von RA Phil Salewski

Cookie-Consent-Tools: Bedarf, Sinnhaftigkeit und Hürden der Implementierung

News vom 21.10.2019, 16:53 Uhr | 8 Kommentare 

Nachdem der EuGH mit Urteil vom 01.10.2019 (Az. C-673/17) eine Einwilligungspflicht für technisch nicht notwendige Cookies bestätigt hat, ziehen viele Seitenbetreiber den Einsatz eines Cookie-Consent-Tools in Betracht. Dass ein solches nicht immer erforderlich und im Übrigen auch nicht immer sinnvoll ist und darüber hinaus meist nur mit erheblichem technischen Aufwand implementiert werden kann, zeigt der nachfolgende Beitrag der IT-Recht Kanzlei.

I. Konstellationen, in denen ein Cookie-Consent-Tool nicht notwendig wird

Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.

Das Grundsatzurteil des EuGH vom 01.10.2019 zur Cookie-Einwilligungspflicht hat die IT-Recht Kanzlei in diesem Beitrag aufbereitet.

Diese Einwilligungserfordernisse lassen sich zwar am besten mit einem wirksamen Cookie-Einwilligungsmanagement umsetzen, das in Form eines Cookie-Consent-Tools das Setzen eines jeden, nicht erforderlichen Cookies von der ausdrücklichen Nutzereinwilligung abhängig macht.

Zu beachten ist aber, dass das Erfordernis eines Consent-Tools mit der Einwilligungspflicht für Cookies selbst steht und fällt.

1.) Verwendung nur technisch erforderlicher Cookies

Webseiten, die nur technisch erforderliche Cookies setzen, lösen die Cookie-Einwilligungspflicht nicht aus. Folglich bedarf es auch keines Cookie-Consent-Tools.

Als technisch notwendige und nicht einwilligungspflichtige Cookies gelten all solche Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.

Hierunter fallen:

  • Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten)
  • Flash-Cookies zur Wiedergabe von Medieninhalten
  • Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
  • Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können

Eine Einwilligungspflicht entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG) dann, wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Nicht einwilligungspflichtig sind daher auch Cookies aus

  • Live-Chat-Systemen und
  • Messenger-Diensten
1

2.) Verwendung von cookie-losen Diensten

Eine andere Möglichkeit, die Einwilligungspflicht für Cookies und mithin auch die Notwendigkeit eines Cookie-Consent-Tools zu umgehen, ist die Verwendung von Diensten, die auch ohne das Setzen von Cookies funktionieren.

Möchte ein Seitenbetreiber auf die Analyse bestimmter Verhaltensmuster oder auf sonstige Tracking-Maßnahmen nicht verzichten, kann er Anwendung implementieren, welche generell ohne Cookies auskommen (können).

So lässt sich bei einigen Analysediensten (etwa dem Tracking-Dienst „Matomo“ (ehemals Piwik), das Setzen von Cookies in den Einstellungen manuell deaktivieren.

II. Mut zur kritischen Würdigung: welche Anwendungen machen mit Cookie-Einwilligungspflicht noch Sinn?

Ist ein Cookie-Consent-Tool erforderlich, sollten sich Seitenbetreiber vor der Implementierung stets einer kritischen Selbstanalyse unterziehen und herausarbeiten, welche cookie-basierten Anwendungen bei bestehender Einwilligungspflicht überhaupt noch sinnvolle Ergebnisse liefern können.

Festzuhalten ist nämlich, dass die meisten cookie-setzenden Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste bei Abhängigkeit von einer Einwilligung ihre Funktionalität weitgehend einbüßen werden. Insofern ist zum einen generell davon auszugehen, dass Nutzer ihre Einwilligung in eine Verhaltensanalyse in Zukunft eher verweigern als freiwillig erteilen werden, was die positiven Effekte der Dienste großflächig beschneiden oder im Zweifel gar aushebeln dürfte.

Im Einzelfall mag das Abhängen von einer Einwilligung sogar dazu führen, dass Dienste völlig ungenaue oder unbrauchbare Messdaten liefern. Ein Beispiel sei das cookie-basierte Messen von Seitenzugriffen. Hinge das Hinzuzählen eines Seitenbesuchs stets von der Nutzereinwilligung ab, wäre die Zählfunktion insgesamt nicht mehr brauchbar und würde falsche Ergebnisse liefern, mit denen tatsächlich keine Optimierungsstrategien mehr möglich wären.

Im Zweifel kann es daher ratsam sein, in Anbetracht der Cookie-Einwilligungspflicht zuvor genutzte Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste generell zu deaktivieren, um falsche Auswertungsergebnisse zu vermeiden und gleichzeitig das Erfordernis eines wirksamen Einwilligungsmanagements zu umgehen.

III. Erheblicher technischer Umstellungsaufwand und entsprechendes Know-How

Soll ein Cookie-Consent-Tool implementiert werden, ist der hierfür notwendige technische Aufwand und der vorauszusetzende technische Kenntnisstand nicht unerheblich.

Insofern funktionieren Cookie-Consent-Tools nämlich nicht wie einfach zu installierende Plug-Ins, die nach einer Installation ihre Funktion automatisch aufnehmen. Vielmehr müssen derartige Tools für Ihre ordnungsgemäße Funktion eigenhändig mit allen notwendigen Informationen angereichert werden.

Cookie-Consent-Tools funktionieren wie eine technische Maske, die sich über den Code einer Website legt und bestimmte cookie-aktivierende Skripte blockiert. Damit diese Skripte aber anfänglich blockiert und erst nach Treffen einer Auswahl im Tool selbst nachgeladen werden, sind umfangreiche technische Kenntnisse erforderlich.

So müssten zunächst alle Cookie-Skripte manuell aus dem Seitencode entfernt werden. Darauf hin müsste das Tool mit den entsprechenden Skripten gepeist werden, damit es diese registriert, einer bestimmten Anwendung zuordnet und sodann erst bei deren Aktivierung über ein Opt-In-Feld nachlädt. Dies setzt aber auch die vollumfängliche Kenntnis aller Cookie-Skripte innerhalb einer Präsenz (d.h. auch auf Unterseiten) voraus.

Wird ein Consent Tool mithin nicht genau auf die jeweilige Web-Präsenz und all ihre Dienste ausgerichtet, kann es das Setzen von Cookies nicht verhindern. Die Funktionalität eines jeden Consent Tools hängt also maßgeblich von der technischen Korrelation und Verzahnung mit der konkreten Präsenz und ihren Codes ab.

Ein derartiges technisches Finetuning wird von den meisten Seitenbetreibern in Eigenregie nicht geleistet werden können. Zu hoch ist das Risiko einer unzureichenden bzw. technisch nicht tragfähigen Verbauung. Im Zweifel würde hierfür also die (kostentechnisch nicht zu verkennende) Beauftragung von speziellen Technik- und/oder Agenturleistungen erforderlich.

IV. Fazit

Ein wirksames Cookie-Einwilligungsmanagement wird nur dann erforderlich, wenn auf einer Internetpräsenz überhaupt auch technisch nicht notwendige Cookies zum Einsatz kommen. Zu begrüßen ist daher, dass es bereits Tracking- und Analyseanwendungen gibt, die auch ohne den Einsatz von Cookies auskommen.

Wer dennoch auf cookie-basierte Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste nicht verzichten und daher ein Consent-Tool implementieren will, sollte aber Zweierlei beachten.

  • Einerseits können cookie-basierte Anwendungen beim Abhängen von einer Nutzereinwilligung ihre bestimmungsgemäße Funktion vielmals nicht oder nicht zielführend erfüllen und verfehlen damit nicht selten ihren Verwendungszweck.
  • Andererseits setzt die ordnungsgemäße Verbauung von Consent-Tools in eine Webpräsenz umfangreiche technische und informationstechnologische Kenntnisse voraus, weil die Seitencodes mit dem Tool so verzahnt werden müssen, dass alle cookie-basierten Skripte mit dem Tool korrelieren.

Eine einfache „Plug -In &Play“-Lösung vermögen Consent Tools daher nicht zu liefern, sondern machen für informationstechnische Laien im Zweifel die Zusammenarbeit mit versierten Experten erforderlich.

Wie angekündigt, wird die IT-Recht Kanzlei ihren Mandanten in Kürze ein Cookie-Consent-Tool kostenlos anbieten. Es wird aber bereits jetzt darauf hingewiesen, dass die Funktionalität dieses Tools (wie auch bei jedem anderen Consent Tool) eine vom Mandanten vorzunehmende technisch saubere Implementierung (vgl. hierzu oben) voraussetzen wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Ohne Cookie Tracking - reicht dann ein normaler Cooker Banner aus?

17.11.2019, 15:30 Uhr

Kommentar von Ralf Glaser

Wenn man nur eine Standardwebseite nutzt, die nur in der Google Search Console angemeldet ist und sonst keinerlei Trackingcookies setzt, würde dann ein normaler Cookiebanner ausreichen nach dem...

Kann man Google Analytics nicht auch ohne Cookies verwenden?

24.10.2019, 17:42 Uhr

Kommentar von IT Recht Kanzlei

Hierzu gerne dieser Beitrag: https://www.it-recht-kanzlei.de/google-analytics-cookieless-anleitung-risiken.html.html

Kaufmann

24.10.2019, 17:40 Uhr

Kommentar von Christian

Die Verwendung eines Consent Tools ist dann in der Tat fraglich, da die entsprechenden Analyse- Ergebnisse vermutlich deutlich verfälscht würden. Ohne Consent Tool bedeutet es also die folgenden...

Nutzung ohne Cookie

24.10.2019, 09:33 Uhr

Kommentar von IT-Recht Kanzlei

Danke für den Hinweis. Wir werden noch heute unsere Datenschutzerklärung entsprechend angepasst haben.

„Matomo“ Nutzung ohne Cookie setzen

24.10.2019, 08:44 Uhr

Kommentar von Ralph Streckhardt

In der Datenschutzerklärung (Blogs, Homepages ohne Bestellfunktion - nicht Shops), finde ich keinen Textbaustein für die Nutzung ohne Cookie für den Dienst. Ist eine Nutzung ohne Cookie setzen und...

Google Analytics ohne Cookies

22.10.2019, 10:33 Uhr

Kommentar von Niels

Wie sieht es damit aus, wenn man Google Analytics ohne das Setzen von Cookies verwendet (storage:none)?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller