Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
1. Voraussetzungen für einwilligungsfreie Cookies
2. Kontrollfragen für Online-Shops
3. Analyse- und Tracking-Cookies
4. Unser Tipp
Für Online-Shops spielen Cookies eine große Rolle – sei es als technisches Mittel für die Merkfunktion von Sprache und Warenkorb, zur Webseiten-Analyse oder im Online-Marketing.
Einfach erklärt sind Cookies kleine Textdateien, die bei Benutzung von Internetdiensten auf dem Endgerät gespeichert und später wieder abgerufen werden können, um Nutzerinnen oder Nutzer zu identifizieren. Der Einsatz von Cookies ist datenschutzrechtlich aber nur unter gewissen Voraussetzungen zulässig.
In unserem Rechtstipp der Woche vom 01.10.2021 haben wir bereits dargestellt, dass nach § 25 TTDSG eine Einwilligung von den Nutzerinnen und Nutzern erforderlich ist, wenn Cookies gespeichert oder auf gespeicherte Cookies zugegriffen wird.
Hiervon besteht die relevante Ausnahme, dass für zwingend notwendige Cookies keine Einwilligung erforderlich ist.
Wann Cookies zwingend notwendig sind, lässt sich allerdings nicht so einfach beurteilen. Wer einen Consent-Manager verwendet, steht dann vor der schwierigen Entscheidung, ob der Cookie der Kategorie „essentiell“ oder „funktionell“ zuzuordnen ist.
In diesem Rechtstipp der Woche möchten wir für etwas mehr Klarheit sorgen und Ihnen einen Überblick über die Rechtslage verschaffen.
Nach § 25 Abs. 2 Nr. 2 TTDSG besteht für Cookies unter zwei Voraussetzungen keine Einwilligungspflicht: Zum einen muss es sich um einen der Nutzenden ausdrücklich gewünschten Telemediendienst handeln und zum anderen müssen etwaige Cookies für die Bereitstellung dieses Dienstes unbedingt erforderlich sein.
Wie werden Telemediendienste überhaupt definiert?
Im TTDSG wird auf die Legaldefinition des § 1 Abs. 1 Telemediengesetz (TMG) zurückgegriffen. Danach sind Telemediendienste alle elektronischen Informations- und Kommunikationsdienste mit Ausnahme der reinen Telekommunikations-Dienste und des Rundfunks.
Dazu gehören beinahe alle Angebote im Internet, von der privaten Webseite bis zu Online-Shops, Suchmaschinen, Online-Dienstleistungen (z. B. E-Mail, Wetter, Verkehrshinweise), aber auch Podcasts oder Blogs.
Was bedeutet „ausdrücklich gewünscht“?
Ein Telemediendienst wird ausdrücklich gewünscht, wenn Nutzerinnen oder Nutzer eine aktive Handlung vornehmen, mit der ein klar erkennbarer Funktionsumfang abgerufen wird.
Mit dem Besuch einer Internetseite wird allerdings nicht unmittelbar ihr voller Funktionsumfang abgerufen. Es geht vielmehr um die spezifischen, von Nutzenden angeforderten Funktionen, solange diese sich voneinander abgrenzen lassen.
Beispiel: Eine Webseite bietet neben frei abrufbaren Inhalten auch einen Premium-Bereich mit kostenpflichtigen zusätzlichen Inhalten an, den man durch einen Login erreicht. Die Webseite setzt beim ersten Besuch nun direkt Cookies, die sicherstellen sollen, dass Besucherinnen und Besucher, die sich gegebenenfalls anmelden, beim Surfen angemeldet bleiben.
Ist der Cookie nun ausdrücklich gewünscht, indem Nutzerinnen oder Nutzer die Webseite aufgerufen haben? Nein, denn davon ist erst auszugehen, wenn die Login-Funktion verwendet wird. Erst wenn Nutzende ein Profil erstellen oder sich einloggen, nehmen diese eine aktive Handlung vor, die erkennen lässt, dass eine bestimmte Funktion ausdrücklich gewünscht ist. Das bedeutet, dass Cookies erst zu diesem Zeitpunkt einwilligungsfrei gesetzt werden dürfen.
Weitere Beispiele:
Und wann genau sind Cookies “unbedingt erforderlich“?
Unbedingt erforderlich ist ein Cookie dann, wenn ohne ihn, die angeforderte Funktion nicht verfügbar wäre.
Unstreitig zählen Warenkorb-Cookies, solche zum Login-Status, der Sprachauswahl oder der Sicherheit der Nutzenden zu den unbedingt erforderlichen Cookies. Für Analyse- und Tracking-Cookies kommt es darauf an – dazu gleich mehr.
Natürlich bleibt nicht jeder Cookie ewig erforderlich. Die Dauer, in der der Cookie gespeichert bleiben kann, unterliegt vielmehr zeitlichen Grenzen. Diese Grenzen sind jedoch im Gesetz nicht definiert. Deshalb empfiehlt es sich, die zeitlichen Grenzen nach der vernünftigen Erwartung von Durchschnittsnutzenden zu bestimmen.
Beispiele:
Diese Beispiele verdeutlichen das Dilemma für Online-Shops: eine verlässliche und eindeutige rechtliche Bewertung dessen, ob und wie lange Cookies unbedingt erforderlich sind, ist in der Praxis kaum möglich. Tendenziell sind Session-Cookies aber eher zulässig als Persistent-Cookies.
Zur besseren Orientierung können Ihnen folgende Kontrollfragen helfen:
Immer dann, wenn Sie sich in Ihre Kundschaft hineinversetzen, sollten Sie von einem vernünftigen und durchschnittlichen Besuchenden Ihrer Webseite ausgehen. Sind Sie sich unsicher, sollten Sie sich Rat bei Fachleuten suchen.
Cookies, die zu Marketing- und Werbezwecken eingesetzt werden, sind grundsätzlich nicht erforderlich, um eine Webseite zu betreiben. Cookies zur Konversionsmessung, zur Bildung von Nutzerprofilen oder zum Anbieten personalisierter Werbung über mehrere Webseiten hinweg (Remarketing) sind somit einwilligungspflichtig.
Bei First-Party-Cookies, die der Analyse des Nutzerverhaltens durch die Webseitenbetreiberin oder den Webseitenbetreiber dienen, ist die Rechtslage weniger eindeutig. Cookies, die der Reichweitenmessung dienen oder die ausschließlich die Besucheranzahl einer Webseite zählen, bedürfen nach Ansicht der deutschen Datenschutzkonferenz und anderer europäischer Datenschutzbehörden in sehr engem Rahmen keiner Einwilligung. Solche Cookies seien für den Betrieb und die laufende Verwaltung einer Internetseite unter gewissen Umständen unbedingt erforderlich.
Ob eine Einwilligungspflicht bestehe, hänge dabei maßgeblich von dem Inhalt der gespeicherten Daten und dem Zweck der Cookies ab. Es sollten folgende Anforderungen erfüllt sein, damit Analyse-Cookies als erforderlich angesehen werden können:
Doch auch wenn Sie diese Voraussetzungen einhalten, besteht momentan keine Möglichkeit, First-Party-Cookies zur Analyse vollkommen rechtssicher einwilligungsfrei einzusetzen.
Die Rechtslage rund um die Einwilligungspflicht bei Cookies ist wenig transparent. Das macht es dem Online-Handel schwer zum Beispiel bei der Verwendung eines Consent-Managers zu bestimmen, ob es sich um essentielle oder einwilligungspflichtige Cookies handelt.
Während bei Session-Cookies für die Warenkorb- oder Login-Funktion grundsätzlich keine Einwilligung einzuholen ist, bestehen große Unsicherheiten bei Cookies, die zu Analyse-Zwecken dienen. Im Zweifel sollte fachlicher Rat eingeholt werden, bevor Sie Abmahnungen oder Bußgelder riskieren.
Anne Lehmann, LL.M., ist Legal Consultant bei Trusted Shops im Bereich Legal Services. Bachelor an der Hanse Law School in Vergleichendem und Europäischem Recht sowie Master in Unternehmensrecht in Internationalem Kontext an der HWR Berlin. Im Rahmen ihrer Tätigkeit war sie ab 2013 zunächst für die Prüfung von Online-Shops der Märkte DACH, NL sowie UK zuständig und verantwortete das Key Account Operational Management. Seit 2017 betreut sie die Trusted Shops Legal Produkte und beschäftigt sich intensiv mit den für Online-Händler relevanten Rechtsgebieten.
21.04.22Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.