Dürfen Presseorgane ihre Website kostenpflichtig ohne Cookies, Tracking und Werbung anbieten und bei der kostenlosen Variante nur mit Cookies, Tracking und Werbung?

Ursprünglich: Cookie-Wall, bei der der Nutzer die Inhalte einer Seite nur betrachten kann, wenn er der Setzung von Cookies zustimmt, ist unzulässig (BGH-Rechtsprechung zum Opt-Out).

Zulässig ist seit 2020 eine Cookie-Wall, wenn der Nutzer eine Alternative zur Einwilligung von Cookies hat (siehe BBH-Beitrag vom 03.06.2020), auch, wenn diese nur kostenpflichtig ist.

Dies resultiert vor allem aus der Einschätzung des edpd (European Data Protection Board, Leitlinie 05/2020 zur Einwilligung nach DSGVO, dort vor allem Rn. 38-41 und 86).

Damit eine Einwilligung freiwillig erteilt werden kann, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Speicherung von Informationen in seinem Gerät oder der Zugang zu bereits darin gespeicherten Informationen abhängig gemacht werden (sogenannte Cookie-Mauern bzw. Cookie-Walls).

Das heißt: ein kostenloses Angebot nur mit Setzung von Cookies ohne eine Alternative, ist wegen Verstoßes gegen das Merkmal der Freiwilligkeit der Einwilligung unzulässig.

Bei Kostenpflichtigkeit gilt: Da es keine gesetzliche Verpflichtung gibt, ein bestimmtes Telemediendiensteangebot kostenfrei anzubieten, ist die kostenpflichtige Alternative ohne Cookies zulässig.

Kostenlose „Cookie-Variante“: hier müssen alle gesetzlichen Vorgaben eingehalten werden. Also: Einwilligung bei nahezu allen Cookies und Tracking-Tools, außer, sie fallen unter die Ausnahme in Art. 25 TTDSG.

Antwort: Grundsätzlich ja, wenn alle Vorgaben eingehalten werden.

Stand: 11.05.2022

Wie bekommen wir Matomo mit dem TTDSG in Einklang?

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

ganz ohne die Erhebung personenbezogener Daten eingesetzt werden (Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.

• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“). (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!)

Und: ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

--> gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Stand: 30.03.2022

Wie kann ich herausfinden, welche Cookies technisch notwendig sind? 

Session-Cookies, die bestimmte Einstellungen des Nutzers speichern, z.B. Sprache, Warenkorb, etc.

Cookies für Logins und

Cookies für Warenkörbe, die keine Daten weitergeben

Cookies zur Wiedergabe von Medieninhalten (Flash-)

Cookies, die zur Vorbereitung und Durchführung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen

Alle anderen Cookies (v.a. Tracking- und Analysetools, Affiliate-Dienste, Remarketing-Diensten, Social-Media-Plugins, Video-Dienste, Online-Kartendienste, etc.)

Stand: 16.02.2022

Welche Möglichkeiten gibt es, um die rechtskonforme Verwendung von Cookies zu prüfen?

Zur Überprüfung von Webseiten empfiehlt es sich, so viele Browser wie möglich zu nutzen/installieren:

Auf Windows können folgende Browser zur Untersuchung genutzt werden:
- Microsoft Edge
Firefox 
Chrome 
Brave 
Opera 

Auf iOS kann der Browser Safari zur Untersuchung genutzt werden.

Beim Firefox empfiehlt sich die Installation von Plug-Ins, insbesondere:
- NoScript
- Ghostery: Die Software Ghostery weist beim Surfen auf versteckte Anwendungen hin und blockiert sie auf Wunsch. 
- Privacy Badger
- Cookies and Headers Analyser
Das Plug-in uMatrix wird leider vom Entwickler nicht mehr gepflegt.
Es gibt noch eine Reihe von Werbeblockern. Damit wird das Browsen aber schnell ungemütlich, weil viele Webseiten die Blocker erkennen und dann nicht funktionieren.

Mit dem Tool von Decareto kann man sich umfassende technische Prüfberichte von Website erstellen lassen. 

Darüber hinaus gibt es eine Fingerprinting-Statistik-Studie der Friedrich-Alexander-Universität Erlangen (Fachbereich Informatik der FAU):
Bei der Teilnahme erhält man Detailinformationen und Aussagen zu:
  - Ist der Fingerprint einzigartig bezüglich des einzelnen Teilnehmers ?
  - Ist der Browser eindeutig über die Zeit verfolgbar ?

Wir danken Hr. Schmid (Dipl.-Ing. (Univ.) Lutz J. Schmid, Schmid Datensicherheit GmbH, Tel.: 0961-4712941. Mobil: 0160-98492962, E-Mail: info@schmid-datensicherheit.de, URL: www.schmid-datensicherheit.de für seinen Beitrag und seine Hinweise.

Stand: 09.02.2022

Welche Auswirkungen hat der LG Wiesbaden-Beschluss zum „Cookiebot“? 

Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.

Dabei werden (nach Ansicht des Antragstellers) auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse, sei der Endnutzer eindeutig identifizierbar.

Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.

Das Gericht hat dem Antrag stattgegeben (Az.: 6 L 738/21.WI) 
--> Panik bei öffentlichen Einrichtungen und  Unternehmen

Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche. 

Wir warten also noch auf das Hauptsachverfahren!

Stand: 09.02.2022

Wie sieht ein rechtskonformer Cookie-Banner aus?

Ein rechtskonformer Cookie-Banner sieht so aus:

  1. Nutzer muss alle (nicht notwendigen) Cookies ablehnen können? (Nicht ausreichend: „Alle akzeptieren“, „Einstellungen“)
  2. Alle Buttons müssen die gleiche Farbe und Größe haben
  3. Alle Cookies müssen der richtigen Kategorie zugeordnet sein
  4. Cookies müssen erläutert sein und ausreichende Informationen aufweisen
  5. Einstellungen im Cookie-Banner müssen nachträglich geändert werden können
  6. Problemfall: Cookies von US-amerikanischen Anbietern

Stand: 09.02.2022

Braucht man immer einen Cookie-Banner?

Nein, man braucht nicht immer einen Cookie-Banner.

Wer keine oder nur technisch notwendige Cookies setzt, braucht keine Einwilligung über einen Banner.

Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich.

Aber: Aufklärung in der Datenschutzerklärung über die technisch notwendigen Cookies ist aber trotzdem notwendig, vgl. Art. 13 DSGVO.

Stand: 09.02.2022

Welche gesetzlichen Regeln gelten beim Einsatz von Cookies?

Seit 01.12.2022 gilt § 25 TTDSG

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Telemediendienste müssen Datenschutzanforderungen erfüllen, nämlich

1.SSL-Verschlüsselung der Website

2.Datenschutzerklärung auf der Website richtig und vollständig

3.Cookie-Banner richtig gestalten; hier v.a. Einwilligungsmanagement genau prüfen, insbesondere:

Stand: 09.02.2022