Wann ist ein Cookie "unbedingt erforderlich"?

Stefan Hessel

Neue Stellungnahmen der Aufsichtsbehörden in Deutschland und Luxemburg

Welche Anforderungen gelten für das Setzen von Cookies auf Webseiten? Diese schon seit der ePrivacy-Richtlinie viel diskutierte und umstrittene Frage ist durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in Deutschland wieder verstärkt in den Fokus gerückt. Grundsätzlich ist für die Einwilligung in das Setzen von Cookies zwischen "unbedingt erforderlichen" Cookies i.S.v. Art. 4 Abs. 3 S. 2 Alt. 2 der ePrivacy-Richtlinie und sonstigen Cookies zu unterscheiden. Während bei den unbedingt erforderlichen Cookies keine Einwilligung erforderlich ist, muss diese bei allen anderen Cookies im Vorfeld und unter Einhaltung der diesbezüglichen Vorgaben der Art. 4 Nr. 11, Art. 7 DSGVO erfolgen.

Einige deutsche Datenschutzaufsichtsbehörden vertreten in ihren aktuellen Stellungnahmen zum Inkrafttreten des TTDSG eine strenge Auffassung und gehen, wie die folgende Übersicht zeigt, nur in engen Ausnahmefällen davon aus, dass Cookies "unbedingt erforderlich" sind:

  • Datenschutzaufsicht Hamburg: "Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung "unbedingt erforderlich", was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig werden daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein."

  • Datenschutzaufsicht Sachsen: "Ausnahmen von diesem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."

  • Datenschutzaufsicht Berlin: "Einer Einwilligung bedarf es ausnahmsweise nur dann nicht, wenn die Speicherung von und der Zugriff auf Informationen in den Endgeräten unbedingt erforderlich sind, damit ein von den Nutzenden ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann. Das ist zum Beispiel der Fall bei einem Cookie, der dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern."

  • Datenschutzaufsicht Niedersachsen: "Für Anbieter von Telemedien gibt es eine Ausnahmeregelung in § 25 Abs. 2 Nr. 2 TTDSG. […] Da es sich um eine Ausnahmeregelung handelt, ist grundsätzlich von einem engen Verständnis auszugehen, so dass es nur wenige Cookies und Drittdienste geben wird, die ohne eine Einwilligung auf der Webseite eingesetzt werden können."

  • Datenschutzaufsicht Nordrhein-Westfalen: "Die Einwilligung richtet sich nach den Regeln der Datenschutz-Grundverordnung. Ausnahmen von dieser Einwilligung sind aber im § 25 Abs. 2 TTDSG enthalten. Ausgenommen sind danach rein funktionelle Cookies, etwa Warenkorb-Cookies oder Systeme zur Betrugsprävention."

Da die ePrivacy-Richtlinie eine europäische Harmonisierung darstellt, sind bei der Beurteilung der Erforderlichkeit eines Cookies jedoch nicht nur die Stellungnahmen der deutschen Datenschutzaufsichtsbehörden und die für Anfang 2022 angekündigte Empfehlung der Datenschutzkonferenz für Unternehmen von Interesse, sondern auch die Einschätzung anderer europäischer Aufsichtsbehörden, wie beispielsweise der spanischen (PDF), der französischen (PDF) oder auch der irischen (PDF) Aufsichtsbehörde.

Zu den Aufsichtsbehörden, die hierzu eine Einschätzung abgegeben haben, reiht sich nunmehr auch die luxemburgische Datenschutzaufsichtsbehörde ein: In ihrem kürzlich veröffentlichten Leitfaden zu Cookies und anderen Trackern (PDF) gibt die Commission nationale pour la protection des données (CNPD) neben praktischen Hinweisen zur Information von Webseitenbesuchern und zur Gestaltung von Cookie-Bannern und Consent-Managern auch eine Stellungnahme zur Erforderlichkeit einer vorherigen Einwilligung für das Setzen der Cookies ab. Ihre Einschätzung weicht dabei teils erheblich von der "deutschen Linie" ab.

Leitlinien der CNPD zur Erforderlichkeit einer Einwilligung

Nach Auffassung der CNPD können die folgenden Cookies als „unbedingt erforderlich“ angesehen werden:

  • Speicherung der Cookie-Auswahl durch den Nutzer.

  • Authentifizierung des Nutzers, sofern das Cookie nur diesem Zweck dient. Dies wird nach Auffassung der CNIL jedoch bei der großen Mehrheit der Cookies in sozialen Netzwerken nicht der Fall sein.

  • Cookies zur Erinnerung an die in den Warenkorb gelegten Artikel.

  • Cookies, welche der Speicherung von Antworten in einem Kontaktformular dienen.

  • Cookies, welche dem Streamen von Inhalten dienen, sofern der Nutzer seinen ausdrücklichen Willen bekundet hat, auf die Inhalte zugreifen zu wollen.

  • Cookies zur Personalisierung von Diensten, wie beispielsweise Ansichtseinstellungen oder eine Spracheinstellung. Die Personalisierung von Werbung fällt jedoch nicht in diese Kategorie.

  • Cookies, die zu Sicherheitszwecken eingesetzt werden, sofern diese ausschließlich Sicherheitszwecken und ausschließlich dem Betreiber der Webseite oder Anwendung dienen. -    Cookies, die statistischen Zwecken dienen, sofern der Betreiber der Webseite nachweist, dass die Verwendung von bestimmten Analyse-Cookies für die Bereitstellung des Dienstes erforderlich ist, beispielsweise weil sie für die Auswertung der Serverkapazitäten benötigt werden oder um Probleme in der Bedienung aufzudecken. Dazu müssen die Cookies nach Auffassung der CNPD mindestens folgende Voraussetzungen erfüllen:

1. Die Cookies dürfen nicht an Dritte weitergegeben oder mit anderen Daten verbunden werden.

2. Die Cookies dürfen außerdem weder eine umfassende Aufzeichnung der Nutzung einer Seite noch eine webseitenübergreifende Aufzeichnung ermöglichen.

3. Die Cookies dürfen ausschließlich dem Betreiber der Webseite zur Erstellung anonymer Statistiken dienen.

Hingegen zählen nach Ansicht der CNPD folgende Cookies zu den nicht unbedingt erforderlichen Cookies, die eine vorherige Einwilligung erfordern:

  • Cookies, welche einer geräteübergreifenden Nachverfolgung des Nutzers dienen.

  • Cookies, welche der Erstellung eines Nutzerprofils dienen, beispielsweise indem die Interessen des Nutzers gesammelt werden.

  • Cookies welche der Personalisierung von Werbung dienen.

  • Cookies, die der Geolokalisierung des Nutzers dienen.

  • Social-Media-Plugins, wie beispielsweise ein „Gefällt mir“-Button, sofern das Plugin auf die Nutzung von Cookies angewiesen ist.

Bemerkenswert ist unter anderem die Auffassung der CNPD zu den Social-Media-Plugins, da die Art.-29-Datenschutzgruppe und einige sich daran orientierende Datenschutzaufsichtsbehörden wie die spanische, die belgische oder die griechische Aufsichtsbehörde diese Einschränkung nicht erwähnen. Zudem ist interessant, dass die CNPD Analyse-Cookies unter den oben genannten Voraussetzungen für unbedingt erforderlich und damit nicht einwilligungspflichtig ansieht. Bezüglich der erforderlichen Einwilligung selbst hebt die CNPD besonders die Anforderungen für die vorherige Information des Nutzers hervor, welche an den Art. 12 und 13 DSGVO zu messen ist.   

Zukünftige Regelung durch EU-Verordnung

Die teilweise unterschiedlichen Auffassungen der jeweiligen Datenschutzaufsichtsbehörden beruhen zu einem nicht unerheblichen Teil auf den jeweiligen nationalen Umsetzungen der ePrivacy-Richtlinie (PDF) in den verschiedenen Mitgliedstaaten der EU. Dies hat auch die Europäische Kommission erkannt und bereits 2017 einen Vorschlag für eine ePrivacy-Verordnung (PDF) vorgestellt. Nach einiger Kritik und jahrelangem Tauziehen zwischen den Mitgliedstaaten soll der aktuelle Entwurf nun bereit für den Trilog zwischen Europäischer Kommission, dem Rat der Europäischen Union und dem Europäischen Parlament sein.

Auch die CNPD äußert in ihren Leitlinien die Hoffnung, dass diese Verordnung zu einer besseren Übereinstimmung der Vorgaben für Cookies mit den Regelungen der DSGVO führen wird und die Unterschiede in der Auslegung oder Umsetzung zwischen den Mitgliedstaaten und den jeweiligen nationalen Behörden beseitigt werden.

Fazit

Bis zu einer einheitlichen Regelung durch die ePrivacy-Verordnung wird noch einige Zeit vergehen. Im Hinblick auf die zahlreichen Stellungnahmen und die Vielzahl an Auffassungen ist es für die Betreiber von Webseiten wichtig, die Auffassungen der jeweiligen nationalen Aufsichtsbehörden zu kennen und diese umzusetzen. Dies umso mehr, da Cookies im Fokus der Datenschutzaufsichtsbehörden bleiben. Bei der Frage, ob eine Einwilligung erforderlich ist oder nicht, spricht jedoch viel dafür, auch die Stellungnahmen anderer europäischer Aufsichtsbehörden zu berücksichtigen. Schließlich kann es nicht zulasten von Unternehmen gehen, wenn eine europäische Richtlinie statt zu einer Harmonisierung zu einer Zersplitterung der rechtlichen Anforderungen an die Einwilligung bei Cookies führt. Vor diesem Hintergrund wäre auch eine stärkere Abstimmung der zuständigen Aufsichtsbehörden in Europa wünschenswert.

[Dezember 2021]