Webshoprecht.de



Cookies und Datenschutz

Cookies und Datenschutz




Gliederung:


-   Einleitung
-   Allgemeines
-   EuGH-Rechtsprechung



Einleitung:


Cookies sind mehr oder weniger kleine Textdateien, die von Webseitenanbietern auf dem PC oder sonstigen Hardware-Gerät des Browserbenutzers gespeichert werden. Es werden die nur für eine Browsersitzung bestimmten und danach sofort wieder gelöschten Sessioncookies von längerfristig gespeicherten Langzeitcookies mit völlig verschiedener Verweildauer unterschieden.

Eine weitere Erscheinungsform sind die sog. Tracking-Cookies, mit deren Hilfe beispielsweise Tracking- und Analysetools arbeiten, um Daten über Besucher und deren Herkunft von Webangeboten zu erlangen und auszuwerten. Die Cookies dienen dabei auch dazu, eine Wiedererkennung der einzelnen Besucher einer Webseite und auch eine entsprechende Nutzer-Profilbildung zu ermöglichen. Je nachdem, inwieweit dabei auch personenbezogene Daten erhoben werden, ergibt sich eine datenschutzrechtliche Relevanz der Cookiespeicherung, was wiederum im Hinblick auf die Art und Ausgestaltung der zu erteilenden Vorabzustimmung von erheblichem Einfluss ist.

Über die verschiedenen Browsereinstellungen lassen sich das Setzen von Cookies bzw. die näheren Umstände der Zulassung von Cookies auf dem eigenen Rechner regeln. Dies ist von Browser zu Browser etwas verschieden. Es ist auch möglich, von Zeit zu Zeit oder anlässlich des Öffnens oder Schließen des Browsers sämtliche Cookies in einem Zug zu löschen, so dass sich auf diesem Weg auch die Speicherung von Langzeitcookies steuern lässt.




Nach der sog. Cookie-Richtlinie der EU vom November 2009 (Richtlinie 2009/136/EG - gelegenlich auch als ePrivacy-Richtlinie bezeichnet) soll das Setzen von Cookies von einer Einwilligung des Browserbenutzers abhängig sein. Die Frist zur Umsetzung der Richtlinie in innerstaatliche gesetzliche Regelungen der einzelnen Mitgliedstaaten lief am 25.05.2011 an, ohne dass der deutsche Gesetzgeber tätig geworden wäre. Unter bestimmten Umständen kann sich nun zivilrechtlich infolge des Fristablaufs in bestimmten Grenzen jedermann auf die direkte Geltung der Cookie-Richtlinie berufen, jedenfalls soweit deren einzelne Regelungen inhaltlich so genau und konkret gefasst sind, dass sie für unmittelbare Anwendung überhaupt geeignet sind.

Im Erwägungsgrund 66 sagt die Cookie-Richtlinie folgendes:

   Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Ferner bestimmt die Richtlinie:

   5. Artikel 5 Absatz 3 [der Richtlinie 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation)] erhält folgende Fassung:

   "(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."

Da die Richtlinie die näheren Umstände der Einholung der Einwilligung der User nicht regelt, dürfte eine unmittelbare Auswirkung für die Cookiepraxis von Onlineshops derzeit nicht in Betracht kommen.

Der deutsche Gesetzgeber zögert derzeit noch mit der Umsetzungsgesetzgebung, weil er offenbar noch auf Selbstregulierungs-Vorschläge der Internetwirtschaft wartet und hierüber unterhandelt. Der derzeit vorliegende Entwurf des Bundesrates sieht folgendes vor:

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können. Der in Bezug genommene Absatz 1 schreibt vor, dass die Unterrichtung des Nutzers zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form, leicht erkennbar und unmittelbar erreichbar erfolgen muss.

Es stellt sich in diesem Zusammenhang die Frage, ob das Vorhandensein eines jederzeit verfügbaren Links auf die Datenschutzerklärung mit den entsprechenden Informationen genügt oder ob eine besondere in einem Logfile protokollierte Einwilligungserklärung nötig ist. Teilweise wurde auch die Ansicht vertreten, dass jedes Internetangebot, das Cookies verwendet, die Startseite erst nach einem Popup-Fenster mit der Einwilligungserklärung des Users zugänglich machen darf, wobei technisch unklar ist, wie bei Deeplinks aus Suchergebnislisten verfahren werden soll, wenn sich noch kein Cookie auf dem Rechner des Users befindet.

Wie im übrigen praktisch eine Vorschaltung der Zustimmung auf einer Webseite durch ein statisches Banner aussehen kann, zeigt die Startseite der Homepage der britischen Datenschutzbehörde:



Und hier die französische Lösung auf der Hompage der frz. Datenschutzbehörde CNIL:




Es scheint sich also die Lösung eines vorgeschalteten statischen Banners durchzusetzen.

Unabhängig von der deutschen Gesetzeslage hat allerdings Google für die Verwendung seiner diversen Dienste vorgeschrieben, dass der Diensteverwender von den Usern seiner Webseiten die Einwilligung in die Speicherung von Cookies auf dem Rechner des Users einholen muss und hierfür eine Frist bis 31.10.2015 gesetzt.

- nach oben -



Allgemeines:


Stichwörter zum Thema Datenschutz

Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (Cookie-Richtlinie)

Richtlijn 2009/136/EG van het Europees parlement en de raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (Cookie-Richtlinie niederländisch)

BGH v. 16.07.2008:
Nach § 4a Abs. 1 BDSG ist es zur Wirksamkeit der Einwilligung nicht erforderlich, dass der Betroffene sie gesondert erklärt, indem er eine zusätzliche Unterschrift leistet oder ein dafür vorgesehenes Kästchen zur positiven Abgabe der Einwilligungserklärung ankreuzt („Opt-in“-Erklärung).

OLG Frankfurt am Main v. 17.12.2015:
Die erforderliche Einwilligung in die Cookie-Nutzung kann auch durch eine vorformulierte Erklärung, der der Nutzer durch Entfernen eines voreingestellten Häkchens widersprechen kann ("opt-out"), erteilt werden. Der Wirksamkeit der Einwilligung steht es nicht entgegen, wenn sämtliche erforderliche Informationen über Cookies nicht bereits in der Erklärung selbst, sondern in einem verlinkten Text gegeben werden. Zu den insoweit zu fordernden Informationen gehört nicht die Identität der Dritten, die auf Grund der Einwilligung auf Cookies zugreifen können.

BGH v. 05.10.2017:

   Das Verfahren wird ausgesetzt und dem Gerichtshof der Europäischen Union werden zur Auslegung der Richtlinie 2002/58/EG (Datenschutz für elektronische Kommunikation) und der Verordnung 2016/679/EU (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

  1.  a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?

  2.  Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

- nach oben -



EuGH-Rechtsprechung:


EuGH v. 01.10.2019:

  1.  Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

  2.  Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.

  3.  Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.

- nach oben -






Datenschutz    Impressum