Eine einfache Frage, die leider eine komplizierte Antwort hat: Es kommt drauf an! Ein Missverständnis bezüglich Cookies führt dazu, dass viele Webseiten die Cookie-Box völlig überflüssig verwenden – oder eben falsch.
Was ist sind Cookies und was sind Cookie-Banner?
Cookies sind kleine Textdateien, die über eine Webseite im Internetbrowser eines Nutzers gespeichert werden können. Cookie-Banner sind Werkzeuge in Form von Einblendungen, die auf Webseiten und in Apps eingesetzt werden, um die Einwilligung von Nutzern zur Datenverarbeitung einzuholen. Mit einem solchen Banner sollen Seiten- und Appnutzer in die Lage versetzt werden, Cookies gezielt annehmen oder ablehnen zu können.
Was sind die Rechtsgrundlagen?
Maßgeblich sind für deutsche Webseitenbetreiber der § 25 TTDSG. Der deutsche Gesetzgeber hat durch § 25 TTDSG mit zehnjähriger Verspätung Art. 5 Abs. 3 ePrivacy-RL in nationales Recht umgesetzt. Trotzdem § 25 TTDSG bei dem Speichern und Auslesen von Endeinrichtungen nun eine klare Einwilligungspflicht fordert, fehlen genaue gesetzliche Vorgaben für eine Gestaltung der Cookie-Banner. Die themeneinschlägige Literatur, Rechtsprechung, sowie die aktuelle Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom 20.12.2021 bieten Orientierung.
Die Regelung des § 25 TTDSG hat nach Art. 95 DSGVO bei einer inhaltlichen Überschneidung der Normen, die sich in ihrer Zielsetzung decken, sowie es sich um eine Datenverarbeitung im Zusammenhang mit Bereitstellung öffentlicher zugänglicher Kommunikationsdienste handelt, Anwendungsvorrang gegenüber der DSGVO. In der Realität ist die Konkurrenzfrage für Anbieter von Telemedien kaum relevant, da in den meisten Fällen nach dem Speichern und Auslesen von Informationen, eine Verarbeitung personenbezogener Daten im Sinne der DSGVO stattfindet.
Benötigt jede Webseite oder App ein Cookie-Banner?
Nein, nur wenn sie Cookies im Gerät (also im Browser oder App des Handys oder des Computers) setzten will. Und auch dann nur, wenn nicht eine der Ausnahmen des § 25 Abs. 2 TTDSG greift. Zu beachteten ist aber, dass die Vorgabe auch dann gilt, wenn gar keine personenbezogenen Daten verarbeitet werden.
Was sind die Ausnahmen?
§ 25 Abs. 2 TTDSG sieht vor dass die Einwilligung für Cookies nicht erforderlich ist,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Eine Einwilligung durch ein Cookie-Banner ist nicht nötigt, wenn Cookies (aus Nutzersicht) für ein Onlineangebot unbedingt erforderlich, also notwendig sind. Unbedingt erforderlich sind zum Beispiel Cookies,
- die sich den Warenkorbinhalt merken,
- die sich den Login-Status merken oder
- die dem Schutz der Daten der Nutzer dienen.
Wann gelten die Ausnahmen nicht?
Dagegen sind Cookies die Komfortfunktionen steuern oder dem Webseitenbetreiber mehr Informationen liefern nicht unbedingt erforderlich. Dazu können Cookies zählen
- die die Stelle merken Stelle bis zu der ein Video geschaut wurde oder ein Artikel gelesen wurde,
- zur Reichweitenmessung (Webanalyse);
- die dazu dienen die Nutzerprofile zu Werbe- und Marketingzwecken zu erstellen (z.B. Facebook-Pixel) oder
- die Conversions messen (z.B. Google Analytics bei Verknüpfung mit Werbekonto).
Fazit
Ein Cookie-Banner bzw. Consent-Manager ist nur dann nicht verpflichtend, wenn die Webseite keine Cookies setzt oder nur unbedingt erforderliche Cookies setzt. Auch das anderweitige Tracken von Nutzern und die Einbindung von Drittanbietern kann ein Consent-Manager notwendig machen. Anzuraten ist die Funktionen der Webseite genau zu untersuchen, zu prüfen inwieweit auf bestimmte Cookies und Dienste verzichtet werden kann und gegebenenfalls Cookie-Banner, Datenschutzerklärung und Verarbeitungsbverzeichnis anzupassen und/oder zur aktualisieren.