7 datenschutzrechtliche Herausforderungen beim Einsatz von...
Erhalten Sie Tipps zu einer rechtskonformen Nutzung und datenschutzrechtlichen Herausforderungen im Zusammenhang mit dem Einsatz von KI.
Inhaltsverzeichnis:
1. Voraussetzungen für einwilligungsfreie Cookies
2. Kontrollfragen für Online-Shops
3. Analyse- und Tracking-Cookies
4. Unser Tipp
Diesen Artikel jetzt als Podcast anhören
Für Online-Shops spielen Cookies eine große Rolle – sei es als technisches Mittel für die Merkfunktion von Sprache und Warenkorb, zur Webseiten-Analyse oder im Online-Marketing.
Einfach erklärt sind Cookies kleine Textdateien, die bei Benutzung von Internetdiensten auf dem Endgerät gespeichert und später wieder abgerufen werden können, um Nutzerinnen oder Nutzer zu identifizieren. Der Einsatz von Cookies ist datenschutzrechtlich aber nur unter gewissen Voraussetzungen zulässig.
In unserem Rechtstipp der Woche vom 01.10.2021 haben wir bereits dargestellt, dass nach § 25 TTDSG eine Einwilligung von den Nutzerinnen und Nutzern erforderlich ist, wenn Cookies gespeichert oder auf gespeicherte Cookies zugegriffen wird.
Hiervon besteht die relevante Ausnahme, dass für zwingend notwendige Cookies keine Einwilligung erforderlich ist.
Wann Cookies zwingend notwendig sind, lässt sich allerdings nicht so einfach beurteilen. Wer einen Consent-Manager verwendet, steht dann vor der schwierigen Entscheidung, ob der Cookie der Kategorie „essentiell“ oder „funktionell“ zuzuordnen ist.
In diesem Rechtstipp der Woche möchten wir für etwas mehr Klarheit sorgen und Ihnen einen Überblick über die Rechtslage verschaffen.
Voraussetzungen für einwilligungsfreie Cookies
Nach § 25 Abs. 2 Nr. 2 TTDSG besteht für Cookies unter zwei Voraussetzungen keine Einwilligungspflicht: Zum einen muss es sich um einen der Nutzenden ausdrücklich gewünschten Telemediendienst handeln und zum anderen müssen etwaige Cookies für die Bereitstellung dieses Dienstes unbedingt erforderlich sein.
Wie werden Telemediendienste überhaupt definiert?
Im TTDSG wird auf die Legaldefinition des § 1 Abs. 1 Telemediengesetz (TMG) zurückgegriffen. Danach sind Telemediendienste alle elektronischen Informations- und Kommunikationsdienste mit Ausnahme der reinen Telekommunikations-Dienste und des Rundfunks.
Dazu gehören beinahe alle Angebote im Internet, von der privaten Webseite bis zu Online-Shops, Suchmaschinen, Online-Dienstleistungen (z. B. E-Mail, Wetter, Verkehrshinweise), aber auch Podcasts oder Blogs.
Was bedeutet „ausdrücklich gewünscht“?
Ein Telemediendienst wird ausdrücklich gewünscht, wenn Nutzerinnen oder Nutzer eine aktive Handlung vornehmen, mit der ein klar erkennbarer Funktionsumfang abgerufen wird.
Mit dem Besuch einer Internetseite wird allerdings nicht unmittelbar ihr voller Funktionsumfang abgerufen. Es geht vielmehr um die spezifischen, von Nutzenden angeforderten Funktionen, solange diese sich voneinander abgrenzen lassen.
Beispiel: Eine Webseite bietet neben frei abrufbaren Inhalten auch einen Premium-Bereich mit kostenpflichtigen zusätzlichen Inhalten an, den man durch einen Login erreicht. Die Webseite setzt beim ersten Besuch nun direkt Cookies, die sicherstellen sollen, dass Besucherinnen und Besucher, die sich gegebenenfalls anmelden, beim Surfen angemeldet bleiben.
Ist der Cookie nun ausdrücklich gewünscht, indem Nutzerinnen oder Nutzer die Webseite aufgerufen haben? Nein, denn davon ist erst auszugehen, wenn die Login-Funktion verwendet wird. Erst wenn Nutzende ein Profil erstellen oder sich einloggen, nehmen diese eine aktive Handlung vor, die erkennen lässt, dass eine bestimmte Funktion ausdrücklich gewünscht ist. Das bedeutet, dass Cookies erst zu diesem Zeitpunkt einwilligungsfrei gesetzt werden dürfen.
Weitere Beispiele:
- Cookies für die Merkfunktion von Sprachauswahl erst mit Betätigung des Flaggen-Icons
- Cookies für die Merkfunktion des Warenkorbs erst, wenn Artikel in den Warenkorb gelegt werden oder dieser aufgerufen wird
Und wann genau sind Cookies “unbedingt erforderlich“?
Unbedingt erforderlich ist ein Cookie dann, wenn ohne ihn, die angeforderte Funktion nicht verfügbar wäre.
Unstreitig zählen Warenkorb-Cookies, solche zum Login-Status, der Sprachauswahl oder der Sicherheit der Nutzenden zu den unbedingt erforderlichen Cookies. Für Analyse- und Tracking-Cookies kommt es darauf an – dazu gleich mehr.
Natürlich bleibt nicht jeder Cookie ewig erforderlich. Die Dauer, in der der Cookie gespeichert bleiben kann, unterliegt vielmehr zeitlichen Grenzen. Diese Grenzen sind jedoch im Gesetz nicht definiert. Deshalb empfiehlt es sich, die zeitlichen Grenzen nach der vernünftigen Erwartung von Durchschnittsnutzenden zu bestimmen.
Beispiele:
- Von Session-Cookies (Login-Status, Sprache etc.) erwarten Nutzerinnen und Nutzer, dass sie ihm für die Dauer der „Browser-Session“ die Bedienung der Webseite erleichtern. Sie sind deshalb nur so lange unbedingt erforderlich, wie die Webseite ununterbrochen verwendet wird.
- Einen dauerhaft gespeicherten Cookie (Persistent-Cookie), also ein Cookie, der auch nach dem Schließen des Browsers gespeichert bleibt, erwarten Nutzende vernünftigerweise nur dann, wenn sie diese zuvor ausdrücklich gewünscht haben. Beispielsweise, indem sie beim Login eine Checkbox „Angemeldet bleiben“ ankreuzen.
- Bei Warenkorbcookies ist die Erwartung der Besucherinnen und Besucher der Webseite erneut auszulegen. Hier wird in der Praxis diskutiert, ob diese als Session-Cookies behandelt werden sollten oder ob Benutzende erwarten, dass der Warenkorbinhalt gespeichert bleibt, auch wenn die Seite verlassen oder der Browser (kurzzeitig) geschlossen wird.
Diese Beispiele verdeutlichen das Dilemma für Online-Shops: eine verlässliche und eindeutige rechtliche Bewertung dessen, ob und wie lange Cookies unbedingt erforderlich sind, ist in der Praxis kaum möglich. Tendenziell sind Session-Cookies aber eher zulässig als Persistent-Cookies.
Kontrollfragen für Online-Shops
Zur besseren Orientierung können Ihnen folgende Kontrollfragen helfen:
- Welchen Funktionsumfang bietet mein Shop? Und welche dieser Funktionen erfordern Cookies?
- Welche Funktionen werden von meiner Kundschaft zu welchem Zeitpunkt ausdrücklich gewünscht?
- Ist die Funktion verfügbar, wenn der Cookie deaktiviert ist? Wenn ja, dann ist der Cookie nicht unbedingt erforderlich.
- Wie lange erwartet meine Kundschaft vernünftigerweise, dass der Cookie gespeichert bleibt?
Immer dann, wenn Sie sich in Ihre Kundschaft hineinversetzen, sollten Sie von einem vernünftigen und durchschnittlichen Besuchenden Ihrer Webseite ausgehen. Sind Sie sich unsicher, sollten Sie sich Rat bei Fachleuten suchen.
Analyse- und Tracking-Cookies
Cookies, die zu Marketing- und Werbezwecken eingesetzt werden, sind grundsätzlich nicht erforderlich, um eine Webseite zu betreiben. Cookies zur Konversionsmessung, zur Bildung von Nutzerprofilen oder zum Anbieten personalisierter Werbung über mehrere Webseiten hinweg (Remarketing) sind somit einwilligungspflichtig.
Bei First-Party-Cookies, die der Analyse des Nutzerverhaltens durch die Webseitenbetreiberin oder den Webseitenbetreiber dienen, ist die Rechtslage weniger eindeutig. Cookies, die der Reichweitenmessung dienen oder die ausschließlich die Besucheranzahl einer Webseite zählen, bedürfen nach Ansicht der deutschen Datenschutzkonferenz und anderer europäischer Datenschutzbehörden in sehr engem Rahmen keiner Einwilligung. Solche Cookies seien für den Betrieb und die laufende Verwaltung einer Internetseite unter gewissen Umständen unbedingt erforderlich.
Ob eine Einwilligungspflicht bestehe, hänge dabei maßgeblich von dem Inhalt der gespeicherten Daten und dem Zweck der Cookies ab. Es sollten folgende Anforderungen erfüllt sein, damit Analyse-Cookies als erforderlich angesehen werden können:
- Keine Identifizierbarkeit der Nutzenden und keine Bildung von Profilen
- Kein Remarketing durch Tracking über Webseiten hinweg
- Keine Verwendung von Daten zu kommerziellen Zwecken
- Keine Bereitstellung von Daten an Dritte
Doch auch wenn Sie diese Voraussetzungen einhalten, besteht momentan keine Möglichkeit, First-Party-Cookies zur Analyse vollkommen rechtssicher einwilligungsfrei einzusetzen.
Unser Tipp
Die Rechtslage rund um die Einwilligungspflicht bei Cookies ist wenig transparent. Das macht es dem Online-Handel schwer zum Beispiel bei der Verwendung eines Consent-Managers zu bestimmen, ob es sich um essentielle oder einwilligungspflichtige Cookies handelt.
Während bei Session-Cookies für die Warenkorb- oder Login-Funktion grundsätzlich keine Einwilligung einzuholen ist, bestehen große Unsicherheiten bei Cookies, die zu Analyse-Zwecken dienen. Im Zweifel sollte fachlicher Rat eingeholt werden, bevor Sie Abmahnungen oder Bußgelder riskieren.
Über die Autorin
Anne Lehmann, LL.M., ist Legal Consultant bei Trusted Shops im Bereich Legal Services. Bachelor an der Hanse Law School in Vergleichendem und Europäischem Recht sowie Master in Unternehmensrecht in Internationalem Kontext an der HWR Berlin. Im Rahmen ihrer Tätigkeit war sie ab 2013 zunächst für die Prüfung von Online-Shops der Märkte DACH, NL sowie UK zuständig und verantwortete das Key Account Operational Management. Seit 2017 betreut sie die Trusted Shops Legal Produkte und beschäftigt sich intensiv mit den für Online-Händler relevanten Rechtsgebieten.
21.04.22
