von Daniel Huber

Cookie-Hinweis gemäß Google ab 30.09.2015 Pflicht! Was haben Websitebetreiber zu beachten?

News vom 28.08.2015, 14:10 Uhr | 3 Kommentare 

Google hat Ende Juli 2015 für Aufregung in der deutschen Online-Welt gesorgt, als das Unternehmen angekündigt hat, die eigenen Richtlinien zum Datenschutz in Bezug auf Cookies bei einigen seiner Programme und Apps zu verschärfen. Betreiber von Websites fragen siche, ob und wie sie ihre Webseiten umgestalten müssen, um dem neuen Google-Standard zu genügen, damit sie nicht negativ auffallen und vielleicht sogar in eine Abmahnfalle geraten. Lesen Sie mehr zur Problemstellung, dem Hintergrund und der Lösung der IT-Recht Kanzlei in unserem Beitrag!

Die IT-Recht Kanzlei stellt Ihnen die Cookie-Thematik vor, zeigt insbesondere welche Vorgaben die Cookie-Richtlinie macht und welche Anforderungen daraus für Betreiber von Webseiten folgen und wie diesen Anforderungen Rechnung getragen werden kann. Dabei wird vor allem aufgezeigt, welche Anforderungen Google-Kunden bis zum 30.09.2015 gemäß Google erfüllen müssen.

I. Ungenießbare Kekse?

Cookies sind aus dem Internet kaum wegzudenken. Diese kleinen Datenpakete, die – je nach Programmierung – auf dem Rechner eines Nutzers installiert werden, wenn dieser eine bestimmte Website besucht, haben einige nützliche Eigenschaften. Wird dieselbe Internetseite erneut aufgesucht, übermittelt die Datei dem Anbieter ungefragt die in dem Cookie gespeicherten Daten. Die Vielfalt an verschiedenartigen Cookies ist groß, so können etwa Login-Daten durch sog. Session-Cookies gespeichert werden, so dass sich die Nutzer nicht auf jeder Unterseite einer Website erneut einloggen müssen (etwa in einem Diskussionsforum oder in einem Webshop), sondern die gesamte Zeit eingeloggt bleiben.

Andererseits kann mit Hilfe von Cookies auch das gesamte Nutzerverhalten mitprotokolliert werden, was für gezielte und maßgenaue Werbung äußerst nützlich ist.

Wo jedoch personenbezogene Daten erhoben werden, hat der Schutz dieser Daten zu Recht große Bedeutung. Die Erhebung, Speicherung, Nutzung und Weitergabe von persönlichen Daten individualisierbarer Personen darf zu deren Schutze nicht unkontrolliert ablaufen.

Aus diesem Grund enthält nicht nur das deutsche Telemediengesetz (kurz: TMG), sondern auch die europäische Richtlinie Nr. 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kürzer: Datenschutzrichtlinie für elektronische Kommunikation) und die diese abändernde sog. E-Privacy-Richtlinie Nr. 2009/136/EG eine Reihe von Schutzbestimmungen.

Seit Erlass der letztgenannten Richtlinie ist jedoch unklar, welche Vorschriften nun für Anbieter von Webseiten in Deutschland konkret gelten. Seit neustem interpretiert Google jedoch für einige seiner Anwendungen das Datenschutzrecht auch in Deutschland strenger als bisher. Viele kleinere, insbesondere kommerzielle Webseiten-Betreiber, beispielsweise von Webshops, sind dadurch verunsichert und wissen nicht, wie sie darauf reagieren sollen. Dürfen sie Cookies überhaupt weiterhin verwenden? Müssen sie nun anders mit ihren Nutzern umgehen?

Rechtstexte der IT-Recht Kanzlei - schon ab 5,90 Euro / Monat

Rechtstexte der IT-Recht Kanzlei - schon ab 5,90 Euro / Monat

Über 30.000 Internet-Präsenzen nutzen bereits die Rechtstexte der IT-Recht Kanzlei. Machen Sie Ihre Präsenz jetzt fit für die EU-Verbraucherrechterichtlinie und vertrauen auch Sie auf dem Schutz der führenden Kanzlei in Sachen dauerhafter Online-Händler-Betreuung.

II. Cookies und Google

Ende Juli 2015 hat Google den Kunden bzw. Nutzern von „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ vorgeschrieben, bis zum 30. September 2015 verpflichtend einen Hinweis auf Cookies in die besagten Webseiten und Apps aufzunehmen:

"Lieber Publisher,
hiermit möchten wir Sie auf eine neue Richtlinie zur Einholung der Zustimmung der Endnutzer in der EU hinweisen, mit der den geltenden gesetzlichen Vorgaben und Best Practices Rechnung getragen wird. Diese Richtlinie sieht vor, dass Sie zur Einholung der Zustimmung des Endnutzers verpflichtet sind, wenn Sie Produkte wie Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange einsetzen.
Bitte lesen Sie möglichst bald unsere Richtlinie zur Zustimmung der Nutzer in der EU. Gemäß diesen Richtlinien müssen Sie die Zustimmung der Endnutzer in der EU einholen, wenn Sie Google-Produkte einsetzen und dabei Cookies und andere Daten gespeichert und abgerufen sowie Daten erfasst, weitergegeben und genutzt werden. Die Richtlinie hat keine Auswirkungen auf die in Ihrem Vertrag enthaltenen Bestimmungen über das Eigentum an Daten.
Bitte setzen Sie diese Richtlinie so bald wie möglich um, spätestens jedoch bis zum 30. September 2015.
Falls Ihre Website oder App über keinen der Richtlinie entsprechenden Zustimmungsmechanismus verfügt, implementieren Sie bitte jetzt einen solchen. Um Ihnen die Implementierung zu erleichtern, haben wir einige hilfreiche Ressourcen unter cookiechoices.org für Sie zusammengestellt.
Diese Richtlinienänderung erfolgte in Reaktion auf die Best Practices und rechtlichen Vorgaben der europäischen Datenschutzbehörden. Entsprechend diesen Vorgaben wurden vor Kurzem auch Änderungen an Googles eigenen Websites vorgenommen.
Vielen Dank für Ihr Verständnis und Ihre Mithilfe
Mit freundlichen Grüßen
Ihr Google-Richtlinienteam"

Google ändert hierfür die eigenen Nutzungsrichtlinien. Warum die großen und weit verbreiteten Programme „Google Analytics“ und „Google AdWords“ davon – zumindest zunächst – nicht betroffen sind, ist unklar. Manche vermuten, dies seien wohl „Testballons“, die Google zunächst im Kleineren steigen lasse, um das Große und Ganze besser einschätzen zu können und ggf. später dann insgesamt nachzuziehen.

Hintergrund der neuerlichen Google-Aktion ist vor allem die Richtlinie Nr. 2009/136/EG, die in Deutschland bislang ein zugleich bewegtes und unbewegtes Dasein gefristet hat: unbewegt deshalb, weil sie vom Gesetzgeber bislang nicht aktiv ins deutsche Recht umgesetzt worden ist; bewegt anderseits deshalb, weil man viel darüber diskutiert (hat), ob eine solche Umsetzung überhaupt erforderlich ist.

Bei Google scheint man nun für sich klare Verhältnisse schaffen zu wollen. Da Google als Big Player ein Fixstern und Bezugspunkt vieler Web-Unternehmen ist, könnte ein Domino-Effekt ausgelöst werden: alle passen sich Google an, wer dies nicht tut, setzt sich möglicherweise Maßnahmen von Datenschutzbeauftragten aus. Ob auch Abmahnungen von Mitbewerbern drohen, ist gegenwärtig noch unklar, da momentan ganz generell diskutiert wird, ob Verstöße gegen das Datenschutzrecht wegen dessen stark persönlichkeitsrechtlichen Charakters überhaupt lauterkeitsrechtlich (via § 4 Nr. 11 UWG) abgemahnt werden können. Die Instanzgerichte haben dies teilweise bejaht; höchstrichterlich ist das jedoch noch nicht entschieden worden.

III. Die Vorgaben der E-Privacy-Richtlinie Nr. 2009/136/EG

Im Jahr 2009 hat die EU (damals noch: EG) in der auch als „Cookie-Richtlinie“ bezeichneten Richtlinie Nr. 2009/136/EG neue Vorschriften zum Umgang mit Cookies erlassen. Wichtig ist dabei vor allem Artikel 2 Nr. 5, der wie folgt lautet:

"Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."

(Hervorhebungen durch den Zitierenden)

Demzufolge dürfen Anbieter von Webseiten und Apps Informationen, die in den Geräten (PC, Tablets, Smartphones etc.) des Nutzers gespeichert sind, kurz gesagt nur dann erheben und speichern, wenn:

1. der Nutzer darüber klar und umfassend informiert worden ist, und
2. der Nutzer in die Datenerhebung und -speicherung eingewilligt hat.

Ausnahmen hiervon bestehen lediglich dann, wenn die Erhebung der Daten (technisch) erforderlich ist, um eine Nachricht in einem elektronischen Kommunikationsnetz zu übertragen, etwa bei einer E-Mail oder eine WhatsApp-Nachricht, oder wenn der Nutzer einen elektronischen Dienst bzw. eine Dienstleistung angefordert hat und das Erheben der Daten hierfür unbedingt (technisch) erforderlich ist. Im Prinzip lässt sich dann bereits in dem Anfordern des Dienstes durch den Nutzer dessen Zustimmung in die Erhebung der dafür erforderlichen Daten erblicken.

Somit sind Cookies in zwei Klassen zu unterteilen, zum einen in die technisch notwendigen Cookies und zum andere in die technisch nicht notwendigen Cookies, worunter etwa sog. Tracking- und Targeting-Cookies, vor allem zum Zwecke der Marktforschung und Werbung fallen. Auf technisch notwendige Cookies muss nach den Vorgaben der Richtlinie nicht hingewiesen werden, in deren Verwendung muss der Nutzer zudem nicht einwilligen; bei der Verwendung technisch nicht notwendiger Cookies ist beides jedoch verpflichtend.

Wie Erwägungsgrund Nr. 66 der Cookie-Richtlinie zeigt, sollen die Informationen sowie die Möglichkeit des Nutzers, Cookie-Zugriffe abzulehnen, so benutzerfreundlich wie möglich gestaltet werden. Weiter heißt es, dass der Nutzer die Einwilligung ggf. auch durch entsprechende Browservoreinstellungen erklären könne. Insgesamt gilt es zu beachten, dass diese rechtlichen Vorgaben nur für personenbezogene Daten der Nutzer gelten, wie Artikel 1 der Datenschutzrichtlinie Nr. 2002/58/EG sowie Artikel 1 der Richtlinie Nr. 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zeigt, auf der die Datenschutzrichtlinie aufbaut.

Doch auf welche Weise finden diese Vorgaben aus den europäischen Richtlinien in Deutschland Anwendung?

IV. Die Umsetzung der Cookie-Richtlinie in Deutschland

Ob und wie die dargestellten Vorgaben aus den europäischen Richtlinien zur Verwendung von Cookies in deutsches Recht umgesetzt worden sind, besteht bis heute Uneinigkeit.

Feststeht zumindest, dass Deutschland die Cookie-Richtlinie nie aktiv in deutsches Recht umgesetzt hat; es wurde somit kein neues Gesetz extra hierfür erlassen, obwohl die Cookie-Richtlinie selbst vorsieht, dass alle EU-Mitgliedstaaten die Richtlinienvorgaben bis zum 25. Mai 2011 in ihr nationales Recht transferiert haben müssen. Hat Deutschland also hiergegen verstoßen?

Die Bundesregierung sowie wohl auch die EU-Kommission gehen davon aus, dass die Rechtslage in Deutschland bereits vor Erlass der Cookie-Richtlinie den Richtlinienvorgaben entsprochen hat, so dass eine aktive Umsetzung ins deutsche Recht gar nicht notwendig gewesen sei; dabei wird vor allem auf die Regelungen in § 13 Abs. 1 und 15 Abs. 3 des Telemediengesetzes (kurz: TMG) verwiesen.

Dies sehen einige Juristen sowie die Datenschutzbeauftragten jedoch anders. Sie gehen davon aus, dass Deutschland gegen seine Pflicht zur Umsetzung der Cookie-Richtlinie in das nationale Recht verstoßen habe, da die bisherigen Regelungen im TMG nicht den europäischen Vorgaben genügten.

Ob die Vorgaben der Cookie-Richtlinie seit Ablauf der Umsetzungsfrist zum 26.05.2012 unmittelbare Wirkung erzeugt, ist unter Juristen umstritten. Die IT-Recht Kanzlei vertritt hierzu allerdings die Ansicht, dass für eine unmittelbare Geltung nicht die Voraussetzungen vorliegen.

Voraussetzung für die unmittelbare Anwendung von EU-Richtlinien ist neben dem Verstreichen der Umsetzungsfrist, dass die Richtlinie „hinreichend bestimmt formuliert“ ist und keine unmittelbare Verpflichtung für eine Privatperson enthält, sondern ausschließlich eine Verpflichtung für den Staat.

Gerade an letztem Tatbestandserfordernis fehlt es allerdings, da die Cookie-Richtlinie allen voran private Websites ins Visier der Regelung nehmen möchte!

Die Rechtsprechung jedenfalls hat sich – soweit ersichtlich – bislang noch nicht damit auseinandersetzen müssen, ob die Regelungen aus der Cookie-Richtlinie vollständig im TMG enthalten sind oder die Richtlinie in Deutschland wegen Umsetzungsversäumnis seit Ablaufen der Umsetzungsfrist am 25. Mai 2011 unmittelbare Anwendung findet.

Schaut man sich vor diesem gesamten Hintergrund nun §§ 13 Abs. 1, 15 Abs. 3 TMG an, so ergibt sich folgendes Bild.

• Nach § 13 Abs. 1 TMG hat der Diensteanbieter (z.B. Betreiber einer Website) den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Aus dieser Vorschrift ergibt sich die Informationspflicht des Betreibers einer Website gegenüber den Nutzern. Interessant ist dabei, dass der Nutzer nicht „vor Beginn“ des Nutzungsvorgangs, sondern „zu Beginn“ des Nutzungsvorgangs informiert werden muss. Nach § 13 Abs. 1 TMG scheint es somit zu genügen, dem Nutzer die Informationen parallel zum Nutzungsvorgang, also parallel zur Verwendung von Cookies bereitzustellen. Stimmt der Nutzer der Erhebung seiner personenbezogenen Daten später nicht zu, so muss der Betreiber der Website die bereits erhobenen Daten jedoch natürlich wieder umgehend und vollständig löschen.

Praktisch hat diese zeitliche Reihenfolge den Vorteil, dass der Webseitenbetreiber die erforderlichen Informationen dem Nutzer nicht bereits zu einer Zeit geben muss, zu der er noch keine Cookies verwenden darf – er muss also nicht eine Website „ohne Cookies“ vorwegschalten.

• Nach § 15 Abs. 3 TMG darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Zwei Dinge irritieren bei Betrachtung dieser Vorschrift. Zum einen ist von Pseudonymen die Rede, so dass sich die Frage stellt, ob die Vorschrift auch bei personenbezogenen (also personenindividualisierenden) Daten Anwendung findet; dürfen demnach also auch personenbezogene Daten erhoben und gespeichert werden, wenn der Nutzer dem zugestimmt hat, so wie es die Cookie-Richtlinie suggeriert?

Zum anderen fällt auf, dass § 15 Abs. 3 TMG von einer Widerspruchsmöglichkeit (= Opt-Out-Lösung) des Nutzers spricht, während in der Cookie-Richtlinie von „Einwilligung“ (Opt-In-Lösung) die Rede ist.

Genügt es also, dass – wie Erwägungsgrund 66 der Richtlinie anscheinend zum Ausdruck bringen will – der umfassend und hinreichend konkret aufgeklärte Nutzer der Erhebung und Speicherung seiner personenbezogenen Daten in Form von Cookies nicht widerspricht; oder muss er ausdrücklich einwilligen, mit anderen Worten: Gilt die Opt-In- oder die Opt-Out-Lösung?

Der in beiden Fällen im Vergleich zur Cookie-Richtlinie abweichende Wortlaut des § 15 Abs. 3 TMG deutet jedenfalls darauf hin, dass Richtlinie und § 15 Abs. 3 TMG vielleicht tatsächlich nicht denselben Regelungsgehalt haben, die Cookie-Richtlinie also tatsächlich bislang nicht in deutsches Recht umgesetzt worden ist. Doch was würde dies für die Betreiber von Webseiten konkret bedeuten?

V. Handlungsanleitung: Wie sollen sich Betreiber von Webseiten verhalten?

Nun stellt sich folgendes Problem: Sollen sich Betreiber von Webseiten und Apps in Deutschland an den Vorgaben aus §§ 13 Abs. 1, 15 Abs. 3 TMG (Opt-Out-Lösung) orientieren oder an den vermeintlich noch strengeren Regelungen der Cookie-Richtlinie (Opt-In-Lösung)?

Und was würde dies jeweils konkret bedeuten? Besteht in diesem oder jenem Fall eine (erhöhte) Abmahn- oder Bußgeldgefahr?

1. Datenschutzerklärung

Unabhängig davon, für welche Marschroute man sich im Ergebnis entscheidet, sollten Betreiber von Webseiten jedenfalls die Datenschutzerklärung auf der Website in ordentlichem Zustand halten. Darin sollten Informationen enthalten sein zu:

• den in den Cookies der Website gespeicherten Informationen
• den Zweck der Speicherung der Cookies
• die jeweilige Speicherdauer der Cookies
• den Verantwortlichen für die Speicherung und
• dem Bestehen einer Widerrufsmöglichkeit der einmal bereits erteilten Einwilligung zur Cookie-Verwendung.

2. Beachtung der Vorgaben aus dem Telemediengesetz (§§ 13 Abs. 1, 15 Abs. 3 TMG)

Mindestvoraussetzungen für eine rechtskonforme Gestaltung einer Website sind jedenfalls die Vorgaben aus dem TMG, in Bezug auf Cookies vor allem §§ 13 Abs. 1, 15 Abs. 3 TMG. Daraus ergibt sich:

• Der Betreiber einer Website muss den Nutzer zu Beginn des Nutzungsvorgangs, also ab dem Zeitpunkt, ab dem Cookies eingesetzt werden, über die eingesetzten Cookies informieren (§ 13 Abs. 1 TMG) , wenn dadurch personenbezogene Daten erhoben und/oder verwendet werden, also Daten, die Rückschlüsse auf eine individualisierbare Person zulassen. Es bietet sich an, dabei auf die eigene Datenschutzerklärung zu verweisen und auf diese zu verlinken, entweder in Form einer vorgeschalteten Website, durch ein Pop-Up-Menü oder ein gut sichtbares Banner im oberen oder unteren Teil der Website.

Der Transparenz wegen ist zu empfehlen, in diesem Zusammenhang auch über solche Cookies zu informieren, die keine personenbezogenen Daten, sondern sonstige Daten erheben.

• Cookies, die technisch für den Betrieb der jeweiligen Website notwendig sind, dürfen die Betreiber von Webseiten auch ohne die Einwilligung des Nutzers erheben und verwenden (§ 15 Abs. 1 TMG) ; allerdings muss der Webseitenbetreiber über diesen Vorgang dennoch hinreichend informieren (§ 13 Abs. 1 TMG) . Technisch notwendig in diesem Sinne sind etwa Cookies, die dafür sorgen, dass beim Webshoppen alle Artikel auch dann im Warenkorb gespeichert bleiben, wenn man eine andere Unterseite der Hauptseite aufruft.

• Cookies, die technisch nicht notwendig sind, sondern für Zwecke der Werbung, der Marktforschung („Tracking und Targeting“) oder zur bedarfsgerechten Gestaltung der Website eingesetzt werden, dürfen nur (weiter-)verwendet werden, wenn der Nutzer der Verwendung nicht widerspricht (§ 15 Abs. 3 TMG) .

Über dieses Widerspruchsrecht muss der Nutzer verständlich informiert werden (§ 15 Abs. 3 S. 3 TMG) , wobei es sich anbietet, dem Nutzer im Zusammenhang mit diesem Hinweis die Widerrufsmöglichkeit direkt einzuräumen (sog. Opt-Out-Lösung), also ihm etwa zu gestatten, die Verwendung bestimmter, einzelner Cookies auszuschließen. Dies kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen, auf die verlinkt wird, oder durch ein gesondertes Auswahlmenü, das unmittelbar bei Aufrufen der Website erscheint.

Will man auf der sichersten Seite sein, so sollten die Cookies so eingestellt werden, dass sie erst dann Daten sammeln, wenn der Nutzer nachgewiesenermaßen auf seine Widerspruchsmöglichkeit hingewiesen worden ist und von dieser keinen Gebrauch gemacht hat.

Tipp der IT-Recht Kanzlei: Fakt ist nun einmal, dass die deutschen Regelungen des TMG unmittelbar gelten, somit gilt augenblicklich die Opt-Out-Lösung. Wer diese Vorgaben einhält, bewegt sich nach unserer Auffassung momentan auf sicherem Terrain, da die Bundesregierung und die EU-Kommission diese Vorgaben als richtlinienkonform ansehen. Allerdings gibt es noch keine Rechtsprechung hierzu; ein Richter könnte im Rahmen seiner richterlichen Unabhängigkeit daher entscheiden, dass §§ 13 Abs. 1, 15 Abs. 3 TMG nicht richtlinienkonform sind, mit der Folge, dass die Cookie-Richtlinie dann unmittelbare Anwendung finden könnte (dies entspricht allerdings nicht unserer Auffassung).

Hinweis: Als Beispiel für diese „pragmatische“ Lösung, eines Hinweises über die Verwendung von Cookies am oberen bzw. unteren Bildrand der Webseite zusammen mit dem Hinweis für die Nutzer, dass sie sich durch das Weitersurfen auf der Webseite mit der Verwendung der Cookies einverstanden erklären und einem weiterführenden Link auf die Datenschutzerklärung findet man auf der Seite des Bundesverbands der Verbraucherzentralen:

Cookie Verbraucherzentrale Bundesverband

3. Beachtung der Vorgaben aus der Cookie-Richtlinie

Wer die über das TMG hinausgehenden Vorgaben der Cookie-Richtlinie beachtet, ist *in jedem Fall+ vor Sanktion von Datenschutzbeauftragten und etwaigen Abmahnungen von Mitbewerbern gefeit. Eine Schwierigkeit besteht jedoch bereits darin, die Vorgaben der Cookie-Richtlinie möglichst richtig und genau zu verstehen, um sie dann auch umsetzen zu können.

Möchten Betreiber von Webseiten den Vorgaben der Cookie-Richtlinie zusätzlich entsprechen, dann muss zusätzlich zu den bereits dargestellten Vorgaben aus §§ 13 Abs. 1, 15 Abs. 3 TMG folgendes beachtet werden:

• Bereits bevor technisch nicht notwendige Cookies wie Tracking- und Targeting-Cookies zu Werbe- und Marktforschungszwecken eingesetzt werden, die personenbezogene Daten sammeln, muss der Betreiber einer Website nicht nur den Nutzer darüber informieren, sondern dessen ausdrückliche Einwilligung einholen (sog. „Opt-In“-Verfahren). Dies kann etwa durch die Betätigung einer Schaltfläche erfolgen, was der Betreiber der Website mitprotokollieren muss. Nicht zwingend, aber besonders transparent und damit auch kundenfreundlich wäre es, dem Nutzer in diesem Zusammenhang die Möglichkeit zu geben, einzelne Cookies zuzulassen oder auszuschließen. Die Information über die Cookies und das Einholen der Einwilligung kann der Betreiber der Website entweder über eine vorgeschaltete Website erreichen, auf der noch keine technisch nicht notwendigen Cookies verwendet werden, oder per Banner oder Pop-Up-Fenster, wobei in diesen Momenten ebenfalls noch keine technisch nicht notwendigen Cookies verwendet werden dürfen.
Stimmt der Nutzer der Verwendung von Cookies zu, so dürfen die entsprechenden Cookies danach verwendet werden; tut er dies nicht, dürfen die Cookies selbstverständlich nicht eingesetzt werden, d.h. die personenbezogenen Daten dürfen nicht gesammelt und gespeichert werden.

Der Unterschied zur TMG-Lösung liegt somit tatsächlich lediglich darin, dass der Nutzer nach den Vorgaben der Cookie-Richtlinien bereits im Vorfeld ausdrücklich aktiv der Cookie-Verwendung zustimmen muss, während es nach den Vorgaben des TMG genügt, dass er der Cookie-Verwendung nach hinreichendem Hinweis über diese nicht widerspricht, also etwa kommentarlos weitersurft, und dadurch die Cookie-Verwendung akzeptiert.

4. Abmahn- und Bußgeldgefahr recht gering

Die Abmahn- und Bußgeldgefahr ist sowohl bei Einhalten der Vorgaben aus §§ 13 Abs. 1, 15 Abs. 3 TMG als auch (erst Recht) denjenigen der Cookie-Richtlinie verschwindend gering, vor allem für kleinere Online-Unternehmen und Betreiber von Webseiten.

In keinem Fall mit einer Abmahnung rechnen müssen solche Betreiber von Webseiten, die die Vorgaben der Cookie-Richtlinie einhalten. Diejenigen, die den etwas niedrigeren Standard des TMG beachten, müssen allerdings aus zwei Gründen Abmahnungen ebenfalls kaum fürchten.

• Zum einen, weil noch völlig unklar ist, ob Datenschutzvorschriften wie diejenigen der Cookie-Richtlinie rechtlich überhaupt als Marktverhaltensregelungen im Sinne des § 4 Nr. 11 UWG anzusehen sind; die Meinungen hierzu gehen unter Juristen auseinander. Sind sie dies jedoch nicht, kann nicht abgemahnt werden. Das LG Frankfurt (Urteil vom 18.2.2014, Az. 3/10 O 86/12) sieht § 15 Abs. 3 TMG jedenfalls als Marktverhaltensregelung an.

• Zweitens sind sowohl die Bundesregierung als auch die EU-Kommission der Auffassung, dass die Regelungen des TMG zu Cookies den Vorgaben der Cookie-Richtlinien entsprechen, weshalb es der Rechtsprechung schwer fallen dürfte, Betreibern von Webseiten daraus dann einen Strick zu drehen. Schließlich ist zu bedenken, dass zumindest Mitbewerber sich ohne konkreten Anlass kaum dem Kostenrisiko für eine gegenwärtig eher als aussichtslos erscheinenden Abmahnung als „Testballon“ für die Rechtslage aussetzen dürften.

Sanktionen von Datenschutzbeauftragen dürften so oder so lediglich größere Unternehmen treffen – und das auch nur mit dem vorrangigen Ziel, die Rechtslage zu Gunsten aller möglichst zügig zu klären. In der Vergangenheit sind die Datenschutzbeauftragten nicht bekannt dafür geworden, kleinere bis mittelgroße Betreiber von Webseiten durch Sanktionsmaßnahmen nachhaltig zu ärgern. Gefahr droht hier also kaum.

VI. Welche konkreten Vorgaben macht Google für Kunden von Google Produkten?

Google selbst gibt nicht nur Tipps, wie die Kunden der Google-Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ am besten ihren Informations- und sonstigen Pflichten nachkommen sollen, sondern verpflichtet sie sogar dazu, die Tipps bis spätestens zum 30. September 2015 umzusetzen.

Die Tipps und die technischen Möglichkeiten für deren Umsetzung auf Websites und in Apps hat Google auf der Website www.cookiechoices.org zusammengefasst. Demzufolge sollen die Google-Kunden erstens einen Hinweis für die Nutzer implementieren und zweitens die Zustimmung der Nutzer zur Verwendung von Cookies einholen.

Cookiechoices

Gestaltung des Hinweises bzw. der „Einwilligung“

Google weist zu Recht darauf hin, dass es den Kunden keinen exakten Vorschlag für die Hinweise an die Nutzer machen kann, da der konkret erforderliche Hinweis naturgemäß davon abhängt, welche Cookies und Daten der jeweilige Google-Kunde wie, d.h. im Rahmen welcher technischen Umgebung verwendet. Daher kann Google seinen Kunden nur einen allgemeinen Tipp für die Gestaltung des Hinweises geben, der dann von den Google-Kunden auf die jeweilige Situation angepasst werden muss.

Google schlägt für Websites Folgendes als möglichen Hinweis für die Besucher der Website vor:

„Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Details ansehen.“

Für Apps unterscheidet sich der Hinweis etwas. Dieser lautet wie folgt:

„Wir verwenden Gerätekennungen, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Kennungen und andere Informationen über Ihr Gerät an unsere Partner für soziale Medien, Werbung und Analysen weiter. Details ansehen.“

Unter „Details ansehen“ sollte laut Google auf eine andere Website verlinkt werden oder zusätzliche Informationen (etwa in einem Pop-Up-Menü) angezeigt werden, so dass der Besucher der Website weitere und detailliertere Informationen zu den verwendeten Cookies abrufen kann (=Datenschutzerklärung). Auf diese Weise könne dann die Datenschutzerklärung des Betreibers der Website oder eine Richtlinie zur Verwendung von Cookies eingebunden werden, so die Ratschläge von Google weiter.

Google selbst betont, dass die Formulierungshilfe nicht eins zu eins umgesetzt werden kann, sondern jeder Kunde eine individuelle Anpassung vornehmen muss. Allerdings wird besonders hervorgehoben, dass Kunden der Google-Produkte „Google AdSense“ und „Google DoubleClick for Publishers“ die Google-Richtlinie zur Einwilligung der Nutzer in der EU einhalten müssen. Die dort abrufbaren Vorgaben sind allerdings recht schwammig gehalten, entsprechen ihrem Inhalt nach jedoch im Kern den in diesem Beitrag dargestellten Vorgaben der Cookie-Richtlinie.

Tipp der IT-Recht Kanzlei: Hinsichtlich der Einwilligungserteilung vertritt die IT-Recht Kanzlei den Weg der geltenden TMG-Vorschriften zu gehen, also die sog. Opt-Out-Lösung zu verwenden, das bedeutet: Es sollte ein Hinweisbanner über die Verwendung von Cookies am oberen oder unteren Rand der Webseite zusammen mit dem (von Google vorgeschlagenen) Hinweis für die Nutzer erscheinen, dass diese sich durch das Weitersurfen auf der Webseite mit der Verwendung der Cookies einverstanden erklären. Darüber hinaus ist eine Verlinkung auf die Datenschutzerklärung vorzuhalten, in dieser Datenschutzerklärung sollte sodann über die bestehenden Opt-Out-Lösung(en) informiert werden.

VII. Fazit

Die Geltung der Cookie-Richtlinie in Deutschland ist ein Mysterium. Allerdings wird dieses Mysterium wohl – abgesehen von dem Problem der vermeintlich mit ihr verbundenen allgemeinen Rechtsunsicherheit – nicht auf dem Rücken der Bürger ausgetragen (werden).

• Betreiber von Webseiten, die ihre Nutzer umfassend, klar und hinreichend verständlich darüber informieren, welche technisch nicht notwendigen Cookies sie verwenden, die personenbezogene Daten der Nutzer erheben und speichern, und die Nutzer im Vorfeld der Cookie-Verwendung um deren Einwilligung bitten, verhalten sich korrekt und haben demnach nichts zu befürchten.

• Dasselbe dürfte für Webseitenbetreiber gelten, die zwar nicht um eine ausdrückliche Einwilligung der Nutzer bitten, jedoch diesen eine Widerspruchsmöglichkeit gegen die Cookie-Verwendung einräumen; dies wohl selbst dann, wenn Cookies dann bereits personenbezogene Daten erhoben und gespeichert haben, solange diese rückwirkend vollständig gelöscht werden, sobald der Nutzer der Cookie-Verwendung widersprochen hat.

Für Kunden der Google-Produkte „Google AdSense“, „Google DoubleClick for Publishers“ und „Google DoubleClick Ad Exchange“ hält Google unter der Website www.cookieschoices.org Tipps für die Gestaltung der Hinweise und des Mechanismus für die Zustimmung in Bezug auf Cookies bereit. Zwar gibt Google hierzu auch Formulierungshilfen, betont jedoch, dass zum einen die konkrete Gestaltung des Hinweises auf die verwendeten Cookies jeweils individuell davon abhängt, welche Cookies tatsächlich verwendet werden, und zum anderen die Gestaltung des Zustimmungsmechanismus für die Besucher der Website mit den technischen Gegebenheiten der Programmierung in Zusammenhang steht. Wer sich an die Handlungsvorgaben der IT-Recht Kanzlei hält, dürfte in datenschutzrechtlicher Hinsicht nichts zu befürchten haben!

Bei Problemen, Rückfragen und weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Autor:
Daniel Huber
(freier jur. Mitarbeiter der IT-Recht Kanzlei)

Besucherkommentare

Auf dieser Website aber nicht!

11.03.2016, 19:14 Uhr

Kommentar von Maik

Ich bin das erste Mal auf dieser Website und habe keinen Hinweis gesehen. 

Danke!

28.01.2016, 16:28 Uhr

Kommentar von Peter

Danke für den tollen Artikel, der umfassend und verständlich die Materie behandelt. Mir stellt sich noch die Frage, ob all die derzeit genutzten Popups à la "Sie stimmen der Verwendung von Cookies...

Technischer Hinweis für WEB-Master und Marketing Agenturen

19.11.2015, 18:54 Uhr

Kommentar von Norbert Weich

Neben den evtl. rechtlichen ist der Cookie Hinweis neuerdings erforderlich, damit die Remarketing Tags einwandfrei funktionieren. Auch dann, wenn Remarketing Tags per Tag-Manager implementiert...

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2005-2016 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller