Cookie-Consent-Tools: Bedarf, Sinnhaftigkeit und Hürden der Implementierung

Cookie-Consent-Tools: Bedarf, Sinnhaftigkeit und Hürden der Implementierung
21.10.2019 | Lesezeit: 6 min

Nachdem der EuGH mit Urteil vom 01.10.2019 (Az. C-673/17) eine Einwilligungspflicht für technisch nicht notwendige Cookies bestätigt hat, ziehen viele Seitenbetreiber den Einsatz eines Cookie-Consent-Tools in Betracht. Dass ein solches nicht immer erforderlich und im Übrigen auch nicht immer sinnvoll ist und darüber hinaus meist nur mit erheblichem technischen Aufwand implementiert werden kann, zeigt der nachfolgende Beitrag der IT-Recht Kanzlei.

I. Konstellationen, in denen ein Cookie-Consent-Tool nicht notwendig wird

Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.

Das Grundsatzurteil des EuGH vom 01.10.2019 zur Cookie-Einwilligungspflicht hat die IT-Recht Kanzlei in diesem Beitrag aufbereitet.

Diese Einwilligungserfordernisse lassen sich zwar am besten mit einem wirksamen Cookie-Einwilligungsmanagement umsetzen, das in Form eines Cookie-Consent-Tools das Setzen eines jeden, nicht erforderlichen Cookies von der ausdrücklichen Nutzereinwilligung abhängig macht.

Zu beachten ist aber, dass das Erfordernis eines Consent-Tools mit der Einwilligungspflicht für Cookies selbst steht und fällt.

Banner Starter Paket

1.) Verwendung nur technisch erforderlicher Cookies

Webseiten, die nur technisch erforderliche Cookies setzen, lösen die Cookie-Einwilligungspflicht nicht aus. Folglich bedarf es auch keines Cookie-Consent-Tools.

Als technisch notwendige und nicht einwilligungspflichtige Cookies gelten all solche Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.

Hierunter fallen:

  • Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten)
  • Flash-Cookies zur Wiedergabe von Medieninhalten
  • Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
  • Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können

Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Nicht einwilligungspflichtig sind daher auch Cookies aus

  • Live-Chat-Systemen und
  • Messenger-Diensten

2.) Verwendung von cookie-losen Diensten

Eine andere Möglichkeit, die Einwilligungspflicht für Cookies und mithin auch die Notwendigkeit eines Cookie-Consent-Tools zu umgehen, ist die Verwendung von Diensten, die auch ohne das Setzen von Cookies funktionieren.

Möchte ein Seitenbetreiber auf die Analyse bestimmter Verhaltensmuster oder auf sonstige Tracking-Maßnahmen nicht verzichten, kann er Anwendung implementieren, welche generell ohne Cookies auskommen (können).

So lässt sich bei einigen Analysediensten (etwa dem Tracking-Dienst „Matomo“ (ehemals Piwik), das Setzen von Cookies in den Einstellungen manuell deaktivieren.

II. Mut zur kritischen Würdigung: welche Anwendungen machen mit Cookie-Einwilligungspflicht noch Sinn?

Ist ein Cookie-Consent-Tool erforderlich, sollten sich Seitenbetreiber vor der Implementierung stets einer kritischen Selbstanalyse unterziehen und herausarbeiten, welche cookie-basierten Anwendungen bei bestehender Einwilligungspflicht überhaupt noch sinnvolle Ergebnisse liefern können.

Festzuhalten ist nämlich, dass die meisten cookie-setzenden Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste bei Abhängigkeit von einer Einwilligung ihre Funktionalität weitgehend einbüßen werden. Insofern ist zum einen generell davon auszugehen, dass Nutzer ihre Einwilligung in eine Verhaltensanalyse in Zukunft eher verweigern als freiwillig erteilen werden, was die positiven Effekte der Dienste großflächig beschneiden oder im Zweifel gar aushebeln dürfte.

Im Einzelfall mag das Abhängen von einer Einwilligung sogar dazu führen, dass Dienste völlig ungenaue oder unbrauchbare Messdaten liefern. Ein Beispiel sei das cookie-basierte Messen von Seitenzugriffen. Hinge das Hinzuzählen eines Seitenbesuchs stets von der Nutzereinwilligung ab, wäre die Zählfunktion insgesamt nicht mehr brauchbar und würde falsche Ergebnisse liefern, mit denen tatsächlich keine Optimierungsstrategien mehr möglich wären.

Im Zweifel kann es daher ratsam sein, in Anbetracht der Cookie-Einwilligungspflicht zuvor genutzte Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste generell zu deaktivieren, um falsche Auswertungsergebnisse zu vermeiden und gleichzeitig das Erfordernis eines wirksamen Einwilligungsmanagements zu umgehen.

III. Erheblicher technischer Umstellungsaufwand und entsprechendes Know-How

Soll ein Cookie-Consent-Tool implementiert werden, ist der hierfür notwendige technische Aufwand und der vorauszusetzende technische Kenntnisstand nicht unerheblich.

Insofern funktionieren Cookie-Consent-Tools nämlich nicht wie einfach zu installierende Plug-Ins, die nach einer Installation ihre Funktion automatisch aufnehmen. Vielmehr müssen derartige Tools für Ihre ordnungsgemäße Funktion eigenhändig mit allen notwendigen Informationen angereichert werden.

Cookie-Consent-Tools funktionieren wie eine technische Maske, die sich über den Code einer Website legt und bestimmte cookie-aktivierende Skripte blockiert. Damit diese Skripte aber anfänglich blockiert und erst nach Treffen einer Auswahl im Tool selbst nachgeladen werden, sind umfangreiche technische Kenntnisse erforderlich.

So müssten zunächst alle Cookie-Skripte manuell aus dem Seitencode entfernt werden. Darauf hin müsste das Tool mit den entsprechenden Skripten gepeist werden, damit es diese registriert, einer bestimmten Anwendung zuordnet und sodann erst bei deren Aktivierung über ein Opt-In-Feld nachlädt. Dies setzt aber auch die vollumfängliche Kenntnis aller Cookie-Skripte innerhalb einer Präsenz (d.h. auch auf Unterseiten) voraus.

Wird ein Consent Tool mithin nicht genau auf die jeweilige Web-Präsenz und all ihre Dienste ausgerichtet, kann es das Setzen von Cookies nicht verhindern. Die Funktionalität eines jeden Consent Tools hängt also maßgeblich von der technischen Korrelation und Verzahnung mit der konkreten Präsenz und ihren Codes ab.

Ein derartiges technisches Finetuning wird von den meisten Seitenbetreibern in Eigenregie nicht geleistet werden können. Zu hoch ist das Risiko einer unzureichenden bzw. technisch nicht tragfähigen Verbauung. Im Zweifel würde hierfür also die (kostentechnisch nicht zu verkennende) Beauftragung von speziellen Technik- und/oder Agenturleistungen erforderlich.

IV. Fazit

Ein wirksames Cookie-Einwilligungsmanagement wird nur dann erforderlich, wenn auf einer Internetpräsenz überhaupt auch technisch nicht notwendige Cookies zum Einsatz kommen. Zu begrüßen ist daher, dass es bereits Tracking- und Analyseanwendungen gibt, die auch ohne den Einsatz von Cookies auskommen.

Wer dennoch auf cookie-basierte Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste nicht verzichten und daher ein Consent-Tool implementieren will, sollte aber Zweierlei beachten.

  • Einerseits können cookie-basierte Anwendungen beim Abhängen von einer Nutzereinwilligung ihre bestimmungsgemäße Funktion vielmals nicht oder nicht zielführend erfüllen und verfehlen damit nicht selten ihren Verwendungszweck.
  • Andererseits setzt die ordnungsgemäße Verbauung von Consent-Tools in eine Webpräsenz umfangreiche technische und informationstechnologische Kenntnisse voraus, weil die Seitencodes mit dem Tool so verzahnt werden müssen, dass alle cookie-basierten Skripte mit dem Tool korrelieren.

Eine einfache „Plug -In &Play“-Lösung vermögen Consent Tools daher nicht zu liefern, sondern machen für informationstechnische Laien im Zweifel die Zusammenarbeit mit versierten Experten erforderlich.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

9 Kommentare

A
Andrea Anhorn 21.11.2019, 12:37 Uhr
Problematik Leadpages im Rahmen von automatisierten E-Mail-Kampagnen
Wie verhält es sich bei Leadpages, die aktionsgebunden im Rahmen von automatsierten Newsletter-Kampagnen in E-Mail-Marketing-Tools - z. B. in Evalanche - erstellt werden?
R
Ralf Glaser 17.11.2019, 15:30 Uhr
Ohne Cookie Tracking - reicht dann ein normaler Cooker Banner aus?
Wenn man nur eine Standardwebseite nutzt, die nur in der Google Search Console angemeldet ist und sonst keinerlei Trackingcookies setzt, würde dann ein normaler Cookiebanner ausreichen nach dem neuesten EuGH Urteil vom Oktober?
I
IT Recht Kanzlei 24.10.2019, 17:42 Uhr
Kann man Google Analytics nicht auch ohne Cookies verwenden?
Hierzu gerne dieser Beitrag:

https://www.it-recht-kanzlei.de/google-analytics-cookieless-anleitung-risiken.html.html
C
Christian 24.10.2019, 17:40 Uhr
Kaufmann
Die Verwendung eines Consent Tools ist dann in der Tat fraglich, da die entsprechenden Analyse- Ergebnisse vermutlich deutlich verfälscht würden. Ohne Consent Tool bedeutet es also die folgenden Systeme alle zu deaktivieren? Google Analytics, Google Ads Conversion Tracking, Facebook Pixel, Retargeting Systeme wie Google Ads Retargeting usw.. Kann man Google Analytics nicht auch ohne Cookies verwenden? (Storage : none)
I
IT-Recht Kanzlei 24.10.2019, 09:33 Uhr
Nutzung ohne Cookie
Danke für den Hinweis. Wir werden noch heute unsere Datenschutzerklärung entsprechend angepasst haben.
R
Ralph Streckhardt 24.10.2019, 08:44 Uhr
„Matomo“ Nutzung ohne Cookie setzen
In der Datenschutzerklärung (Blogs, Homepages ohne Bestellfunktion - nicht Shops), finde ich keinen Textbaustein für die Nutzung ohne Cookie für den Dienst.

Ist eine Nutzung ohne Cookie setzen und Installation auf eigenem Webspace rechtlich zur Zeit möglich?
N
Niels 22.10.2019, 10:33 Uhr
Google Analytics ohne Cookies
Wie sieht es damit aus, wenn man Google Analytics ohne das Setzen von Cookies verwendet (storage:none)?
I
IT-Recht Kanzlei 22.10.2019, 09:07 Uhr
DSK zum Thema Tracking
Guten Tag,
vielen Dank für Ihren Kommentar.

Empfehlungen und Handlungsanleitungen der DSK sind nie rechtsverbindlich, da ihr als bloßes Gremium der Landesdatenschutzbehörden weder rechtssetzende noch rechtsauslegende Kompetenz zukommt.

Für die Frage nach der Einwilligungspflicht kommt es daher nicht auf Stellungnahmen der DSK, sondern auf Gesetze und deren gerichtliche Auslegung an.

Für Cookies hat nun der EuGH die Einwilligungspflicht bestätigt. Möglicherweise lässt sich das Urteil auf andere Analysen von Nutzerverhalten übertragen, welche durch das Speichern von Informationen auf oder das Auslesen von Informationen von Endgeräten erfolgt (z.B. Pixel-Tracking).

Ein genereller Einwilligungsvorbehalt für jegliches Tracking kann dem geltenden Recht aber nicht entnommen werden.
K
Kad 21.10.2019, 18:26 Uhr
DSK zum Thema Tracking
Hat die DSK nicht gemeint, dass das Tracking von Nutzern in jedem Fall eine Einwilligung voraussetzt? Dann wäre die Lösung mit Matomo ja auch hinfällig, denn soweit ich mich erinnere, bezog sich die Aussage der DSK (irgendwann im April/Mai 2018) auf das Tracking im Allgemeinen und nicht auf Cookies.

Weitere News

Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(21.10.2024, 08:53 Uhr)
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
(08.08.2024, 15:30 Uhr)
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
(25.04.2024, 11:51 Uhr)
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
(24.05.2023, 22:35 Uhr)
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
© 2004-2024 · IT-Recht Kanzlei