Cookie-Einstellungen

Der Europäische Gerichtshof (EuGH) hat geurteilt, dass Cookie-Einstellungen nur das notwendige Nutzerverhalten als Voreinstellung gebrauchen dürfen. Alles darüber hinaus Gehende muss auf einer nutzerfreundlich eingestellten Opt-In-Einstellung basieren; also eine datenschutzrechtliche Einwilligung. Art. 4 Nr. 11 und Art. 7 DSGVO fordern eine selbstbestimmte und informierte Einwilligung der betroffenen Personen in die jeweilige Datenverarbeitung. Dies bedeutet Transparenz, also eine leichte Erkennbarkeit, dass man als Nutzer nicht einwilligen muss, um z.B. eine besuchte Website zu nutzen. Die DSGVO verbietet zudem die Koppelung von rechtmäßig erhobenen Daten mit anderen Zwecken, also z.B. zum Zwecke der Werbung. Zudem gilt das Gebot der Datensparsamkeit: nur unbedingt notwendige Daten dürfen erhoben werden. Damit ist der Kurs klar:

Notwendige Cookies, ohne die eine Website nicht benutzt werden, benötigen keiner Einwilligung, aber natürlich entsprechender Hinweise an die Seitenbesucher, damit sie die Seite verlassen können, falls sie auch nicht von solchen Cookies erfasst werden wollen.

Der deutsche Gesetzgeber hat diese Vorgaben der DSGVO im Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien, Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz: TTDSG, kodifiziert. § 25 TTDSG regelt nun (mit Wirkung ab dem 1.12.2021) die Cookie-Vorgaben wie folgt:

„(1) ¹Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. ²Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1.

wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2.

wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Durch die neutrale Formulierung des Gesetzes gelten diese Regeln nicht nur für Cookies, sondern auch für vergleichbare Techniken, wie z.B. Browser-Fingerprinting.

Erfasst werden alle internetfähigen Geräte bis hin zum Kühlschrank (Internet of things, IoT).