Der Hinweis auf die Cookie Richtlinie ist auf vielen verschiedenen Webseiten wie Blogs, Foren oder Online-Shops zu finden. Häufig ist der Text in einem auffällig farbig untermalten Textfeld oben im Logobereich oder unten im Footerbereich untergebracht. Der Text weist den Besucher mehr oder weniger detailliert darauf hin, dass die Webseite Cookies verwendet und dass der Besucher durch das Klicken auf „OK“ – das einen Opt-in darstellt – der Verwendung von Cookies zustimmt. Alternativ kann sich der Besucher auch, sofern vorhanden, die Datenschutzerklärung durchlesen.
Ist solch ein Cookie Hinweis auch in Deutschland Pflicht?.

Dieser Artikel erörtert,

  • was Cookies sind,
  • welche Typen von Cookies Verwendung finden,
  • welche Cookies in Googles Webdiensten verwendet werden und
  • was Google überhaupt mit der ganzen Geschichte zu tun hat,
  • die Erklärung der Begriffe Opt-in und Opt-out und
  • was der Gesetzgeber im Telemediengesetz zu den auf der eigenen Webseite verwendeten Cookies vorschreibt.
  • Ein Fazit greift die verschiedenen Aussagen der zur Cookie Richtlinie getroffenen Aussagen noch einmal auf und bringt sie in einen abschließenden Zusammenhang.

Was sind Cookies und welche Formen von Cookies gibt es?

Laut Wikipedia „dienen Cookies dazu, mit einer Website bzw. Domain verbundene Informationen für einige Zeit lokal auf dem Computer zu speichern und dem Server auf Anfrage wieder zu übermitteln“ (Wikipedia, Cookie, 05.05.2017). Der verlinkte Artikel geht auch auf den Ursprung des Namens ein.

Diese lokal im Webbrowser abgespeicherten Cookies dienen einerseits technisch notwendigen Zwecken und andererseits eben technisch nicht notwendigen Zwecken.Internetwarriors.de sagen, dass „Cookies […] laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen.“

Die Funktionalität solcher Cookies bezieht sich auf die Verwaltung der vom Benutzer ausgewählten Sprache, der lokalen Speicherung des Warenkorbs auf dem Gerät des Benutzers oder z.B. das automatische Anmelden / „angemeldet bleiben“ bei erneutem Aufrufen einer HTTP Webseite, auf die man sich zuvor registriert und eingeloggt hat.

Dem gegenüber stehen solche Cookies, die eben nicht technisch notwendig sind und für andere Zwecke verwendet werden können. Diese schauen wir uns anhand der von Google verwendeten Cookies mal etwas genauer an.

Opt-in als Einwilligung

Die Cookie Richtlinie sieht durch die „OK“ Schaltfläche eine Einwilligung des Benutzers vor (Opt-in).
Opt-in sind aus dem Newsletter Bereich bekannt. E-Mails dürfen einem Benutzers nicht ohne vorherige Einwilligung (Opt-in) zugesendet werden. Um sicherzustellen, dass der Opt-in nicht von einer dritten Person erteilt wurde, ist bei E-Mail Marketing sogar ein Double Opt-in von Nöten, bei dem der Benutzer seine Mailadresse über einen Klick auf einen Link authentifizieren muss.

Opt-out als Ablehnung

Der Opt-out gibt dem Benutzer die Möglichkeit, einen Dienst abzulehnen / die Nutzung zu widerrufen. Das kann die Ablehnung der Verwendung von nicht technisch notwendigen Cookies sein. Opt-out sind auch in anderen Bereichen anzutreffen wie z.B. bei E-Mail Newslettern. Durch Klicken auf einen im Footerbereich platzierten Link „Abbestellen“ begeht der Benutzer einen Opt-out, also einen Widerspruch zur weiteren Newsletter Zusendung per Mail.

Googles Richtlinie zur Zustimmung durch den Benutzer für die Verwendung von Cookies

Die Absicht von Googles Richtlinie zur Zustimmung durch den Benutzer ist, den Benutzer auf alle gewonnenen Daten hinzuweisen und dafür eine Einwilligung zu der Vorgehensweise zu erhalten.

Welche Cookies verwendet Google für seine Webdienste?

Die von Google verwendeten Cookies sind zur Identifikation des Benutzer gedacht und dienen dem Nutzer und auch Google. Die von Google verwendeten Cookies dienen den Nutzern von Google Produkten bei der Einstellung für die Webseitendarstellung, dem Sitzungsstatus, der Sicherheit, den Analysen, den Prozessen und der Werbung.

Google speichert Cookies für regionale Einstellungen, z.B. für das Abrufen von Wetterberichten, der Spracheneinstellung und die Festlegung Opt-out einer bestimmter Schriftgröße auf unterschiedlichen Endgeräten.

Google verwendet auch Cookies für den Bereich Sicherheit, um Nutzer zu „authentifizieren, eine betrügerische Verwendung von Anmeldeinformationen zu verhindern und Nutzerdaten vor dem Zugriff durch Unbefugte zu schützen„. Als Beispiel nennt Google den Versuch, Informationen aus Formularen zu stehlen, die Benutzer auf Webseiten ausgefüllt haben.
Das Cookie Sitzungsstatus übernimmt die Aufgabe, die Interaktion zwischen einem Benutzer und einer Webseite zu analysieren, also z.B. „welche Seiten Nutzer am häufigsten besuchen und ob sie von bestimmten Seiten Fehlermeldungen erhalten“. Auch ohne dieses Cookie kann die Webseite korrekt angezeigt werden. Es handelt sich also um ein technisch nicht notwendiges Cookie.

Das Cookie für Google Analytics erlaubt dem Webseitenbetreiber die Erstellung einer Nutzungsstatistik. Google gibt aber zu, dass „zusammen mit einigen der oben beschriebenen Werbecookies dazu beitragen, dass in Google-Produkten wie etwa der Google-Suche sowie im gesamten Web relevantere Werbeanzeigen eingeblendet werden“. Um dem zu entsprechen müssten bei Analytics allerdings erweiterte Funktion wie z.B. das Retargeting eingerichtet worden sein.

Das Cookies Prozesse ist ein technisch notwendiges Cookie. Google verwendet es für korrekte Funktionalität z.B. von Google Docs.
Ebenfalls verwendet Google Cookies für den Werbung. Google macht dazu (in gekürzter Form) folgende Aussagen:

Für gewöhnlich werden Cookies verwendet, um […] die Berichterstellung zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. […] Mithilfe solcher Cookies erfassen wir zum Beispiel Ihre neuesten Suchanfragen […] Auf diese Weise können wir Ihnen individuell zugeschnittene Werbung auf Google anzeigen.

Unser wichtigstes Cookie für Anzeigenvorgaben für Websites, die nicht zu Google gehören, heißt „id“ oder „IDE“. Es wird in Browsern unter der Domain doubleclick.net gespeichert. […] Andere Google-Produkte wie YouTube nutzen diese Cookies möglicherweise ebenfalls zur Auswahl relevanterer Werbung. Manchmal wird ein Cookie für Anzeigenvorgaben für die Domain der besuchten Website gesetzt. Bei unserem Produkt DoubleClick wird möglicherweise ein Cookie namens „__gads“ für die Domain der besuchten Website gesetzt. […] Google verwendet außerdem Conversion-Cookies, die hauptsächlich Werbetreibenden helfen sollen zu erkennen, wie viele der Nutzer, die auf ihre Werbeanzeigen klicken, […] Conversion-Cookies werden von Google nicht für das Targeting bei personalisierter Werbung genutzt und nur für einen bestimmten Zeitraum gespeichert. Dazu wird ein Cookie namens „Conversion“ genutzt […] Wir verwenden ferner Cookies namens „AID“ und „TAID“, um Ihre Aktivitäten auf verschiedenen Geräten zu verknüpfen, wenn Sie sich zuvor auf einem anderen Gerät in Ihrem Google-Konto angemeldet haben. Dies dient der Koordination der Werbeanzeigen, die auf verschiedenen Geräten für Sie eingeblendet werden, sowie der Messung von Conversion-Ereignissen.

Auf welche Cookies hingewiesen werden muss

[…] Website-Betreiber […] benötigen laut „hosting.1und1.de“ […] eine Zustimmung des Benutzers. Das betrifft alle Cookies, […] vor allem Werbe-Cookies, die für das Retargeting genutzt werden […]. Ein solcher Werbedienst ist Google Adsense, bei dessen Einsatz Produkte und Dienste anderer Webseiten beworben werden. Dies stellt einen klassischen Fall von individualisierter Werbung durch Setzen von Cookies dar.
Beim Analysedienst Google Analytics sieht das schon wieder etwas anders aus. Der Dienst nutzt den Cookie um das Nutzerverhalten auch wiederkehrender Benutzer auf der eigenen Webseite darzustellen. Die Benutzer lassen sich bei Google Analytics anonymisieren.
Die Daten können in diesem Falle nicht für das Werbe Marketing verwendet werden, weil die gewonnen Daten des Benutzers anonymisiert werden.

Die Umsetzung der Google Cookie Richtlinie für die EU in Deutschland laut Telemediengesetz

Wie lassen sich diese Aussagen jetzt mit dem Telemediengesetz (TMG) vereinbaren?

Das Telemediengesetz nennt mitunter die drei folgenden wichtigen Punkte.

Das Telemediengesetz und die Benachrichtigung des Benutzers über Datenspeicherung

dass „Nutzer […] über die Datenspeicherung verständlich und umfassend informiert werden“. Diese Anforderung kann durch einen entsprechenden Hinweis in der Datenschutzerklärung einfach erfüllt werden.

So regelt das Telemediengesetz Nutzungsdaten zu Marktforschungszwecken

Das Telemediengesetz schreibt in §15 Abs.5 vor, dass „zum Zwecke der Marktforschung anderer Diensteanbieter […] anonymisierte Nutzungsdaten übermittelt werden [dürfen]“.
Zum Zwecke der Analyse können gewonnenen Daten können bei einer entsprechenden Umsetzung problemlos anonymisiert übertragen werden. Eine Anleitung dafür finden Sie unter Google Analytics datenschutzkonform mit Anonymisierung verwenden.

Das Telemediengesetz und die Möglichkeit, der Datenspeicherung widersprechen zu können

Im Telemediengesetz ist festgelegt, dass die Benutzer der Datenspeicherung widersprechen können. Solch ein Widerspruch wird als Opt-out bezeichnet. In der Vergangenheit genügte für Google Analytics ein Opt-out als Link in der Datenschutzerklärung. Es gibt Umsetzungen um den Opt-out über der Datenschutzerklärung zu ermöglichen. Dafür muss der eingebettete Code ein wenig modifiziert werden.

Zur Zeit sind viele Implementierungen des Cookie Hinweises lediglich ein Textfeld mit Informationsgehalt über die Verwendung von Cookies. Der Besucher muss einwilligen, wenn er die Seite benutzen möchte, oder soll die Seite ansonsten verlassen. Die Cookies werden bei vielen Webseiten aber auch ohne das Opt-in gesetzt. Die Opt-in Einwilligung sollte auch technisch umgesetzt werden, also damit z.B. das Tracking mit Google Analytics erst nach der Einwilligung (Opt-in) beginnt. Solche sehr genau nach Dateschnutzbestimmungen umgesetzten Webseiten sind von Benutzern auch schon kritisiert worden. Zu meckern gibt es immer was! Denn meckern geht einfach.

Internetwarriors.de sagen, dass „dieser Hinweis […] zwar empfehlenswert [sei], aber aktuell keine Pflicht“ und verweisen auf eine weitere Einschätzung von e-recht24.de.

Webseitenbesucher so benutzerfreundlich wie möglich über den Einsatz und Ablehnungsmöglichkeiten von Cookies aufgeklärt werden sollten. Was das konkret heißen könnte, erläuterten die EU-Datenschutzbeauftragten der „Artikel 29″-Gruppe“ Ende 2011 (Quelle: Heise Verlag; Google-verpflichtet-Adsense-Nutzer-auf-Cookie-Hinweis; 08.05.2017). Demnach soll es nicht permanent nötig sein, das Einverständnis der User einzuholen.

Der Heise Verlag ergänzt dies durch die Aussage, dass Browser-Voreinstellungen oder „Do not Track“-Verfahren […] eine Lösung darstellen [könnten]„.

Implizite und explizite Einwilligung zur Verwendung von Cookies

Bisher war davon auszugehen, dass erst nach einer expliziten Einwilligung Cookies eingesetzt werden durften. Wie Heise berichtet, so haben die europäischen Datenschutzbeauftragten, die mit der Artikel-29 Gruppe für die Erstellung der Regeln zum Einholen einer Einwilligung bei der Verwendung von Cookies dahingehend aufgeweicht, so dass nur noch eine implizite Einwilligung gefordert wird.
Als Begründung wird genannt, dass „mittlerweile […] das nötige Bewusstsein dafür entstanden [sei], ­nicht zuletzt aufgrund der auf vielen britischen Webangeboten unvermeidlichen Banner und Popups zum Einsatz der Dateien“ (Heise; Britische Datenschutzbehörde weicht Cookie-Regeln auf; 08.08.2017). Zuvor hatte die britische Datenschutzbehörde auf eine stärkere Beachtung der neuen EU-Bestimmungen gedrängt.

Die Seite des britischen Kontrolleurs selbst blendet mittlerweile beim ersten Besuch am unteren Rand nur noch einen Hinweis ein, dass Cookies verwendet werden. Darüber hinaus werden Besucher auf die Datenschutzerklärung der Behörde sowie auf Informationen zum Steuern und Verwalten der Browserdateien verwiesen. Der Nutzer kann diese Informationen wegklicken oder einfach ignorieren. ­Sie tauchen bei einem weiteren Besuch ohne Löschen des Cookies nicht mehr auf. Bislang mussten User des Angebots sich aktiv mit dem Setzen der Datei einverstanden erklären und eine ins Auge stechende entsprechende Erklärung anklicken.

(Heise; Britische Datenschutzbehörde weicht Cookie-Regeln auf; 08.08.2017)

Weitere Lesetipps: