gibt es weiter unten.

Vorgeschichte – umstrittene Rechtslage bis 2020

Die rechtliche Lage der Einwilligungsbedürftigkeit von Cookies war in Deutschland zuletzt umstritten. Mit seinem Urteil vom 28. Mai 2020 hat der Bundesgerichtshof eine Grundsatzentscheidung zur Rechtsgrundlage der Verwendung von Cookies getroffen (Az. I ZR 7/16). Danach fand grundsätzlich § 15 Abs. 3 Telemediengesetz (TMG) Anwendung, auch unter Geltung der DSGVO. Mit dem Inkrafttreten der Regelung im TTDSG hat diese Vorschrift ihre Bedeutung verloren.

Der BGH machte im Anschluss an die Entscheidung des EuGH (siehe Exkurs) jedoch deutlich, dass diese Norm dahingehend zu verstehen sei, dass Cookies nur mit einer aktiven Einwilligung des Betroffenen gesetzt werden dürfen, sofern diese Nutzungsprofile bei der Verwendung von Pseudonymen erstellen und zum Zwecke der Werbung oder Marktforschung eingesetzt werden.

EXKURS - EUROPARECHTLICHE VORSCHRIFTEN

Nach der ePrivacy-RL (Richtlinie 2002/58/EG, Änderung durch Richtlinie 2009/136/EG) steht die Nutzung von Cookies im Grundsatz unter der Voraussetzung, dass vor deren Setzen die Einwilligung des Seitenbesuchers eingeholt werden muss. Das bedeutet: Sobald ein konkretes Tool Cookies setzt, braucht es vorher die aktive Einwilligung des Seitenbesuchers. Für notwendige Cookies gilt jedoch eine Ausnahme (siehe Ziffer 5). Der Europäische Gerichtshof (EuGH) hat zur Notwendigkeit der aktiven Einwilligung für das Setzen von Cookies am 01.10.2019 eine wegweisende Entscheidung getroffen.

Der EuGH hat ausdrücklich festgestellt (Urteil v. 1.10.2019, Rs. C-673/17), dass vor dem Setzen von Cookies eine sachkundige und freie Einwilligung hierfür eingeholt werden muss. Für eine wirksame Einwilligung bedarf es einer aktiven Handlung des Seitenbesuchers, insbesondere genügt ein voreingestelltes Ankreuzkästchen dem Einwilligungserfordernis nicht. Die Entscheidungen des EuGH zur Auslegung des europäischen Rechts haben für die nationalen Gerichte Bindungswirkung, sodass der BGH die Feststellungen in der oben genannten Entscheidung berücksichtigen musste.

Lassen Sie Abmahner abblitzen

Shop-Tiefenprüfung entdeckt Abmahngefahren, bevor sie ein Abmahner findet. Ein Jurist prüft Ihre Onlinepräsenz anhand über 100 Prüfkriterien. So haben Abmahner keine Chance.

Wie muss die Einwilligung eingeholt werden?

Der betreffende Seitenbesucher muss auf der Grundlage von klaren und umfassenden Informationen seine aktive Einwilligung zum Setzen von Cookies geben. Artikel 5 Absatz 3 der Richtlinie 2002/58/EG geändert durch RL 2009/136/EG vom 25.11.2009 verlangt von den Mitgliedstaaten, dass diese sicherstellen, "dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat."

Die Einwilligung hat demnach freiwillig, informiert, konkret und durch eine eindeutig bestätigende Handlung des betroffenen Nutzers zu erfolgen. Zum Einholen der Einwilligung auf Webseiten haben sich inzwischen sogenannte "Consent-Tools" etabliert. Hierzu haben wir einen Überblick über ausgewählte Consent Management-Tools erstellt. Dabei kann durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website die Einwilligung der Nutzer eingeholt werden. Die Einwilligung muss eingeholt werden bevor die Cookies gesetzt werden.

  • Während das Cookie-Banner angezeigt wird, sind alle Skripte der Website, die Nutzerdaten erfassen, blockiert. Zustimmungsbedürftige Cookies dürfen noch nicht gesetzt werden.
  • Der Zugriff auf Impressum und Datenschutzerklärung muss weiterhin möglich sein.
  • Erst wenn der Nutzer seine Einwilligung durch eine aktive Handlung (bspw. durch Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche) gibt, dürfen die einwilligungsbedürftigen Datenverarbeitungen tatsächlich beginnen bzw. die Cookies gesetzt werden.

Zudem hat der betroffene Nutzer das Recht, die Einwilligung jederzeit zu widerrufen und muss darüber vor Abgabe der Einwilligung informiert werden. Die Ausübung des Widerrufs muss dabei in ebenso einfacher Weise möglich sein, wie die Erteilung der Einwilligung selbst. Die erteilten Einwilligungen müssen protokolliert werden, so dass im Streitfall der Nachweis einer vorliegenden Einwilligung erbracht werden kann. Ferner muss die informierte Einwilligung so formuliert sein, dass der Betroffene erkennt, für welchen konkreten Fall er in welche Datenverarbeitungen einwilligt.

  • Nach Ansicht der Datenschutzbehörden soll das Cookie-Banner eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge vorhalten. Dabei sollen alle beteiligten Akteure benannt und deren Funktion sowie die beabsichtigten Verarbeitungen ausreichend erklärt werden. Über ein Auswahlmenü sollen diese einzeln aktiviert werden können.
  • Fragen zur konkreten Umsetzung, insbesondere wie detailliert und umfassend bereits in dem Cookie-Banner über alle Tools und deren Anbieter informiert werden sollte und wie dies technisch-gestalterisch umzusetzen ist, haben die Datenschutzbehörden allerdings offen gelassen.
Achtung

Allen Seitenbesuchern, die keine Einwilligung erteilen, muss es gleichwohl weiterhin möglich sein, die Website zu besuchen, ohne dass einwilligungsbedürftige Cookies gesetzt werden.

Shop-Tiefenprüfung

Der eigene Online-Shop - So gelingt der Start

  • Alles rechtens? Rechtstexte für ein sicheres Fundament
  • Cookie-Lösung für Ihre Datensicherheit
  • Weiterbildungsplattform für Ihre E-Commerce-Erfolge

Genügt ein Weitersurfen dem Einwilligungserfordernis?

Nach den Feststellungen des EuGH in seiner Entscheidung vom 01.10.2019 (siehe Ziffer 2) kann ein "Markieren eines Feldes auf einer Internet-Website" eine Einwilligung darstellen. Die Einwilligung kann nach dem EuGH "in jeder geeigneten Weise gegeben werden (...), durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt"(EuGH, Urteil vom 01.10.2019, Rs. C-673/17). Entscheidend ist demnach ein aktives Handeln des Seitennutzers, so dass eine Einwilligung auch auf anderen Wegen als der Bestätigung mittels einer Checkbox abgegeben werden kann.

Entsprechend kommt daher die Frage auf, ob die Einwilligung auch durch ein aktives Nutzen der Seite (bspw. durch Weitersurfen) nach entsprechendem vorherigem Hinweis erteilt werden kann. Das Weitersurfen kann insoweit eine aktive Handlung darstellen. Nicht abschließend geklärt ist jedoch, ob dies bereits als ausreichende Willenserklärung zum Setzen von Cookies gilt. Zumindest entspricht diese Lösung nicht der strengen Ansicht der Datenschutzkonferenz, so dass bei dieser Lösungsmöglichkeit Vorsicht geboten ist.

Ausnahmen: notwendige Cookies

Bei der Umsetzung im TTDSG hat sich der deutsche Gesetzgeber stark an den EU-rechtlichen Vorgaben orientiert. Nach Artikel 5 Absatz 3 der Richtlinie 2002/58/EG ist für die Verwendung von Cookies dann aber keine Einwilligung erforderlich,

  • "wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist" oder
  • "wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann".

Die benannten Ausnahmetatbestände haben nur einen sehr engen Auslegungsspielraum und bedürfen für den jeweiligen Einzelfall einer konkreten Prüfung. Als Faustformel gilt hier, wenn die Webseite ohne den Cookie ordnungsgemäß dargestellt werden kann, ist dieser kein technisch notwendiger Cookie. Gewisse Cookies sind damit vom Einwilligungserfordernis in Kenntnis der Sachlage ausgenommen, sofern sie nicht für weitere Zwecke verwendet werden. Hierbei handelt es sich nach der Stellungnahme der Artikel-29-Datenschutzgruppe zur Ausnahme von Cookies von der Einwilligungspflicht (00879/12/DE WP 194) insbesondere um folgende:

User-Input-Cookies (Session-ID)

für die Dauer einer Sitzung oder in bestimmten Fällen persistente Cookies, deren Gültigkeitsdauer auf wenige Stunden beschränkt ist: Diese dienen dem temporären Speichern von Nutzereingaben beim Ausfüllen von mehrseitigen Online-Formularen oder als Warenkorb zum temporären Speichern der vom Nutzer durch Anklicken einer Schaltfläche (z. B. "In den Warenkorb") ausgewählten Artikel. Diese Cookies sind erforderlich, um dem Nutzer den konkreten Dienst zur Verfügung zu stellen und sind mit einer konkreten Aktion des Nutzers verbunden.

Authentifizierungscookies

für Dienste, bei denen eine Authentifizierung erforderlich ist, für die Dauer einer Sitzung: Diese Cookies dienen dazu, den Nutzer zu identifizieren, nachdem er sich angemeldet hat, so dass sich der Nutzer bei aufeinanderfolgenden Besuchen einer Website authentifizieren und auf Inhalte, für die eine Zugriffsberechtigung erforderlich ist, zugreifen kann.

Nutzerorientierte Sicherheitscookies

zur Erkennung von Authentifizierungsmissbrauch für eine begrenzte längere Dauer: Diese dienen der besseren Sicherheit des vom Nutzer ausdrücklich angeforderten Dienstes, wie beispielsweise Cookies, die wiederholt fehlgeschlagene Anmeldeversuche auf einer Website entdecken oder auf andere Weise das Login-System vor Missbrauch schützen.

Multimedia-Player-Sitzungscookies

wie Flash-Player-Cookies für die Dauer einer Sitzung: Diese dienen der Speicherung von technischen Daten, die zur Wiedergabe von Video- oder Audio-Inhalten, wie etwa Bildqualität, Verbindungsgeschwindigkeit des Netzwerks und Pufferungsparameter.

Lastverteilungs-Sitzungscookies

für die Dauer der Sitzung: Diese betreffen die Verteilung von Webserveranfragen auf einem Serverpool. Mit dem Lastenverteilungs-Sitzungscookie kann einen konkrete Zuordnung eines Servers im Pool gewährleistet werden.

Persistente Cookies

zur Anpassung der Benutzeroberfläche für die Dauer einer Sitzung (oder etwas länger): Typische Beispiele sind Cookies für Spracheinstellungen, mit welchen die vom Nutzer verwendete Sprache gespeichert werden kann oder Cookies für die Darstellung von Suchergebnissen, welche die Einstellungen des Nutzers für Online-Suchanfragenspeichern.

Welche Cookies sind von der Einwilligungspflicht nicht ausgenommen?

Insbesondere ist die Nutzung von Analyse- und Werbe-Tracking-Tools oder von Affiliate-Programmen, die Cookies setzen, grundsätzlich nur nach vorheriger aktiver Einwilligung des Seitenbesuchers zulässig. Die Datenschutzaufsichtsbehörden haben mittlerweile ihre bereits geäußerte Auffassung (Orientierungshilfe der Aufsichtsbehörden, Stand März 2019) bekräftigt, wonach bei der Einbindung von Tools wie bspw. Google Analytics zwingend eine Einwilligung des Seitenbesuchers einzuholen ist. Insbesondere führt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit aus, dass eine wirksame Einwilligung nicht mit der einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen eingeholt werden kann. Ebenso sind Tracking-Cookies von Social Plug-ins erfasst. Werden die von den Social Plug-ins gesetzten Cookies für weitere Zwecke, wie verhaltensorientierte Werbung, Analysen oder Marktforschung genutzt, bedarf es einer entsprechenden Einwilligung durch den Nutzer. In diesen Fällen sind die verwendeten Cookies gerade nicht als für eine vom Nutzer ausdrücklich gewünschte Funktion unbedingt erforderlich.

Ebenso werden Webanalyse-Tools nicht von der Ausnahmeregelung erfasst. Diese werden vor allem von Websitebesitzern verwendet, um die Zahl der Einzelbesucher zu erfassen, die wichtigsten Suchbegriffe, die über Suchmaschinen zu einer Website führen, zu ermitteln oder Navigationsprobleme der Website aufzuspüren. Diese Tools sind für das Betreiben einer Website nicht unbedingt erforderlich, der Nutzer kann auch dann auf die Funktionen der Website zugreifen, wenn diese Cookies deaktiviert sind. Zudem bedürfen Plug-ins, welche die Einbindung von Videos ermöglichen, dann der Einwilligung, sobald hierdurch Daten für Analyse- oder Werbezwecke an Drittanbieter übermittelt werden, wie bspw. bei der Einbindung von YouTube-Videos.


Was bedeutet das für die Datenschutzerklärung?

Über alle Datenverarbeitungen auf der Website ist in der Datenschutzerklärung zu informieren. In jedem Falle obliegt dem Websitebetreiber eine entsprechende Hinweispflicht. Insbesondere für Tools und Cookies, die nun nur noch mit Einwilligung verwendet werden dürfen, muss in der Datenschutzerklärung auch über die Einwilligung als Rechtsgrundlage informiert werden. Ebenso muss auch in der Datenschutzerklärung über die Verwendung von notwendigen Cookies informiert werden, obgleich es einer Einwilligung ausnahmsweise nicht bedarf. Prüfen Sie deshalb unbedingt Ihre Datenschutzerklärung und passen Sie diese entsprechend an.

Im Dezember 2021 hat die Datenschutzkonferenz als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder eine neue Orientierungshilfe für Anbieter von Telemedien veröffentlicht.

Hinweis für Mitglieder:

Im Mitgliederbereich können Sie sich die passende Datenschutzerklärung für Ihre Internetpräsenz erstellen und in Ihrer Online-Präsenz einbinden. Sie können die verwendeten Tools auswählen und ob diese erst nach Einwilligung eingesetzt werden.

Der Händlerbund - Ihr Partner im E-Commerce

Alles für Online-Händler

Sie wollen im E-Commerce Erfolge feiern? Mit unseren spezialisierten Lösungen unterstützen wir Sie als Online-Händler in allen Bereichen des E-Commerce.

Rechtsberatung vom Profi

Sie haben rechtliche Fragen? Wie beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen Ihnen, bei rechtlichen Fragen gern zur Seite.

Nichts mehr verpassen

Mit unseren Newslettern sind Sie immer am Puls des Online-Handels und erfahren als Erstes von Gesetzesänderungen, neuen Chancen und Trends im E-Commerce.

Anchor Top
+49 341 92659462
sales@haendlerbund.de
Rückrufwunsch