Cookies und Tracking: Alles neu macht der … März?

News, Wirtschaftsrecht, Datenschutzrecht   |   25. April 2022

Im März 2022 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDi BW), Dr. Stefan Brink, seine FAQ zum Thema „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“ aktualisiert. Statt schlanker vier Seiten wie die Vorgängerversion umfasst das Update nun 39 Seiten und zeigt schon damit, dass es zu diesem Thema einiges zu sagen gibt.

Wie allseits bekannt, stellt der LfDi BW zunächst klar, dass Webseiten eines sogenannten Cookie- oder Einwilligungs-Banners nur bedürfen, wenn sie einwilligungsbedürftige Cookies oder Tracking-Methoden verwenden. Viele Webseitenbetreiber stellen sich daher auf den Standpunkt, die von ihnen eingesetzten Tools seien zum Betrieb der Webseite unbedingt erforderlich und bedürfen daher keiner Einwilligung. Dabei sind Cookies laut LfDi BW nicht lediglich deshalb erforderlich, weil eine bestimmte Software mit Cookies implementiert wurde. Vielmehr ist die Erforderlichkeit danach zu beurteilen, ob die Cookies unbedingt nötig sind, um einen vom Nutzenden ausdrücklich gewünschten Dienst zur Verfügung zu stellen. Erforderlich sind demnach Login- oder Warenkorb-Cookies und solche zur Speicherung von Nutzereingaben oder der Sprachauswahl, nicht aber solche, die beim bloßen Aufrufen der Webseite mit einer Session-ID gesetzt werden. Umgekehrt ist es aber irreführend, „zur Sicherheit“ eine Einwilligung auch für erforderliche Cookies einzuholen.

Oftmals für erforderlich gehalten wird auch die Einbindung externer Schriftarten, vor allem der Google Fonts, um die Webseite einheitlich und ansehnlich zu gestalten. Dabei ist jedoch Vorsicht geboten: Eine Einbindung kann (und sollte) lokal über die eigene Webseite erfolgen, sodass eine externe Einbindung – wenn überhaupt – nur mittels Einwilligung erfolgen kann. Gleiches gilt für andere externe Inhalte, wie etwa Social-Media-Buttons, Tweets von Twitter, Beiträge von Facebook, Videos von YouTube oder Karten von Google Maps. Da dabei personenbezogenen Daten wie die IP-Adresse oder URL-Referrer an den Betreiber dieser Dienste übermittelt werden, der nicht selten auch noch im Ausland sitzt, bedarf die Übermittlung einer Einwilligung. Bei der direkten Einbindung dieser Inhalte ist die Einholung einer Einwilligung mittels Einwilligungs-Banner aber meistens zu spät – personenbezogene Daten wurden schon mit Aufrufen der Seite an den Dritten übermittelt. Dringend zu empfehlen ist daher eine Einbindung mit der „Zwei-Klick-Lösung“ oder wenn möglich eine lokale Verarbeitung.

Den Großteil seiner FAQ widmet der LfDi BW zurecht der rechtmäßigen Gestaltung des Cookie- oder Einwilligungs-Banners. Zutreffend stellt er fest, dass diese eine große Herausforderung darstellt – so groß, dass sich Webseitenbetreiber den Einsatz einwilligungsbedürftiger Tools genau überlegen sollten. Beliebte Fehlerquellen sind die Positionierung des Banners und die Übermittlung von personenbezogenen Daten bereits vor Einholung der Einwilligung. Auch mit der optischen Gestaltung des Banners darf kein „Nudging“ betrieben, der Nutzer also nicht zur Einwilligung gedrängt werden. Inhaltlich muss die Gratwanderung zwischen einer verständlichen, klaren und überschaubaren Formulierung einerseits und einer technisch korrekten, genauen und hinreichend informierenden Formulierung andererseits beherrscht werden. Schließlich hat der LfDi BW einen beinahe zwanzigseitigen Katalog mit Negativbeispielen zu Formulierungen und Aufbau des Banners zusammengetragen. Dort finden sich neben Formulierungen wie „Weiter nur mit Werbung“ und „Helfen Sie uns mit Ihrer Zustimmung“, auch weniger offensichtliche Negativbeispiele wie „Wir halten uns an die DS-GVO“ oder „Es ist uns ein Anliegen, Ihre Daten zu schützen“. Bei diesem langen Katalog der gängigen Fehler ist also für jeden etwas dabei.

Fazit

Zum Thema Cookies und Tracking war vieles trotz der jungen Regelung der DS-GVO in Anbetracht der schnellen technischen Fortschritte und Möglichkeiten unklar. Verbreitet war und ist der Einsatz von Cookies und Tracking in einer Weise, die der geltenden Rechtslage unter der DS-GVO widerspricht – sei es, weil rechtssichere Alternativen fehlen oder unbekannt sind oder die Rechtskonformität bisweilen unklar war. Diesen Problemen schaffen die neuen FAQ des LfDi BW nun Abhilfe. Ihre Veröffentlichung sollte deshalb zum Anlass genommen werden, die bestehende Praxis zu überprüfen und rechtskonform zu gestalten, nicht zuletzt mit Blick auf die vermehrt drohenden Bußgelder und Schadensersatzansprüche. So wurde einem Kläger vom LG München im Januar diesen Jahres ein Schadensersatzanspruch in Höhe von 100 Euro zugesprochen, weil der beklagte Webseitenbetreiber Google Fonts extern eingebunden hatte und damit die rechtswidrige Übermittlung der IP-Adresse an Google veranlasste. Diese Summe mag gering erscheinen. Geklagt hatte allerdings nur ein einzelner Webseitenbesucher. Der Klageweg steht aber auch allen anderen Usern offen, sodass sich der Schadensersatzanspruch erheblich potenzieren kann.


 


 
Autorinnen
Madelaine Isabelle Baade

Madelaine Isabelle Baade

Rechtsanwältin
Assoziierte Partnerin


Zum Profil
Theresa Hößl

Theresa Hößl

Wissenschaftliche Mitarbeiterin


Zum Profil

Up to date bleiben

Gerne halten wir Sie mit unserer RB news und unserem Newsletter auf dem Laufenden.

News abonnieren