Einwilligungspflichtig oder nicht – Wann ist ein Cookie technisch notwendig?

Geschrieben von Anna Tiede, veröffentlicht am 06.05.2021

Seit dem EuGH-Urteil vom 01. Oktober 2019 (CURIA – Dokumente (europa.eu)) und BGH-Urteil vom 28. Mai 2020 (Bundesgerichtshof) dürfen Cookies, die nicht für den Betrieb der Webseite zwingend notwendig sind, nur noch mit einer Einwilligung verwendet werden. Immer noch ist es vielen Webseitenbetreibern aber nicht ganz klar, welche Cookies nun zwingend erforderlich sind und welche einer Einwilligung bedürfen. Wir klären auf. 

Technisch notwendige Cookies

Die Datenverarbeitung durch Cookies ist nicht per se einwilligungsbedürftig. Denn als zwingend erforderliche Cookies gelten all solche, die die Grundfunktionen der Webseite sichern und so deren Betrieb ermöglichen. Es geht hier aber ausschließlich um die technische Notwendigkeit, nicht um wirtschaftliche Aspekte. Diese Cookies sind nicht einwilligungspflichtig.

Zu den technisch zwingend erforderlichen Cookies zählen etwa: 

  • Session Cookies, die Warenkorbinhalte, Loginstatus oder Spracheinstellungen speichern 
  • Opt-Out-Cookies
  • reine Zähl-Cookies, die eine Überlastung von Webseiten verhindern

Einwilligungsbedürftige Cookies 

Einwilligungsbedürftige und somit nicht technisch notwendige Cookies sind Cookies, die ein bestimmtes Nutzungsverhalten der Webseitenbesucher zu Marktforschungs- oder Analysezwecken auswerten sollen. Hierzu gehören u.a.: 

  • Cookies von Analyse- und Trackingdiensten, wie Google Analytics oder Hotjar
  • Cookies von Werbe- und Marktingdiensten, wie Google Remarketing oder Bing Ads
  • Cookies von Affiliate-Diensten
  • Social Media Plugins, wie Facebook, Instagram, Twitter
  • Videotool-Anbieter, wie Vimeo Video oder YouTube Video
  • Online-Kartendienste, wie Google Maps
  • und ähnliche Technologien, wie z.B. Verfahren zur Verfolgung der Webseitenbesucher durch Zählpixel oder Fingerprinting-Methoden, wenn deren Datenverarbeitung nicht aufgrund einer anderen Rechtsgrundlage zulässig sind. 

Das richtige Cookiebanner 

Um eine Einwilligung für letztgenannte Dienste einzuholen zu können, empfiehlt es sich, ein passendes Cookiebanner auf Ihrer Webseite einzusetzen. So kann beim ersten Aufruf Ihrer Webseite oder App eine wirksame Einwilligung für einwilligungsbedürftige Dienste abgefragt werden. Hierbei ist Folgendes zu beachten: 

  • Beim Öffnen der Webseite erscheint das Cookiebanner. Dieses sollte über das Setzen von Cookies auf der Webseite informieren.
  • Der Webseitenbesucher muss darüber informiert werden, dass zwischen einwilligungsbedürftigen Cookies und solchen, die für den Betrieb der Webseite essentiell sind, unterschieden wird. 
  • Die einwilligungsbedürftigen Cookies können unter Nennung der einzelnen Dienste und deren Funktionen oder als gegliederte Kategorien (z.B. „Marketingdienste“ und „Analysedienste“) über ein Auswahlmenü durch den Webseitenbesucher aktiviert werden.
  • Aktivieren“ bedeutet in diesem Zusammenhang, dass die Zustimmung zu den einwilligungsbedürftigen Diensten nicht voreingestellt sein darf. Die Webseite muss so eingestellt sein, dass die Dienste, die eine Einwilligung bedürfen erst dann mit der Datenverarbeitung beginnen, wenn der Webseitenbesucher der Datenverarbeitung aktiv zugestimmt hat.  
  • Für eine wirksame Einwilligung genügt es zudem nicht, wenn das Cookiebanner lediglich über die Datenverarbeitung durch Cookies informiert und eine Auswahl überhaupt nicht zulässt. Solche Cookiebanner bieten dem Webseitenbesucher in der Regel nur die Möglichkeit an, über einen „OK“-Button den Einsatz aller Cookies zu bestätigen. Bei einem solchen Vorgehen fehlt es aber an der Freiwilligkeit der Einwilligung gemäß Art. 7 DSGVO. Die Einwilligung ist damit unwirksam.  
  • Damit der Webseitenbesucher sich auch bei der Entscheidung umfassend über die möglichen Datenverarbeitungsvorgänge auf der Webseite informieren kann, muss die Datenschutzerklärung über das Cookiebanner erreichbar sein. 
  • Der Zugriff auf die Datenschutzerklärung und das Impressum darf durch das Cookiebanner nicht verhindert, bzw. der Text nicht verdeckt werden.  
  • Erst wenn der Webseitenbesucher durch eine aktive Handlung, also beispielsweise das Setzen eines Häkchens im Cookiebanner, seine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) in Verbindung mit Art. 7 DSGVO in die Datenverarbeitung durch einwilligungsbedürftige Dienste erteilt hat, dürfen die zugehörigen Cookies tatsächlich Daten erheben. 
  • Sofern der Webseitennutzer eine Entscheidung im Cookiebanner getroffen hat, muss dieser bei zukünftigen Webseitenbesuchen nicht erneut erscheinen. Das getroffene Ergebnis kann auf dem Endgerät des Webseitennutzers als Cookie gespeichert werden. Um Ihren Nachweispflichten aus Art. 7 Abs. 1 DSGVO nachkommen zu können, ist eine indirekte Identifizierung des Webseitennutzers ausreichend (vgl. Erwägungsgrund 26). Es ist gemäß Art. 11 Abs. 1 DSGVO nicht notwendig, den Nutzer direkt identifizieren zu können.  
  • Da die einmal erteilte Einwilligung aber widerruflich ist, muss der Webseitenbesucher auch eine Möglichkeit haben, diesen Widerruf zu erklären. Die Erklärung des Widerrufs muss dabei gemäß Art. 7 Abs. 3 S. 4 DSGVO so einfach möglich sein, wie die Erteilung der Einwilligung selbst. Dies lässt sich durch einen leicht auffindbaren Link zum Aufruf des Cookiebanners umsetzen.

Fazit

Nicht alle Cookies sind einwilligungsbedürftig. Wenn Sie aber Cookies zu Zwecken des Marketings oder Analyse des Nutzerverhaltens einsetzen, ist eine wirksame Einwilligung über einen Cookiebanner zwingend erforderlich.  

Gerne unterstützen wir Sie bei Einordnung der genutzten Dienste und beim Konzipieren eines rechtskonformen Cookiebanners. Zusammen besprechen wir die konkrete Umsetzung auf Ihrer Webseite und helfen Ihnen Ihren Webseitenbesuchern alle nötigen Informationen zur Verfügung zu stellen. Wir freuen uns auf Ihre Kontaktaufnahme.