Dr. Thomas A. Degen, Benjamin Krahmer
Unter Cookies sind bekanntlich im IT-Kontext keine Kekse oder Plätzchen, sondern kleine Textdateien zu verstehen, die auf der Festplatte des Besuchers abgelegt werden und verschiedene Werte zum Nutzer, der Website und dem verwendeten Browser beinhalten. Es handelt sich um spezielle Datenpakete, die zwischen Computerprogrammen ausgetauscht werden. Die Bezeichnung wird vielfach synonym zu HTTP-Cookies im Internet verwendet, die eine Spezialform des Magic Cookies darstellen, das zwischen Webbrowser und Webserver vermittelt wird, für diese jedoch ohne Bedeutung ist und erst für die konkrete Webanwendung, z.B. einen Webshop, relevant wird, etwa für den Inhalt eines virtuellen Warenkorbes.
Mittels Cookies werden Informationen über einen bestimmten Zeitraum vorgehalten und der Rechner bzw. das Endgerät (z.B. Smartphone) des Besuchers identifiziert. Bei einem späteren Besuch auf der Website wird das Gerät durch diesen Vorgang wiedererkannt. Durch diesen Mechanismus messen diverse Websites die Nutzung ihrer Website und werten diese aus (Schläger/Thode, Handbuch Datenschutz und IT-Sicherheit, Teil E, Rn. 48,50). Hat der Benutzer über ein vom Anbieter abgelegtes Cookie zu einem früheren Zeitpunkt Identifikationsmerkmale, z.B. seine IP-Adresse, hinterlassen oder hinterlässt er solche zu einem späteren Zeitpunkt, etwa im Rahmen eines Bestell – oder Registrierungsvorgangs, kann die Information des Cookie-Datensatzes den Identifikationsmerkmalen des Nutzers zugeordnet werden und gilt somit als personenbezogene Information (Kühling/Buchner, DS-GVO – BDSG, 2. Aufl., Art. 4 Nr. 1 DSGVO, 36).
Das regelt das Muster
Der Einsatz von Cookies führt in der Praxis dazu, dass persönliche Daten des Seitennutzers erfasst werden. Die europarechtlichen Vorgaben aus der ePrivacy-Richtlinie (2002/58/EG) und der als "Cookie-Richtlinie" anschließenden Änderungsrichtlinie (2009/136/EG) sowie der künftigen ePrivacy-Verordnung erfordert aber grundsätzlich, dass Cookies lediglich gemäß einer der nach Art. 8 Abs. 2 der Verordnung angeführten Ausnahmen wie beispielsweise mit Einwilligung des betroffenen verwendet werden. Denn "jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer (sind) untersagt". Der Einsatz von Cookies fällt unter die Ausnahmen der Richtlinien. Demnach muss die Verwendung von Cookies für den genutzten Dienst erforderlich oder für die Personalisierung eines Systems gewünscht sein.
Deshalb muss der Seitenbenutzer den Einsatz von Cookies kennen und in diesen einwilligen. Diese Einwilligung muss ausdrücklich erfolgen. Das ergibt sich aus einem Urteil des Europäischen Gerichtshofs (EuGH, Urteil v. 1.10.2019, C-673/17 "planet49"). Kurz zusammengefasst geht es bei dieser Entscheidung darum, dass explizite Cookie-Einwilligungen auf Websites notwendig sind. Im Schrifttum wird der komplexe Aussagegehalt teilweise kritisch dahin relativiert, dass der EuGH derartige klare Aussagen überhaupt nicht getroffen habe. Nach diesseitigem Verständnis ist die Implementierung eines Cookie-Banners zur Einwilligung nebst Detailinformationen aber die rechtsdogmatisch und für die technische Aufbereitung folgerichtige Umsetzungsfolge.
Dieses Verständnis zur Wahrung des "sicheren Weges" mag unter vertrieblich-technischen und kaufmännischen Gesichtspunkten durchaus ambivalent sein, da User abgehalten werden könnten, vertieft in die Website und den Webshop "einzusteigen", weil sie sich mit solchen Einstellungen nicht aufhalten wollen. Das Verständnis der EuGH-Entscheidung deckt sich aber mit der wohl überwiegenden aktuellen Würdigung durch die Aufsichtsbehörden. Denn beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg steht auf dem Standpunkt: "Der Europäische Gerichtshof (EuGH) hat entschieden, dass eine Einwilligung, mit der Internetnutzer das Speichern und Auslesen von Informationen (z.B. Cookies) auf ihren Geräten erlauben sollen, nur dann wirksam ist, wenn der Nutzer aktiv die Einwilligung erklärt. Dagegen liegt keine wirksame Einwilligung vor, wenn Felder schon vorab angekreuzt sind oder die Einwilligung einfach wegen "Weitersurfens" unterstellt wird (Urteil v. 1.10.2019, C-673/17, Planet49 GmbH). Wenn eine Einwilligung nötig ist, aber nicht wirksam erteilt wird, ist die Datenverarbeitung (z.B. das Setzen oder Auslesen eines Cookies) rechtswidrig. Hier drohen sowohl die Untersagung der Datenverarbeitung als auch Bußgelder." (https://www.baden-wuerttemberg.datenschutz.de/zum-einsatz-von-cookies-und-cookie-bannern-was-gilt-es-bei-einwilligungen-zu-tun-eugh-urteil-planet49/)
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erklärt zudem, dass "personenbezogenes Webtracking nur mit Einwilligung" zulässig sei: "Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke...