Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Cookies und andere Tracking-Technologien

Cookies können viele Funktionen haben. Manche sind technisch notwendig – manche sollen personalisierte Werbung ermöglichen.

Cookie Wort mit 2 Keksen als o
Quelle: ©yusak_p via Getty Images

Tracking-Technologien werden eingesetzt, um die Aktivitäten der Nutzerinnen und Nutzer bei dem Besuch von Webseiten und anderen Telemedienangeboten, wie etwa Apps oder smarte Haushaltsgeräte, nachzuverfolgen. Die Zwecke, zu denen die Technologien eingesetzt werden reichen von der Erhebung von Statistiken zur Verbesserung der Nutzbarkeit des Telemedienangebots bis hin zur Identifizierung der Nutzerinnen und Nutzer zur Profilbildung für die Anzeige verhaltensbezogener Onlinewerbung.

Ein häufiger Anwendungsfall von Tracking-Technologien sind Cookies oder andere technische Lösungen wie „Local Storage“ und „Session Storage“. Cookies sind kleine Textdateien, die beim Aufruf einer Internetseite erzeugt werden können. Der Server der aufgerufenen Internetseite fordert den Browser auf, eine Textdatei mit Informationen auf dem Endgerät des Nutzers zu speichern. Navigiert der Nutzer auf der aufgerufenen Seite weiter oder ruft sie später erneut auf, kann der Telemediendienst das Endgerät anhand dieser Informationen erkennen.

Rechtliche Hintergründe

Rechtlich wird zwischen technisch notwendigen Tracking-Technologien und technisch nicht-notwendigen Tracking-Technologien unterschieden. Laut Rechtsprechung des Europäischen Gerichtshofes zu C-673/17 („Planet49“) ist eine Einwilligung für die Speicherung von technisch nicht-notwendigen Cookies erforderlich. Diese Rechtsauffassung ist nun auch im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt. Die erhobene Einwilligung und die Informationen der Endnutzer müssen die Anforderungen aus der DSGVO erfüllen. Eine wirksame Einwilligung kann über ein Einwilligungs-Banner erhoben werden. Tracking-Technologien, die das Surfverhalten auf der Webseite analysieren oder die zur Personalisierung von Onlinewerbung eingesetzt werden, sind als technisch nicht-notwendige Tracking-Technologien anzusehen und bedürfen damit einer Einwilligung.

Webseitenbetreiber dürfen technisch notwendige Tracking-Technologien ohne eine Einwilligung der Nutzerinnen und Nutzer setzen. Über den Einsatz der Tracking-Technologien hat er die Nutzerinnen und Nutzer jedoch zu informieren. Die Information muss die Nutzerinnen und Nutzer in die Lage versetzen, den Einsatz der Tracking-Technologien nachzuvollziehen. Dieser Informationspflicht können Webseitenbetreiber über eine aufrufbare Datenschutzerklärung nachkommen. Der Betreiber der Internetseite muss die technische Notwendigkeit des Cookies nachweisen können. Als technisch notwendig können etwa Cookies angesehen werden, die für eine Warenkorbfunktion genutzt werden oder die Spracheinstellung speichern. Auch Cookies die zur Abwehr von Angriffen eingesetzt werden, sind als technisch notwendige Cookies zu werten, da hier nur der Zweck „Bereitstellung des Telemediendienstes“ verfolgt wird.

Technisch unterscheidet man zwischen First-Party-Cookies und Third-Party-Cookies. Ein First-Party-Cookie wird von der aufgerufenen Domain selbst gesetzt. Ruft der Nutzer beispielweise die Webseite ‚bfdi.bund.de‘ auf und veranlasst der zugehörige Dienst die Speicherung eines Cookies, ist dies ein First-Party-Cookie. Möchte jedoch bei dem Aufruf derselben Internetseite ein Dienst aus einer fremden Domain (beispielsweise ‚itzbund.de‘) das Cookie setzen, ist dies ein Third-Party-Cookie. Rechtlich kann es sich sowohl bei einem First-Party-Cookie als auch bei einem Third-Party-Cookie um einen technisch notwendigen Cookie oder um einen technisch nicht-notwendigen Cookie handeln.   

Regelmäßig werden die durch Tracking-Technologien erlangten Informationen auf bestimmte Nutzerinnen und Nutzer beziehbar sein. Die Verarbeitung dieser personenbezogenen Daten muss den allgemeinen Anforderungen der DSGVO genügen. Die Warenkorbfunktion aus obigem Beispiel ist als vorvertragliche Maßnahme zu verstehen und kann als rechtmäßige Verarbeitung im Sinne von Art. 6 DSGVO angesehen werden.

Positionen der Datenschutzgremien

Weitere Informationen über den Einsatz von Cookies und anderen Tracking-Technologien finden Sie in der „Orientierungshilfe für Anbieter:innen von Telemedien" mit Stand Dezember 2022 der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Zudem hat der Europäische Datenschutzausschuss (EDSA) einen Bericht über die Cookie Banner Taskforce (aktuell nur auf Englisch verfügbar) vom 17. Januar 2023 veröffentlicht. Der Bericht stellt den gemeinsamen Nenner bei der Bewertung einer Reihe von Beschwerden gegen den Einsatz von Tracking-Technologien und die Gestaltung von Cookie-Bannern dar, auf den sich die europäischen Aufsichtsbehörden in ihrer Auslegung des geltenden vielschichtigen Rechtsrahmens geeinigt habe.

Weitere Informationen zum Thema

Verweis auf die "Orientierungshilfe für Anbieter:innen von Telemedien" der DSK

Verweis auf den Cookie-Banner-Report des EDPB (nur auf englisch verfügbar)