Einwilligungspflicht oder nicht? Technisch notwendige und technisch nicht notwendige Cookies im Online-Shop

Einwilligungspflicht oder nicht? Technisch notwendige und technisch nicht notwendige Cookies im Online-Shop
02.10.2019 | Lesezeit: 4 min

Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der EuGH alle Cookies, die für den Betrieb einer Website nicht technisch notwendig sind, einer Einwilligungspflicht unterworfen. Derartige Cookies dürfen nunmehr nur noch und erst dann gesetzt werden, wenn der jeweilige Nutzer informiert und aktiv in die Verwendung einwilligt. Doch welche Cookies sind technisch notwendig und kommen ohne Einwilligung aus und welche nicht? Die IT-Recht Kanzlei klärt auf.

Vorab Hinweis:

  • Über das Grundsatz-Urteil des EuGH berichten wir hier.
  • FAQ zu den Anforderungen an ein wirksames Cookie-Einwilligungsmanagement finden Sie hier.
  • Welche Handlungsoptionen Händler im Angesicht der Einwilligungspflicht nun haben, zeigen wir hier auf.
Banner Unlimited Paket

I. Technisch nicht notwendige Cookies

Als technisch nicht notwendige und damit einwilligungspflichtige Cookies gelten all diejenigen, die für den Betrieb einer Website und die Bereitstellung spezifischer Seitenfunktionen nicht zwingend technisch erforderlich sind.

Hierzu zählen grundsätzlich alle Cookies aus Drittanbieteranwendungen, mit denen zu Marketing-, Marktforschungs-, Marktanalyse oder Kooperationszwecken ein bestimmtes Surfverhalten von Seitenbesuchern nachvollzogen werden soll.

Einwilligungspflichtig sind daher:

  • Cookies aus Tracking- und Analysetools
  • Cookies aus Affiliate-Diensten
  • Cookies aus Remarketing-Diensten
  • Cookies aus Retargeting-Diensten
  • Cookies aus Social-Media-Plugins (Facebook, Instagram, Google+, LinkedIn, Pinterest, Twitter)
  • Cookies aus Video-Embedding-Anwendungen (Vimeo, Youtube)
  • Cookies aus skalierbaren zentralen Messverfahren (SZM)
  • Online-Kartendienste wie Google Maps und OpenStreetMaps

Im Datenschutzgenerator der IT-Recht Kanzlei werden Mandanten mittels einer gelben Informationsbox immer dann auf die Einwilligungspflicht hingewiesen, wenn Cookies eines Dienstes nicht technisch notwendig sind.

II. Technisch notwendige Cookies

Als technisch notwendige und nicht einwilligungspflichtige Cookies gelten demgegenüber all solche Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.

Derartige Cookies müssen nicht als Einwilligungsoption in einem Banner bzw. Einstellungsfenster bei Seitenaufruf angezeigt werden. Vielmehr genügt eine reine Erwähnung in der Datenschutzerklärung.

Als technisch notwendige, nicht einwilligungspflichtige Cookies gelten:

  • Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten)
  • Flash-Cookies zur Wiedergabe von Medieninhalten
  • Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
  • Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können

Ausnahme Amazon Pay: der Zahlungsdienst Amazon Pay setzt diverse Cookies mit einer Funktionsdauer von 20 Jahren, bei denen naheliegt, dass die darauf ausgelegt sind, (auch) das Nutzerverhalten zu analysieren. Bezüglich der im Rahmen von Amazon Pay gesetzten Cookies dürfte damit richtigerweise von einer Einwilligungspflicht ausgegangen werden.

Ausnahme Paypal-Express-Checkout-Button: nach derzeitigem Stand werden beim Einbinden des Express-Checkouts von PayPal unabhängig von einer Inanspruchnahme dieser Bestellprozessoption diverse Cookies bereits beim Seitenaufruf gesetzt, die technisch nicht erforderlich sein dürften. Daher ist bei der Verwendung eines "PayPal-Express-Checkout"-Buttons von einer Einwilligungspflicht auszugehen. Wird kein wirksames Cookie-Einwilligungsmanagement implementiert, wird vorerst dazu geraten, Express-Checkout-Buttons von PayPal zu entfernen.

Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Nicht einwilligungspflichtig sind daher auch Cookies aus

  • Live-Chat-Systemen und
  • Messenger-Diensten

Tipp: Kostenloses Cookie-Consent-Tool für Mandanten

Die IT-Recht Kanzlei stellt ihren Mandanten hier im Mandantenportal ein kostenloses Cookie-Consent-Tool zur Einbindung in Shops und auf Webseiten zur Verfügung - dies in Kooperation mit dem Datenschutz-Komplettdienst PRIVE.

Dieses Cookie-Consent-Tool bringt folgende Vorteile mit sich:

  • Bis zu 20.000 Seitenaufrufe pro Monat kostenfrei
  • Vollständig datenschutzkonformes Cookie-Einwilligungsmanagement nach dem aktuellen Stand der Technik
  • Basierend auf der Technologie von Usercentrics, einem Marktführer im Bereich der Consent-Tools
  • Einfache Konfiguration und Integrierbarkeit auch für Laien
  • Plattformunabhängige Nutzbarkeit
  • Unterstützung der deutschen und englischen Sprache (wird noch erweitert)
  • Unterstützung aller gängigen Tacking- und Analysedienste
  • Laufende Pflege und steter Ausbau des Tools
  • Kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

16 Kommentare

O
OhneName 03.10.2023, 09:07 Uhr
Peter hat nicht verstanden
Sg. Herr Dipl. Ing Peter (da Sie das mit dem Titel recht wörtlich genommen haben),
Ihre Aussage, dass technisch notwendige Cookies ein "Eingriff in die Privatsphäre" sind ist grundlegend falsch - welche die Privatsphäre verletzenden Daten würden denn, ihrer Meinung nach, in einem technisch notwendigem Cookie gespeichert werden?

Mit besten Grüßen
Dipl. Ing. OhneName
J
Jens 20.09.2020, 18:43 Uhr
Anti Cheating Cookie
Für ein Umfragetool wird ein Cookie gesetzt, damit falls Kunden versehentlich oder wissentlich das Formular doppelt ausfüllen/absenden dadurch die Umfrageergebnisqualität nicht leidet.


Kann man bei solch einem Cookie von einem technisch notwendigen Cookie sprechen? Ohne diesem Cookie wäre die Vermeidung von doppelten Teilnahmen nicht möglich (zumindest bei 95% der Teilnehmer - wer doppelt Abstimmen möchte, kommt mit gewissem Einsatz trotzdem zum Ziel). Ein Cookie zur Speicherung der Sprache wird in der Auflistung als technisch notwendiger Cookie definiert - kann man hier von einem ähnlichen Szenario ausgehen? Danke.
P
Peter 09.08.2020, 15:14 Uhr
Dipl. Ingenieur
... es sollte grundsätzlich jeder Userin, jedem User überlassen werden, ob sie/er den sogenannten technischen Coockies zustimmt oder nicht, solange ich keinen Account erstellt habe oder einen Warenkorb benutze, also nur recheriere, sollte der Anbieter mich nicht zwingen dürfen seine Coockies auf meiner Maschine zu speichern, das ist ein unerlaubter Eingriff in meine Privatsphäre.
Mit besten Grüßen
Peter
U
Ulf 08.11.2019, 11:49 Uhr
Live-Chats
"Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist."

Woher kann ich denn wissen, ob die Cookies von z.B. Livezilla wirklich nur der Nachrichtenübertragung dienen? Das setzt ja Wissen voraus, das ein Normalsterblicher nicht haben kann.
T
Tanja Richter 19.10.2019, 14:41 Uhr
Deklaration Cookies bei PayPal-Einbindung
Müssen Cookies, die durch die Weiterleitung auf die Website von Paypal bei Einbindung in den eigenen Online-Shop gesetzt werden, auch alle einzeln deklariert werden? Die werden doch auf der Seite von Paypal gesetzt und nicht auf meiner eigenen. Reicht es da, einen Hinweis zu setzen, dass bei dieser Bezahlungsart Paypal jede Menge Cookies setzt und einen Link zur Verfügung zu stellen, der zur entsprechenden Cookie-Richtlinie und den Einstellungsmöglichkeiten bei Paypal führt?

Vielen Dank für Ihre Arbeit und freundliche Grüße
Tanja Richter
J
Jutta Jeppsson 15.10.2019, 17:08 Uhr
GoogleMaps?
Wenn man auf der Webseite also eine Anfahrtsskizze einstellt, die auf GoogleMaps basiert, das Ziel (Büro) auf der Map anzeigt und auf der man die Route von seinem Ausgangspunkt eingeben kann, dann ist auch hier ein Banner o.ä. nötig, damit der User diesem Cookie zustimmt?
S
Sebastian Ulbig 10.10.2019, 13:17 Uhr
Conversion Tracking und Rating
Vielen dank für den guten Beitrag.

Wenn ich es richtig verstehe müssen auch erweiterungen wie Trustedshops, Shopvote und COnversion Tracking vorerst deaktiviert werden?
T
Thomas Bocklenberg 04.10.2019, 14:41 Uhr
Cookie zur Spracheinstellung
Cookies zur Spracheinstellung und Cookies, die das OK zur Annahme von Cookies speichern, sind im Regelfall wohl keine Session Cookies, sondern haben eine längere Gültigkeit. Trotzdem sind sie für die technische Funktionalität der Webseite nötig. Sonst müsste man bei jedem Besuch einer Webseite erneut über alle Cookies dieser Webseite entscheiden. Sehe ich das richtig und genügt bei Cookies zur Spracheinstellung etc. ein OK Button inklusive Kommentar und Verweis auf die Datenschutzerklärung?
I
IT-Recht Kanzlei 03.10.2019, 11:29 Uhr
Die Grundsätze der EuGH-Entscheidung
Vielen Dank für Ihren Kommentar und Ihre Fragen zu den Rückschlüssen aus dem aktuellen Urteil des EuGH.

Der EuGH nimmt in seiner Entscheidung Bezug auf Art.5 Abs.3 der Richtlinie 2002/58/EG in der Fassung der Änderungsrichtlinie 2009/136/EG.

Nach dieser Vorschrift ist für Cookies eine Einwilligung immer dann einzuholen, wenn diese für den Betrieb der Website und die Bereitstellung ihrer Funktionen nicht technisch notwendig sind.

Dass der EuGH diese Vorschrift zur Grundlage seiner Entscheidung macht und mithin die Einwilligungspflicht wie beschrieben aufstellt, wird (neben vielen Direktzitaten) vor allem daraus deutlich, dass er ihre Geltung auch unter der DSGVO bestätigt und ausführt, dass die Erforderlichkeit einer Einwilligung für Cookies gerade nicht davon abhänge, ob im Einzelfall personenbezogene Daten (im Anwendungsbereich der DSGVO) verarbeitet würden oder nicht. Die Einwilligung sei generell für alle (technisch nicht notwendigen) Cookies verpflichtend.

So entzieht der EuGH der Rechtfertigung von cookie-basierten Verarbeitungen über berechtigte Interessen (nach Art. 6 Abs. 1 lit. f DSGVO) implizit die Grundlage, indem er die Einwilligungspflicht für technisch nicht notwendige Cookies nach Art. 5 Abs. 3 der Richtlinie zum der DSGVO vorangehenden Sonderrecht erhebt.
M
Markus 03.10.2019, 10:46 Uhr
Technisch notwendig oder nicht - Google Analytics
Danke für den Beitrag.

Im vorliegenden Fall wird ja ausschliesslich darüber entschieden, dass die Einwilligung, auf welche sich die beklagte Partei gestützt hat, keine rechtmässige Einwilligung ist. Dies vor allem weil das Kästchen pre-selected war und die beklagte Partei dies als Einwilligung deklarierte. ABER, woraus interpretieren Sie nun, dass es deswegen für alle technisch nicht notwendigen Cookies (vor allem Google Analytics) eine Einwilligung benötigt? Das berechtigte Interesse wurde in diesem Urteil gar nicht als potentiell mögliche Rechtsgrundlage behandelt. Dies wohl deswegen nicht, weil es keine gestellte Frage an den EuGH war.

Daher meine Fragen:
- Aus welcher Passage des Urteils C-673/17 lesen Sie, dass die Einwilligung die einzig korrekte Rechtsgrundlage für technisch nicht notwendige Cookies ist?
- In welcher Stelle der Entscheidung lesen Sie die Unterteilung in technisch notwendige und nicht notwendige Cookies heraus?
I
IT-Recht Kanzlei 02.10.2019, 16:39 Uhr
Shopify Analytics
Vielen Dank für Ihren Kommentar.

Auch aus unserer Sicht handelt es sich bei Shopify Analytics-Cookies um technisch nicht notwendige Cookies, für die eine Einwilligungspflicht besteht. Lassen sich diese nicht deaktivieren, besteht hier derzeit beim Anbieten auf Shopify ein datenschutzrechtliches Risiko. Insofern ist Shopify gehalten, die neuen Grundsätze zur Einwilligungspflicht bei Cookies unverzüglich umzusetzen und Deaktivierungsmöglichkeiten für Betreiber oder eine rechtskonforme Einwilligungslösung bereitzustellen.
T
Tina 02.10.2019, 16:32 Uhr
Shopify Analytics
Wie ist das mit Shopify Analytics? Das sind ja wohl technisch nicht notwendige Cookies, aber abschalten kann ich sie nicht, wie es aussieht.
I
IT-Recht Kanzlei 02.10.2019, 16:06 Uhr
Cookies von Zahlungsdiensteanbietern und Hinweise auf die Datenschutzerklärung
Vielen Dank für Ihre Kommentare.

Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, gelten als technisch notwendig, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen.

Kann im Einzelfall nicht nachvollzogen werden, ob Cookies von Zahlungsdiensteanbietern über die technische Notwendigkeit hinaus auch das Nutzerverhalten analysieren, sollte im Zweifel eine Cookie-Einwilligung eingeholt werden.

Was die Bezugnahme auf die Datenschutzerklärung bei der Cookie-Einwilligung angeht, reicht nach derzeitigem Stand ein Generalverweis aus. So kann etwa formuliert werden: "Informationen zur Funktionsweise, zur Funktionsdauer und zu den Verarbeitungsvorgängen der Cookies der einzelnen Anbieter erhalten Sie in unserer Datenschutzerklärung." Hierbei sollte die Datenschutzerklärung verlinkt sein.

Für alle gängigen cookie-basierten Anwendungen nicht technisch notwendiger Art stellt die IT-Recht Kanzlei in ihren Datenschutzerklärungen bereits rechtssichere Klauseln bereit.
K
Kay Wagner 02.10.2019, 12:39 Uhr
AWStats
Hallo,
zählt das Analysetool dazu?

"Eine Script-Einbindung im HTML-Code erfolgt nicht, was sehr gut ist. Der Webseitenbesucher merkt also nicht einmal, dass AWStats im Einsatz ist. Weil die meisten deutschen Provider IP-Adressen in Server Logs anonymisieren, gibt es auch keine Probleme mit dem Datenschutz. " Stimmt diese Aussage.
Vielen Dank Kay Wagner
m
minifink Kindermode 02.10.2019, 12:24 Uhr
Vielmehr genügt eine reine Erwähnung in der Datenschutzerklärung
Hallo,

danke für den Beitrag.

[Zitat]
Vielmehr genügt eine reine Erwähnung in der Datenschutzerklärung.
[Zitat Ende]

Wie machen wir das am Besten?
Habe sie schon die Möglichkeit in der von Ihnen generierten Datenschutzerklärung die einzelnen technisch notwendigen Cookies zu erwähnen?

Bei uns würden/werden, nach aktueller Kenntnis folgende "technische" Cookies geschrieben:
-> PlentyID -> Plentymarkets SessionID
-> _cfduid -> Cloudflare Sicherheitscookie, wird gesetzt, wen User als "sicher" identifiziert wurde. Also kein "Angreifer", bzw. Web-Spammer oder Fraud-Crawler.
-> ca. 25 weiter Cookies, sobald im Checkout die PaypayPlus Wall aufgerufen wird

Wie stellen wir am besten sicher , das nicht sogar PayPal mit seinen bei uns gesetzten Cookies "trackt".

Viele Grüße
F
Fragender User 02.10.2019, 10:54 Uhr
Zahlungsarten in einem Shop
Hallo,
auch Zahlungsarten die in einem Shop angeboten werden setzen Cookies, hierzu gehören unter anderem Amazon und PayPal, obwohl die jeweilige Zahlungsart noch nicht ausgewählt wurde.

Wie verhält sich sich mit diesen Cookies, der Kunde könnte ja argumentieren das er diese Zahlungsarten gar nicht nutzen möchte.

vielen Dank

Weitere News

Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(21.10.2024, 08:53 Uhr)
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
(08.08.2024, 15:30 Uhr)
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
(25.04.2024, 11:51 Uhr)
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
(24.05.2023, 22:35 Uhr)
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
© 2004-2024 · IT-Recht Kanzlei