Hinweispflicht für Cookies – Was müssen Unternehmen beachten?
Cookies sind aus dem digitalen Alltag nicht mehr wegzudenken. Sie helfen Unternehmen, Webseiten funktional zu gestalten, das Nutzerverhalten zu analysieren und personalisierte Werbung auszuspielen. Doch mit der Nutzung von Cookies gehen auch rechtliche Verpflichtungen einher. Unternehmen müssen sicherstellen, dass sie die gesetzlichen Vorgaben zur Hinweispflicht für Cookies einhalten. Doch was genau bedeutet das, und was müssen Unternehmen beachten?
Was sind Cookies?
Cookies sind kleine Textdateien, die von einer Webseite auf dem Endgerät des Nutzers gespeichert werden. Sie enthalten Informationen, die es ermöglichen, den Nutzer beim nächsten Besuch wiederzuerkennen, seine Präferenzen zu speichern oder bestimmte Funktionen bereitzustellen. Es gibt verschiedene Arten von Cookies: Essenzielle Cookies, die für den technischen Betrieb einer Webseite notwendig sind, sowie nicht-essenzielle Cookies, die etwa für Analyse- oder Marketingzwecke genutzt werden.
Rechtliche Grundlagen und Pflichten
Die gesetzlichen Anforderungen an den Einsatz von Cookies ergeben sich aus mehreren Vorschriften. Die EU-Cookie-Richtlinie, auch ePrivacy-Richtlinie genannt, schreibt vor, dass Webseitenbetreiber eine informierte Einwilligung der Nutzer einholen müssen, bevor nicht essenzielle Cookies gesetzt werden. Diese Cookie-Richtlinie trat 2009 in Kraft. Ergänzend dazu regelt die Datenschutz-Grundverordnung (DSGVO), dass personenbezogene Daten nur auf einer gültigen Rechtsgrundlage verarbeitet werden dürfen, wozu eine freiwillige und informierte Einwilligung zählt. Die DSGVO hat mit ihrer Geltung seit 2018 die Anforderungen an den Cookie-Hinweis verschärft. In Deutschland gibt es außerdem das Telekommunikation-Digitaldienste-Datenschutz-Gesetz (TDDDG), welches das TTDSG im Mai 2024 abgelöst hat. Das TDDDG betrifft unter anderem den Einsatz von Cookies und Tracking-Technologien, indem es eine ausdrückliche Einwilligung der Nutzer vorschreibt, sofern Cookies nicht technisch erforderlich sind.
Welche Cookies erfordern eine Einwilligung?
Nicht alle Cookies bedürfen einer Zustimmung. Technisch notwendige Cookies, die beispielsweise den Betrieb eines Warenkorbs oder die Anmeldung auf einer Webseite ermöglichen, können auch ohne Einwilligung genutzt werden. Hingegen sind Tracking- und Analyse-Cookies, die zur Erstellung von Nutzerprofilen oder zu Werbezwecken eingesetzt werden, nur mit einer aktiven Einwilligung erlaubt, da sie personenbezogene Daten erfassen und an Dritte weitergeben können. Gleiches gilt für Cookies von Drittanbietern, die etwa für eingebettete Inhalte oder soziale Medien genutzt werden.
Anforderungen an ein DSGVO-konformes Cookie-Banner
Unternehmen müssen sicherstellen, dass ihre Cookie-Banner den rechtlichen Anforderungen entsprechen. Dies ist oftmals nicht der Fall. Eine Einwilligung muss stets aktiv erfolgen, was bedeutet, dass voreingestellte Häkchen oder automatisch aktivierte Cookies unzulässig sind. Zudem muss eine echte Wahlmöglichkeit bestehen: Neben der Option, alle Cookies zu akzeptieren, muss es eine gleichwertige Möglichkeit geben, nur essenzielle Cookies zu erlauben oder eine individuelle Auswahl zu treffen. Die Nutzer müssen klar und verständlich darüber informiert werden, welche Cookies gesetzt werden, zu welchem Zweck sie dienen und ob Daten an Drittanbieter weitergegeben werden. Ebenso wichtig ist eine jederzeitige Widerrufsmöglichkeit der erteilten Einwilligung, beispielsweise über eine dauerhaft zugängliche Schaltfläche auf der Webseite.
Mögliche Konsequenzen bei Verstößen
Unternehmen, die sich nicht an die gesetzlichen Vorgaben halten, riskieren erhebliche Bußgelder. Verstöße gegen die DSGVO können mit Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden. Auch Datenschutzbehörden gehen zunehmend gegen unzureichende oder irreführende Cookie-Banner vor. Zudem kann eine fehlende oder unzureichende Einwilligung rechtliche Risiken für Unternehmen in Bezug auf die Verarbeitung personenbezogener Daten mit sich bringen.
Was Unternehmen tun sollten
Sogenannte Cookie Banner werden den Anforderungen an die DSGVO nicht gerecht. In der Praxis sind viele Cookie-Banner oft nicht mehr als bloße Informationstexte, die am oberen oder unteren Rand einer Webseite erscheinen. Nutzer können sie meist mit einem Klick auf „Ok“ oder „Einverstanden“ schließen. Häufig enthalten sie Formulierungen wie: „Durch das Weitersurfen auf dieser Webseite erklären Sie sich mit der Nutzung von Cookies einverstanden.“ Solche Hinweise sind jedoch rechtlich und technisch wirkungslos, da sie lediglich über den Einsatz von Cookies informieren, diese aber nicht aktiv steuern oder blockieren. Ob ein Nutzer auf „Ok“ klickt oder nicht, hat oft keinen Einfluss darauf, ob Cookies tatsächlich gesetzt werden. Dadurch erfüllen solche Banner nicht die Anforderungen der DSGVO und sind letztlich nicht mehr als eine optische Ergänzung auf der Webseite, ohne wirkliche Schutzfunktion für die Nutzerdaten.
Um rechtlich auf der sicheren Seite zu sein, sollten Unternehmen ein DSGVO-konformes Consent-Management-Tool nutzen, das die Einwilligungen der Nutzer korrekt einholt und dokumentiert. Cookie Consent Tools sind Softwarelösungen, die Unternehmen dabei helfen, die Einwilligungen von Webseitenbesuchern in die Nutzung von Cookies DSGVO-konform zu verwalten. Sie ermöglichen es, Nutzern eine transparente Auswahl zu bieten, welche Cookies sie akzeptieren oder ablehnen möchten. Zudem dokumentieren diese Tools die Einwilligungen rechtssicher, bieten eine einfache Widerrufsmöglichkeit und sorgen dafür, dass ohne Zustimmung keine nicht-essentiellen Cookies gesetzt werden.
Es ist ratsam, regelmäßig zu überprüfen, welche Cookies auf der Webseite verwendet werden, und die Datenschutzerklärung entsprechend anzupassen. Die Hinweispflicht für Cookies ist für Unternehmen verpflichtend und sollte nicht unterschätzt werden. Ein rechtskonformes Cookie-System ist essenziell, um Bußgelder zu vermeiden und das Vertrauen der Nutzer zu stärken. Unternehmen sollten ihre Cookie-Richtlinien regelmäßig prüfen und anpassen, um stets den aktuellen rechtlichen Anforderungen zu entsprechen. Wer unsicher ist, kann sich durch einen Datenschutzexperten beraten lassen oder zertifizierte Consent-Management-Plattformen nutzen.