Cookie-Consent-Tools: Bedarf, Sinnhaftigkeit und Hürden der Implementierung
Nachdem der EuGH mit Urteil vom 01.10.2019 (Az. C-673/17) eine Einwilligungspflicht für technisch nicht notwendige Cookies bestätigt hat, ziehen viele Seitenbetreiber den Einsatz eines Cookie-Consent-Tools in Betracht. Dass ein solches nicht immer erforderlich und im Übrigen auch nicht immer sinnvoll ist und darüber hinaus meist nur mit erheblichem technischen Aufwand implementiert werden kann, zeigt der nachfolgende Beitrag der IT-Recht Kanzlei.
Inhaltsverzeichnis
- I. Konstellationen, in denen ein Cookie-Consent-Tool nicht notwendig wird
- 1.) Verwendung nur technisch erforderlicher Cookies
- 2.) Verwendung von cookie-losen Diensten
- II. Mut zur kritischen Würdigung: welche Anwendungen machen mit Cookie-Einwilligungspflicht noch Sinn?
- III. Erheblicher technischer Umstellungsaufwand und entsprechendes Know-How
- IV. Fazit
I. Konstellationen, in denen ein Cookie-Consent-Tool nicht notwendig wird
Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.
Das Grundsatzurteil des EuGH vom 01.10.2019 zur Cookie-Einwilligungspflicht hat die IT-Recht Kanzlei in diesem Beitrag aufbereitet.
Diese Einwilligungserfordernisse lassen sich zwar am besten mit einem wirksamen Cookie-Einwilligungsmanagement umsetzen, das in Form eines Cookie-Consent-Tools das Setzen eines jeden, nicht erforderlichen Cookies von der ausdrücklichen Nutzereinwilligung abhängig macht.
Zu beachten ist aber, dass das Erfordernis eines Consent-Tools mit der Einwilligungspflicht für Cookies selbst steht und fällt.
1.) Verwendung nur technisch erforderlicher Cookies
Webseiten, die nur technisch erforderliche Cookies setzen, lösen die Cookie-Einwilligungspflicht nicht aus. Folglich bedarf es auch keines Cookie-Consent-Tools.
Als technisch notwendige und nicht einwilligungspflichtige Cookies gelten all solche Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.
Hierunter fallen:
- Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten)
- Flash-Cookies zur Wiedergabe von Medieninhalten
- Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
- Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können
Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.
Nicht einwilligungspflichtig sind daher auch Cookies aus
- Live-Chat-Systemen und
- Messenger-Diensten
2.) Verwendung von cookie-losen Diensten
Eine andere Möglichkeit, die Einwilligungspflicht für Cookies und mithin auch die Notwendigkeit eines Cookie-Consent-Tools zu umgehen, ist die Verwendung von Diensten, die auch ohne das Setzen von Cookies funktionieren.
Möchte ein Seitenbetreiber auf die Analyse bestimmter Verhaltensmuster oder auf sonstige Tracking-Maßnahmen nicht verzichten, kann er Anwendung implementieren, welche generell ohne Cookies auskommen (können).
So lässt sich bei einigen Analysediensten (etwa dem Tracking-Dienst „Matomo“ (ehemals Piwik), das Setzen von Cookies in den Einstellungen manuell deaktivieren.
II. Mut zur kritischen Würdigung: welche Anwendungen machen mit Cookie-Einwilligungspflicht noch Sinn?
Ist ein Cookie-Consent-Tool erforderlich, sollten sich Seitenbetreiber vor der Implementierung stets einer kritischen Selbstanalyse unterziehen und herausarbeiten, welche cookie-basierten Anwendungen bei bestehender Einwilligungspflicht überhaupt noch sinnvolle Ergebnisse liefern können.
Festzuhalten ist nämlich, dass die meisten cookie-setzenden Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste bei Abhängigkeit von einer Einwilligung ihre Funktionalität weitgehend einbüßen werden. Insofern ist zum einen generell davon auszugehen, dass Nutzer ihre Einwilligung in eine Verhaltensanalyse in Zukunft eher verweigern als freiwillig erteilen werden, was die positiven Effekte der Dienste großflächig beschneiden oder im Zweifel gar aushebeln dürfte.
Im Einzelfall mag das Abhängen von einer Einwilligung sogar dazu führen, dass Dienste völlig ungenaue oder unbrauchbare Messdaten liefern. Ein Beispiel sei das cookie-basierte Messen von Seitenzugriffen. Hinge das Hinzuzählen eines Seitenbesuchs stets von der Nutzereinwilligung ab, wäre die Zählfunktion insgesamt nicht mehr brauchbar und würde falsche Ergebnisse liefern, mit denen tatsächlich keine Optimierungsstrategien mehr möglich wären.
Im Zweifel kann es daher ratsam sein, in Anbetracht der Cookie-Einwilligungspflicht zuvor genutzte Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste generell zu deaktivieren, um falsche Auswertungsergebnisse zu vermeiden und gleichzeitig das Erfordernis eines wirksamen Einwilligungsmanagements zu umgehen.
III. Erheblicher technischer Umstellungsaufwand und entsprechendes Know-How
Soll ein Cookie-Consent-Tool implementiert werden, ist der hierfür notwendige technische Aufwand und der vorauszusetzende technische Kenntnisstand nicht unerheblich.
Insofern funktionieren Cookie-Consent-Tools nämlich nicht wie einfach zu installierende Plug-Ins, die nach einer Installation ihre Funktion automatisch aufnehmen. Vielmehr müssen derartige Tools für Ihre ordnungsgemäße Funktion eigenhändig mit allen notwendigen Informationen angereichert werden.
Cookie-Consent-Tools funktionieren wie eine technische Maske, die sich über den Code einer Website legt und bestimmte cookie-aktivierende Skripte blockiert. Damit diese Skripte aber anfänglich blockiert und erst nach Treffen einer Auswahl im Tool selbst nachgeladen werden, sind umfangreiche technische Kenntnisse erforderlich.
So müssten zunächst alle Cookie-Skripte manuell aus dem Seitencode entfernt werden. Darauf hin müsste das Tool mit den entsprechenden Skripten gepeist werden, damit es diese registriert, einer bestimmten Anwendung zuordnet und sodann erst bei deren Aktivierung über ein Opt-In-Feld nachlädt. Dies setzt aber auch die vollumfängliche Kenntnis aller Cookie-Skripte innerhalb einer Präsenz (d.h. auch auf Unterseiten) voraus.
Wird ein Consent Tool mithin nicht genau auf die jeweilige Web-Präsenz und all ihre Dienste ausgerichtet, kann es das Setzen von Cookies nicht verhindern. Die Funktionalität eines jeden Consent Tools hängt also maßgeblich von der technischen Korrelation und Verzahnung mit der konkreten Präsenz und ihren Codes ab.
Ein derartiges technisches Finetuning wird von den meisten Seitenbetreibern in Eigenregie nicht geleistet werden können. Zu hoch ist das Risiko einer unzureichenden bzw. technisch nicht tragfähigen Verbauung. Im Zweifel würde hierfür also die (kostentechnisch nicht zu verkennende) Beauftragung von speziellen Technik- und/oder Agenturleistungen erforderlich.
IV. Fazit
Ein wirksames Cookie-Einwilligungsmanagement wird nur dann erforderlich, wenn auf einer Internetpräsenz überhaupt auch technisch nicht notwendige Cookies zum Einsatz kommen. Zu begrüßen ist daher, dass es bereits Tracking- und Analyseanwendungen gibt, die auch ohne den Einsatz von Cookies auskommen.
Wer dennoch auf cookie-basierte Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste nicht verzichten und daher ein Consent-Tool implementieren will, sollte aber Zweierlei beachten.
- Einerseits können cookie-basierte Anwendungen beim Abhängen von einer Nutzereinwilligung ihre bestimmungsgemäße Funktion vielmals nicht oder nicht zielführend erfüllen und verfehlen damit nicht selten ihren Verwendungszweck.
- Andererseits setzt die ordnungsgemäße Verbauung von Consent-Tools in eine Webpräsenz umfangreiche technische und informationstechnologische Kenntnisse voraus, weil die Seitencodes mit dem Tool so verzahnt werden müssen, dass alle cookie-basierten Skripte mit dem Tool korrelieren.
Eine einfache „Plug -In &Play“-Lösung vermögen Consent Tools daher nicht zu liefern, sondern machen für informationstechnische Laien im Zweifel die Zusammenarbeit mit versierten Experten erforderlich.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
9 Kommentare
https://www.it-recht-kanzlei.de/google-analytics-cookieless-anleitung-risiken.html.html
Ist eine Nutzung ohne Cookie setzen und Installation auf eigenem Webspace rechtlich zur Zeit möglich?
vielen Dank für Ihren Kommentar.
Empfehlungen und Handlungsanleitungen der DSK sind nie rechtsverbindlich, da ihr als bloßes Gremium der Landesdatenschutzbehörden weder rechtssetzende noch rechtsauslegende Kompetenz zukommt.
Für die Frage nach der Einwilligungspflicht kommt es daher nicht auf Stellungnahmen der DSK, sondern auf Gesetze und deren gerichtliche Auslegung an.
Für Cookies hat nun der EuGH die Einwilligungspflicht bestätigt. Möglicherweise lässt sich das Urteil auf andere Analysen von Nutzerverhalten übertragen, welche durch das Speichern von Informationen auf oder das Auslesen von Informationen von Endgeräten erfolgt (z.B. Pixel-Tracking).
Ein genereller Einwilligungsvorbehalt für jegliches Tracking kann dem geltenden Recht aber nicht entnommen werden.