Rechtliche Lage von Cookies: Bußgelder in Deutschland bislang nicht üblich

Die Verwendung von Cookies ist für die Mehrzahl der Webseitenbetreiber selbstverständlich. Sie liefern nicht nur den Seitenbetreibern wichtige Informationen, sondern sollen auch das Nutzererlebnis verbessern. Durch Cookies können Webseiten Zugangsdaten von Usern speichern oder ihnen bei einem erneuten Besuch Kaufempfehlungen unterbreiten.

Dabei gilt bei der Verwendung folgender Grundsatz: Der Einsatz von Cookies, die technisch nicht zwingend notwendig sind, ist nur dann erlaubt, wenn der Nutzer darüber informiert wurde und dem auch ausdrücklich zugestimmt hat. Diese Regelung wurde vom Europäischen Gerichtshof noch einmal untermauert.

Rechtliche Lage von Cookies: Nutzer müssen umfassend über Anbieter, Funktionsweise und Art informiert werden

In der Europäischen Union gibt es mit der Cookie-Richtlinie eine rechtliche Grundlage für den Umgang mit Cookies auf Webseiten. Eine solche Richtlinie entspricht allerdings keinem starren Gesetz, sondern gibt den Rahmen für die EU-Länder zur Umsetzung vor. Das heißt: Jedes EU-Land ist für die Umsetzung dieser Richtlinie selbst zuständig, sodass es zu Abweichungen zwischen dem Vorgehen in Deutschland, Spanien und Frankreich kommen kann.

Als die EU die Cookie-Richtlinie auf den Weg gebracht hat, untermauerte die Bundesregierung, dass eine neue Umsetzung dieser hierzulande nicht erforderlich ist. Demnach würden die bereits in Deutschland geltenden Regeln die Anforderungen der EU bereits umsetzen. Der BGH unterstrich in Deutschland in mehreren Urteilen, dass der Einsatz von Cookies auf deutschen Webseiten ein Opt-In oder eine andere Form der Einwilligung erforderlich macht.

Cookies und der Datenschutz: Unterschiede bei den Cookie-Arten

Cookies sind so aufgebaut, dass durch sie in den meisten Fällen individuelle, personenbezogene Daten verarbeitet werden. Aufgrund dessen unterliegt ihr Einsatz generell auch den Regelungen der in Deutschland geltenden DSGVO. Die DSGVO sieht genaue Vorgaben für die Cookie-Verwendung vor, an denen sich Webseitenbetreiber orientieren müssen.

Hier gilt generell Folgendes:

• Cookies, die technisch notwendig sind, machen eine Einwilligung von Seiten der Nutzer nicht erforderlich. Sie dürfen von den Webseitenbetreibern ausnahmslos gesetzt werden. Ein Beispiel hierfür ist der beim Online Shopping anzutreffende Warenkorb-Cookie.
• Sowohl funktionelle als auch Performance-Cookies machen unter Umständen eine Einwilligung erforderlich. Dies gilt insbesondere wenn es sich um Drittanbieter-Cookies handelt. Die User müssen dem Einsatz dieser Cookies während ihres Besuchs der Website zustimmen.
• Auch für sogenannte Analyse- und Tracking-Cookies ist die Einwilligung durch den Nutzer zwingend erforderlich. Gleiches gilt für Werbe-Cookies.

Mit Einführung der DSGVO im Jahr 2018 war es übrigens dringend erforderlich, dass Unternehmen und Webseitenbetreiber die Datenschutzerklärung umformulieren mussten. Seitdem muss hier ausdrücklich vermerkt sein, dass durch die Webseite Cookies verwendet werden.

Bislang sind die rechtlichen Vorgaben für den Einsatz von Cookies aber schwammig. Die bislang vorhandenen Unklarheiten sollten durch die neue ePrivacy-Verordnung geregelt werden. Mit der ePrivacy-Verordnung 2021 sind folgende Regelungen für die Cookie-Verwendung in Kraft getreten:

• Es muss beim Einsatz von Cookies eine ausdrückliche Zustimmung durch den Nutzer vorliegen. Erst dann dürfen Cookies, aber auch andere Tracker ähnlicher Art eingesetzt werden.
• Generell ist ein Cookie-Verzicht möglich, wenn dem Nutzer stattdessen eine technische Alternative geboten wird.
• User müssen Cookies zudem durch eine Browsereinstellung auf eine sogenannte Whitelist schieben können.
• Nutzer müssen die Gelegenheit bekommen, dass sie ihre Zustimmung zur Cookie-Verwendung immer widerrufen können.

Welche Verstöße kommen häufig vor?

Aufgrund der teils schwammigen Vorgaben sind Verstöße gegen die Cookie-Richtlinie alles andere als selten. Sie reichen von unzureichenden Inhalten über fehlerhafte Cookie-Banner bis hin zur falschen Platzierung der Banner. Auch beim Umfang der bereitgestellten Informationen unterlaufen vielen Webseitenbetreibern generell Fehler. Demnach müssen sie Nutzer eigenständig auch über die Speicherdauer sowie die Funktionsweise informieren.

Es gibt aber auch potenzielle Fehlerquellen, bei denen unklar ist, wie diese interpretiert werden können. So gehen die Meinungen, ob Einwilligungen vorangehakt sein dürfen, weit auseinander.

Diese Bußgelder drohen bei Verstößen

Verstöße gegen die DSGVO infolge eines fehlerhaften Cookie-Banners können für Unternehmen und Webseitenbetreiber außerordentlich teuer werden. Es gibt allerdings keine festgeschriebene Bußgeldhöhe. Entscheidend ist vielmehr immer, wie hoch der Umsatz des Unternehmens ist, das gegen die geltenden Regelungen verstoßen hat. Hier wird bei der Berechnung des Bußgeldes aber zwischen kleinen, mittelständigen und großen Unternehmen unterschieden. So werden die Bußgelder anteilig in unterschiedlichen Höhen berechnet. Diese Vorgehensweise birgt für Unternehmen ein erhebliches Risiko, da das genaue Bußgeld vorher nicht abgeschätzt werden kann.