Für Onlineshops sind Cookies technisch notwendig, andere Webseitenbetreiber wollen so vor allem Informationen über Nutzerverhalten sammeln. Doch welche Cookies sind überhaupt zulässig? Wie lange können sie gültig sein? Welche Daten dürfen gespeichert werden? Und wie muss eine Einwilligung erfolgen? Leider sind die Antworten auf diese Fragen zum korrekten und datenschutzkonformen Einsatz von Cookies nicht ganz einfach, weil die Rechtslage in Deutschland derzeit nicht eindeutig ist.

Welche Cookies sind überhaupt zulässig?

Rein datenschutzrechtlich betrachtet, dürfen Cookies eingesetzt werden, solange diese entweder keinen Personenbezug aufweisen (also einen Webseitenbesucher nicht bestimmbar oder wiedererkennbar machen) oder wenn eine Rechtsgrundlage vorliegt. Letzteres kann zum einen die Notwendigkeit sein, einen (Sitzungs-)Cookie zu setzen, weil sich anders die Webseitenanfrage technisch nicht erfüllen lässt. Zum anderen kann man eine Einwilligung einholen, wenn es um Zwecke neben der korrekten Auslieferung der Webseite geht.

Das technisch erforderliche Cookie darf Bestand haben, solange es technisch notwendig ist; das letztere, solange die Einwilligung besteht. Wobei selbst hier die Situation wieder nicht ohne Haken ist, da Gerichte und Behörden zunehmend davon ausgehen, dass Einwilligungen ungültig werden, wenn sie länger ungenutzt bleiben. Nach zwei Jahren soll hier oft Schluss sein.

Was erlaubt die europäische „Cookie-Richtlinie“?

Die aktuellen Fragen zu Cookies entstammen aber oft mehr dem Bereich der ominösen „Cookie-Richtlinie“. In dieser europarechtlichen Vorgabe steht eindeutig zu lesen, dass Cookies – wiederum abgesehen von solchen, ohne die eine Webseite die vom Besucher angeforderten (!) Dinge in der jeweiligen Sitzung technisch nicht erledigen kann – nur gesetzt werden dürfen, wenn der Nutzer „auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat“.

Einwandfrei zulässig sind nur Sitzungscookies

Das Problem ist nur, dass Deutschland diese Richtlinie noch gar nicht in innerstaatliches Recht umgesetzt hat, obwohl die Frist hierfür schon abgelaufen ist. Die Praxis rätselt nun, was gilt. Formaljuristisch muss man hier davon ausgehen, dass nach der fehlenden Umsetzung die Richtlinie mittlerweile direkt gilt und sich Betroffene also unmittelbar auf die darin enthaltenen Regelungen berufen können. Alles was ohne Einwilligung passiert, kann also im Ernstfall kritisch sein – falls sich jemand beschwert oder gar klagt.

Wenn man hier sicher gehen will, sollte man keinerlei Cookies einsetzen, außer den besagten Sitzungscookies, ohne die das, was der Besucher machen möchte, schlicht nicht funktioniert. Beispiele wären Cookies für Anmeldung, Spracheinstellungen, Warenkorb o. ä.

Die Frage nach der zeitlichen Gültigkeit der Cookies ist mit der Bezeichnung „Sitzungscookies“ bereits ausreichend beantwortet. Endet die Sitzung, ist das Cookie nicht mehr erforderlich und die Grundlage für die Verwendung entfallen.

Bereits Cookies, die bei einem erneuten Besuch die Wiederanmeldung oder die Mitnahme von Benutzereinstellungen erleichtern sollen, werden in diesem Zusammenhang als nicht mehr zwingend angesehen. Gleiches gilt für alle Cookies, die das Nutzerverhalten verfolgen sollen, etwa für „behavioral advertising“. Ohne eine Einwilligung wird es hier also schwierig.

Worüber müssen Webseiten-Betreiber informieren?

Für alle Cookies sollte man derzeit vor dem ersten Setzen informieren über:

  • die in dem Cookie gespeicherten Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • den Verantwortlichen für die Speicherung und
  • dem Bestehen eines Widerrufsrechts hinsichtlich der erteilten Einwilligung zur Cookie-Verwendung.

Wie in § 13 Abs. 1 Satz 2 TMG angedeutet, sind diese Information in den Datenschutzhinweisen einer Webseite gut aufgehoben.

Wie ist die Einwilligung für Cookies einzuholen?

Für alle nicht zwingenden Cookies sollte man eine Einwilligung einholen. Was, je nachdem welcher Auffassung man folgt, mehr oder weniger einfach ist. Die Datenschutzbehörden gehen hier in die Richtung einer „vollwertigen“ Einwilligung, also ggf. Registrierung bzw. Anklicken eines Schalters, einer Tickbox etc.

Andere (allerdings vor allem nicht-deutsche) Stellen erlauben auch eine „konkludente“ Einwilligung im Sinne eines Hinweises wie: „Wenn Sie diese Hinweise gelesen haben und trotzdem weitersurfen, sind Sie mit der Verwendung von Cookies einverstanden.“ Mit dieser Ansicht sollte man aber hierzulande sehr vorsichtig sein.

Ebenso darf man sich nicht darauf verlassen oder zurückziehen, was Benutzer mit ihren Browsereinstellungen machen oder machen könnten. Z. B. trägt man als Webseitenbetreiber das Risiko, dass ein Popup, in dem man auf Cookies hinweisen möchte, geblockt wird und man sich dann hinsichtlich der mutmaßlichen Akzeptanz durch den Nutzer „irrt“.

Fazit: Zurückhaltung beim Einsatz von Cookies ist geboten!

Der Bereich des Cookie-Einsatzes ist leider derzeit rechtlich noch reichlich unklar. Wer völlig sicher gehen will, darf nur zwingend notwendige Sitzungscookies einsetzen, solange die jeweilige Sitzung dauert.

Alles andere wird, wegen der Zweifel die Einwilligung betreffend, oft juristisch streng betrachtet nicht einwandfrei sein. Und wenn etwas an sich schon gar nicht vorhanden sein sollte, stellt sich auch die Frage nach der Gültigkeitsdauer nicht mehr.

Bitte bewerten Sie diese Inhalte!
[6 Bewertung(en)/ratings]