Was sind Cookies?

Cookies sind kurze Textdateien, die von einer besuchten Website an den Webbrowser des Nutzers gesendet und auf dessen Computer gespeichert werden. Bei einem erneuten Besuch können diese Dateien von der Website wieder abgerufen werden und enthalten Informationen über besuchte Webseiten, Login-Daten oder privates Surfverhalten. Diese Textdateien sind beispielsweise dafür verantwortlich, dass ein Nutzer auf die hinterlegten Produkte in seinem Einkaufswagen im Online-Shop zurückgreifen, sich nicht immer neu einloggen muss und er Produktvorschläge zugeschnitten auf sein Nutzerprofil erhält.

Dabei sind unterschiedliche Arten von Cookies grundsätzlich zu unterscheiden:

• Sitzungscookie oder persistente Cookies: Zu unterscheiden sind zunächst Sitzungscookies und persistente Cookies. Wird ein Cookie automatisch gelöscht sobald der Nutzer seinen Browser schließt, ohne dass er danach wiederaufleben kann, spricht man von einem Sitzungscookie. Ein persistenter Cookie dagegen ist für einen festgelegten Zeitraum auf dem Endgerät des Nutzers gespeichert und wird erst nach Ablauf dieses Zeitraums gelöscht, der sowohl mehrere Minuten, aber auch Tage oder Jahre andauern kann.
• First- oder Third-Party-Cookies: Abzugrenzen sind auch Cookies von Drittanbietern von sog. First Party Cookies. Unter einem Third-Party-Cookies versteht man Cookies die zwar von einem für die Verarbeitung Verantwortlichen gesetzt werden, dieser ist aber nicht identisch mit dem Betreiber der Website, die der Nutzer besucht.
• Flash-Cookies: Der Flash-Cookie (auch Local Shared Object genannt) ist im Gegensatz zu dem HTTP-Cookie nicht an einen Browser gebunden, sondern wird vom Adobe-Flash-Player verwaltet, hat eine längere Speicherdauer und kann eine größere Menge an benutzerbezogenen Daten enthalten. Dadurch, dass sie vom Flash-Player verwaltet werden, können sie die Daten aller Browser auslesen, die den gemeinsamen Flash-Player nutzen. Daher bergen Flash-Cookies eine größere datenschutzrechtliche Gefahr und können von den Nutzern schwieriger verwaltet oder gelöscht werden.
• Strictly necessary Cookies: Darüber hinaus ist die Verwendung von bestimmten Cookies unbedingt erforderlich, sog. Strictly necessary Cookies, damit eine Webseite genutzt und navigiert werden kann. Sie koordinieren beispielsweise, dass immer die Version einer Website angezeigt wird, die der bandbreitenbezogenen Datenmenge der Internetverbindung des Nutzers entspricht. Diese Cookies bedürfen auch keiner Einwilligung und können auch nicht vom Nutzer eigenständig deaktiviert werden. Da sie ausschließlich von einer Webseite genutzt werden, sind es „First Party Cookies“ und werden nur währen der Dauer einer Browsersession gespeichert.

Bisherige Rechtslage für Cookies: Cookies zwischen der Cookie-RL und dem Telemediengesetz (TMG) 

Auf europäischer Ebene stellt bisher Art. 5 Abs. 3 2009/136/RL (sog. Cookie-Richtlinie) die Bedingung auf, dass die Verwendung von Cookies nur mit Einwilligung des Nutzers zulässig ist. Nach dem Verständnis in den meisten europäischen Mitgliedstaaten, muss diese Einwilligung durch eine aktive Erklärung erfolgen, durch das sog. Opt-In-Prinzip. Diese Richtlinie und damit auch das Opt-In-Prinzip wurde in Deutschland bisher noch nicht formell umgesetzt, was damit begründet wird, dass §§ 12 Abs. 1, 15 Abs. 3 TMG den Schutz ausreichend realisiere. Während § 12 Abs. 1 TMG für personenbezogene Daten eine ausdrückliche Einwilligung verlangt, wird durch die Formulierung in § 15 Abs. 3 TMG „sofern der Nutzer dem nicht widerspricht“ deutlich, dass das TMG das Opt-Out-Prinzip für nicht personenbezogene Daten etabliert, der Nutzer also widersprechen und nicht aktiv einwilligen muss. Da sowohl die Bundesregierung, als auch die Kommission und das OLG Frankfurt in einer Entscheidung aus dem Jahre 2015 (Urt. v. 17.12.2015, Az.: 6 U 30/15) die Ansicht vertreten, das Opt-out reiche aus, sieht es derzeit in der Praxis so aus, dass der deutsche Nutzer seinen Widerspruch typischerweise durch das Entfernen von Häkchen in der Einwilligungsoption äußern muss.

Absehbare Veränderungen durch die neue e-Privacy Verordnung

Der Vorschlag für eine neue e-Privacy Verordnung vom 10.01.2017 soll Klarheit in die unterschiedliche Umsetzung der Mitgliedstaaten bringen und bedeutet für den deutschen Rechtsraum wesentliche Änderungen unter anderem der §§ 12 ff. TMG:

Art. 8 Abs. 1 der Verordnung erlaubt das Speichern, Verarbeiten oder Erhebung von relevanten Informationen nur, wenn es allein dem Zweck des Kommunikationsvorgangs, dem vom Nutzer gewünschten Dienst oder der Messung der Benutzerzahlen dient und dafür nötig ist oder eben wenn der Nutzer seine Einwilligung gegeben hat. Der Begriff der Einwilligung wird hier mit Hinweis auf die Verordnung (EU) 2016/679 als „in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ definiert, durch die zu verstehen gegeben wird, dass die betroffene Person mit der Verarbeitung der Daten einverstanden ist (Art. 4 Nr. 11). Demnach sind zwei Elemente erforderlich: Zum einen die Aufklärung des Nutzers und zum anderen sein eindeutiges Einverständnis. Aufgrund ihrer Natur als Verordnung hat diese nach Art. 288 AEUV unmittelbare Wirkung, die im Gegensatz zur Richtlinie nicht mehr umgesetzt werden muss, sodass die dargestellte Einwilligungspflicht bzgl der Verwendung von Cookies unmittelbar gelten und die entgegenstehenden Normen des TMG verdrängen wird.

Der zurzeit veröffentlichte Vorschlag der Verordnung soll im Mai 2018 gemeinsam mit der DSGVO in Kraft treten und so für ein einheitliches Schutzniveau in allen Mitgliedstaaten sorgen. Unternehmen, die grenzüberschreitend tätig sind, wird dadurch zwar die Einhaltung erleichtert, jedoch sind nun alle deutschen Anbieter, die bisher eine Opt-Out-Funktion verwendet haben in Zugzwang diese umzustellen, um Geldbußen in Höhe von 10 000 000 Euro oder 2% des weltweiten Umsatzes eines Unternehmens zu vermeiden. Laut den Erwägungsgründen dürfte dafür auch eine benutzerfreundliche allgemeine Einstellung im Browser ausreichen, die dem Nutzer die Möglichkeit gibt seine Einwilligung zu erteilen. Diese Einwilligungsmöglichkeit sollte möglichst so ausgestaltet sein, dass der Nutzer zwischen hohem Schutz („Cookies niemals annehmen“), mittlerem Schutz („Nur Cookies von Erstanbietern annehmen“) und niedrigem Schutz („Cookies immer annehmen“) in leicht sichtbarer und verständlicher Weise auswählen kann.

Einwilligungsfreie und einwilligungspflichtige Cookies

Neben der Einwilligungspflicht enthält Art. 8 Abs. 1 der e-Privacy Verordnung aber auch noch Tatbestände, die den Einsatz einwilligungsfreier Cookies ermöglichen. Dies ist der Fall, wenn der Cookie a) „für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig“ ist; c) „für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig“ ist oder d) für die Messung des Webpublikums nötig ist. Daher sollen im Folgenden häufig verwendete Cookies dargestellt werden, mit einer Einordnung, ob diese einwilligungsfrei oder einwilligungspflichtig sind:

• User-Input-Cookie: Oberbegriff für Sitzungscookies zur einheitlichen Verfolgung von Nutzereingaben mit einem Dienstleister und zum temporären Speichern von Nutzereingaben, bspw. Verwendung als Warenkorb oder beim Ausfüllen mehrseitiger Online-Formulare. Solche Cookies sind eindeutig erforderlich für den ausdrücklich gewünschten Dienst, daher einwilligungsfrei nach Art. 8 Abs. 1 lit c).
• Authentifizierungscookie: Verwendung zur Authentifizierung eines Nutzers bei wiederholtem Besuch einer Website und zur Ermöglichung des Zugriffs auf bereits vorhandene Inhalte. Grds. Auch nach Art. 8 Abs. 1 lit.c) einwilligungsfrei, aber nur soweit kein Authentifizierungstoken über mehrere Browsersitzungen gespeichert wird. Daher Einzelfallprüfung empfohlen! 
• Third-Party-Cookies zu Werbezwecken: Dienen der verhaltensorientierten Werbung und sind einwilligungspflichtig. 
• Nutzerorientierte Sicherheitscookies: Sollen die Sicherheit des Nutzers verbessern, indem sie bspw. wiederholt fehlgeschlagene Anmeldeversuche registrieren oder vor anderem Missbrauch von Login-Systemen warnen. Sie sind nach Art. 8 Abs. 1 lit. c) einwilligungsfrei.
• Multimedia-Player-Sitzungscookies: s.o. unter „Flash Cookies“. Besucht der Nutzer eine Webseite mit Videoinhalten, sind diese Inhalte Teil eines ausdrücklich angeforderten Dienstes und damit einwilligungsfrei
  nach Art. 8 Abs. 1 lit c).
• First-Party-Analysecookies: Zur Auswertung der Anzahl der Webseitenbesucher, wichtigster Suchbegriffe oder Anwendungsprobleme zu erfassen, um Statistiken zur Zielgruppenanalyse aufzubauen. Für Webseitenbetreiber zwar nötig, aber aus Sicht des Nutzers für die ausdrücklich gewünschte Funktion nicht unbedingt erforderlich, daher einwilligungspflichtig.
• Content-Sharing-Cookies sozialer Plugins: Ermöglichen es den Nutzern externe Inhalte in eine andere Plattform zu integrieren, häufig zum „Teilen“ von Inhalten mit den eigenen „Freunden“ in sozialen Netzwerken verwendet. Hier ist zu unterscheiden  zwischen angemeldeten oder nicht angemeldeten Nutzern, sowie Mitgliedern und Nicht-Mitgliedern. Einwilligungsfrei sind sie nur für angemeldete Mitglieder; jeder andere Fall müsste eingehender geprüft werden.

Anforderung an Einwilligungserklärungen für Cookies

Aus Art. 8, 9 der e-Privacy Verordnung und der dazugehörigen Erwägungsgründe, ergeben sich einige Anforderungen an die Aufklärung und Einwilligung des Nutzers:

• Eine wirksame Einwilligung kann erst erteilt werden, nachdem der Nutzer über die Zwecke der Cookies aufgeklärt wurde.
• Die Einwilligung muss eingeholt werden, bevor die Cookies platziert und Informationen gesammelt werden.
• Der Nutzer muss „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über die Nutzung der Cookies aufgeklärt werden.
• Die Einwilligung muss widerrufbar sein und der Nutzer muss über sein Widerrufsrecht zuvor informiert sein.
• Die Einwilligung kann durch die Datenschutzeinstellungen im Browser erfolgen, soweit der Nutzer sich darüber im Klaren ist, dass er über das Setzen von Cookies einwilligt. Dabei empfiehlt die EU-Kommission alternative Einwilligungsstufen wie „Keine Cookies akzeptieren“, „Third-Party Cookies ablehnen“ und „Nur First-Party Cookies akzeptieren“.
• Lehnt der Nutzer das Setzen von Cookies ab, darf er nicht für die Website gesperrt sein oder andere Nachteile dadurch erhalten.