Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Cookies

Cookies können viele Funktionen haben. Manche sind technisch notwendig – manche sollen personalisierte Werbung ermöglichen.

Cookie Wort mit 2 Keksen als o
Quelle: Getty Images International

Cookies sind kleine Textdateien, die beim Aufruf einer Internetseite erzeugt werden können. Der Server der aufgerufenen Internetseite fordert den Browser auf, eine Textdatei mit Informationen auf dem Endgerät des Nutzers zu speichern. Navigiert der Nutzer auf der aufgerufenen Seite weiter oder ruft sie später erneut auf, kann der Telemediendienst das Endgerät anhand dieser Informationen erkennen.

Rechtlich wird zwischen technisch notwendigen Cookies und technisch nicht-notwendigen Cookies unterschieden. Laut Rechtsprechung des Europäischen Gerichtshofes zu C-673/17 („Planet49“) ist eine Einwilligung für die Speicherung von technisch nicht-notwendigen Cookies erforderlich. Diese Rechtsauffassung ist nun auch im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt. Die erhobene Einwilligung muss die Anforderungen aus der DSGVO erfüllen. Eine wirksame Einwilligung kann über ein Cookie-Banner erhoben werden. Cookies, die das Surfverhalten auf der Webseite analysieren oder die zur Personalisierung von Werbemaßnahmen eingesetzt werden, sind als technisch nicht-notwendige Cookies anzusehen.

Der Verantwortliche einer Webseite darf technisch notwendige Cookies ohne eine Einwilligung der Nutzer setzen. Über die Verarbeitung hat er den Nutzer jedoch zu informieren. Die Information muss den Nutzer in die Lage versetzen, die Verarbeitung durch diese Cookies nachzuvollziehen. Dieser Informationspflicht aus der DSGVO kann der Betreiber einer Internetseite über eine aufrufbare Datenschutzerklärung nachkommen. Der Betreiber der Internetseite muss die technische Notwendigkeit des Cookies nachweisen können. Cookies, die für eine Warenkorbfunktion genutzt werden oder die Spracheinstellung speichern, können als technisch notwendige Cookies angesehen werden. Auch Cookies die zur Abwehr von Angriffen eingesetzt werden, sind als technisch notwendige Cookies zu werten, da hier nur der Zweck „Bereitstellung des Telemediendienste“ verfolgt wird.

Technisch unterscheidet man zwischen First-Party-Cookies und Third-Party-Cookies. Ein First-Party-Cookie wird von der aufgerufenen Domain selbst gesetzt. Ruft der Nutzer beispielweise die Webseite ‚bfdi.bund.de‘ auf und veranlasst der zugehörige Dienst die Speicherung eines Cookies, ist dies ein First-Party-Cookie. Möchte jedoch bei dem Aufruf derselben Internetseite ein Dienst aus einer fremden Domain (beispielsweise ‚itzbund.de‘) das Cookie setzen, ist dies ein Third-Party-Cookie. Rechtlich kann es sich sowohl bei einem First-Party-Cookie als auch bei einem Third-Party-Cookie um einen technisch notwendigen Cookie oder um einen technisch nicht-notwendigen Cookie handeln.   

Neben der Verarbeitung „Setzen eines Cookies“ muss auch die Hintergrundverarbeitung rechtskonform gestaltet sein. Die Warenkorbfunktion aus obigem Beispiel ist als vorvertragliche Maßnahme zu verstehen und kann als rechtmäßige Verarbeitung im Sinne von Art. 6 DSGVO angesehen werden.    

Die rechtlichen Grundlagen im TTDSG sind allgemein gefasst und lassen sich damit auch auf andere technische Lösungen wie „Local Storage“ und „Session Storage“ anwenden.  

Weitere Informationen zum Thema