von RA Phil Salewski

Einwilligungspflicht oder nicht? Technisch notwendige und technisch nicht notwendige Cookies im Online-Shop

News vom 02.10.2019, 09:22 Uhr | 13 Kommentare 

Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der EuGH alle Cookies, die für den Betrieb einer Website nicht technisch notwendig sind, einer Einwilligungspflicht unterworfen. Derartige Cookies dürfen nunmehr nur noch und erst dann gesetzt werden, wenn der jeweilige Nutzer informiert und aktiv in die Verwendung einwilligt. Doch welche Cookies sind technisch notwendig und kommen ohne Einwilligung aus und welche nicht? Die IT-Recht Kanzlei klärt auf.

Vorab Hinweis:

  • Über das Grundsatz-Urteil des EuGH berichten wir hier.
  • FAQ zu den Anforderungen an ein wirksames Cookie-Einwilligungsmanagement finden Sie hier.
  • Welche Handlungsoptionen Händler im Angesicht der Einwilligungspflicht nun haben, zeigen wir hier auf.

I. Technisch nicht notwendige Cookies

Als technisch nicht notwendige und damit einwilligungspflichtige Cookies gelten all diejenigen, die für den Betrieb einer Website und die Bereitstellung spezifischer Seitenfunktionen nicht zwingend technisch erforderlich sind.

Hierzu zählen grundsätzlich alle Cookies aus Drittanbieteranwendungen, mit denen zu Marketing-, Marktforschungs-, Marktanalyse oder Kooperationszwecken ein bestimmtes Surfverhalten von Seitenbesuchern nachvollzogen werden soll.

Einwilligungspflichtig sind daher:

  • Cookies aus Tracking- und Analysetools
  • Cookies aus Affiliate-Diensten
  • Cookies aus Remarketing-Diensten
  • Cookies aus Retargeting-Diensten
  • Cookies aus Social-Media-Plugins (Facebook, Instagram, Google+, LinkedIn, Pinterest, Twitter)
  • Cookies aus Video-Embedding-Anwendungen (Vimeo, Youtube)
  • Cookies aus skalierbaren zentralen Messverfahren (SZM)
  • Online-Kartendienste wie Google Maps und OpenStreetMaps

Im Datenschutzgenerator der IT-Recht Kanzlei werden Mandanten mittels einer gelben Informationsbox immer dann auf die Einwilligungspflicht hingewiesen, wenn Cookies eines Dienstes nicht technisch notwendig sind.

asd

II. Technisch notwendige Cookies

Als technisch notwendige und nicht einwilligungspflichtige Cookies gelten demgegenüber all solche Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.

Derartige Cookies müssen nicht als Einwilligungsoption in einem Banner bzw. Einstellungsfenster bei Seitenaufruf angezeigt werden. Vielmehr genügt eine reine Erwähnung in der Datenschutzerklärung.

Als technisch notwendige, nicht einwilligungspflichtige Cookies gelten:

  • Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten)
  • Flash-Cookies zur Wiedergabe von Medieninhalten
  • Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
  • Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können

Ausnahme Amazon Pay: der Zahlungsdienst Amazon Pay setzt diverse Cookies mit einer Funktionsdauer von 20 Jahren, bei denen naheliegt, dass die darauf ausgelegt sind, (auch) das Nutzerverhalten zu analysieren. Bezüglich der im Rahmen von Amazon Pay gesetzten Cookies dürfte damit richtigerweise von einer Einwilligungspflicht ausgegangen werden.

Ausnahme Paypal-Express-Checkout-Button: nach derzeitigem Stand werden beim Einbinden des Express-Checkouts von PayPal unabhängig von einer Inanspruchnahme dieser Bestellprozessoption diverse Cookies bereits beim Seitenaufruf gesetzt, die technisch nicht erforderlich sein dürften. Daher ist bei der Verwendung eines "PayPal-Express-Checkout"-Buttons von einer Einwilligungspflicht auszugehen. Wird kein wirksames Cookie-Einwilligungsmanagement implementiert, wird vorerst dazu geraten, Express-Checkout-Buttons von PayPal zu entfernen.

Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Nicht einwilligungspflichtig sind daher auch Cookies aus

  • Live-Chat-Systemen und
  • Messenger-Diensten

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Live-Chats

08.11.2019, 11:49 Uhr

Kommentar von Ulf

"Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht...

Deklaration Cookies bei PayPal-Einbindung

19.10.2019, 14:41 Uhr

Kommentar von Tanja Richter

Müssen Cookies, die durch die Weiterleitung auf die Website von Paypal bei Einbindung in den eigenen Online-Shop gesetzt werden, auch alle einzeln deklariert werden? Die werden doch auf der Seite von...

GoogleMaps?

15.10.2019, 17:08 Uhr

Kommentar von Jutta Jeppsson

Wenn man auf der Webseite also eine Anfahrtsskizze einstellt, die auf GoogleMaps basiert, das Ziel (Büro) auf der Map anzeigt und auf der man die Route von seinem Ausgangspunkt eingeben kann, dann...

Conversion Tracking und Rating

10.10.2019, 13:17 Uhr

Kommentar von Sebastian Ulbig

Vielen dank für den guten Beitrag. Wenn ich es richtig verstehe müssen auch erweiterungen wie Trustedshops, Shopvote und COnversion Tracking vorerst deaktiviert werden?

Cookie zur Spracheinstellung

04.10.2019, 14:41 Uhr

Kommentar von Thomas Bocklenberg

Cookies zur Spracheinstellung und Cookies, die das OK zur Annahme von Cookies speichern, sind im Regelfall wohl keine Session Cookies, sondern haben eine längere Gültigkeit. Trotzdem sind sie für die...

Die Grundsätze der EuGH-Entscheidung

03.10.2019, 11:29 Uhr

Kommentar von IT-Recht Kanzlei

Vielen Dank für Ihren Kommentar und Ihre Fragen zu den Rückschlüssen aus dem aktuellen Urteil des EuGH. Der EuGH nimmt in seiner Entscheidung Bezug auf Art.5 Abs.3 der Richtlinie 2002/58/EG in der...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller