Rechtliche Aspekte
I. Rechtlicher Rahmen
Cookies sind kleine Textdateien, die von einem Web-Server an einen Web-Browser (z.B. Mozilla Firefox oder MS Internet Explorer) übermittelt werden. Cookies unterliegen den in Deutschland geltenden datenschutzrechtlichen Bestimmungen wie dem Telemediengesetz (TMG) , dem Bundesdatenschutzgesetz (BDSG), oder dem Telekommunikationsgesetz (TKG).
II. Datenschutzrechtliche Differenzierung
Bei der datenschutzrechtlichen Einordnung von Cookies ist danach zu differenzieren, ob mittels der Cookies personenbezogene Daten verwendet werden oder nicht. Zu den personenbezogenen Daten zählt typischerweise der Name, aber auch E-Mail-Adressen sind in der Regel bereits personenbezogen.
1. Cookies ohne Personenbezug
Soweit es um Cookies ohne Personenbezug geht, findet das Datenschutzrecht keine Anwendung. Wenn der Cookie also keine personenbezogenen Daten verwendet bzw. speichert, so kann er vom Diensteanbieter in der Regel ohne besondere weitere Vorkehrungen verwendet werden. Als Beispiel können hier Cookies zur automatischen Sprachvoreinstellung einer Webseite dienen. Denn hier enthält das Cookie nur die Information welche Sprache bevorzugt ist. Weitere Rückschlüsse auf die Identität des Nutzes sind nicht möglich.
2. Cookies mit Personenbezug
Soweit Cookies jedoch personenbezogene Daten enthalten, gelten andere Regeln. Ein Beispiel:
Um den Anmeldeprozess einer Webseite zu erleichtern, kann ein Cookies die Anmeldedaten eines Users enthalten, aber natürlich nur mit seiner Zustimmung; z.B. bei der Anmeldung zu sozialen Netzwerken (wie Facebook, XING, etc.), Online-Shops und E-Mail-Portalen. In all diesen Fällen spricht man von personenbezogenen Daten, weil die gespeicherten Informationen einen Rückschluss auf eine bestimmte Person zulassen. Deshalb hat der Gesetzgeber besondere Regeln aufgestellt, die dem Schutz von personenbezogenen Daten dienen.
- Grundsätzlich darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz (TMG) oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der User eingewilligt hat (§ 12 TMG).
- Darüber hinaus treffen den Diensteanbieter weitergehende Pflichten. So hat er den User zu Beginn des Nutzungsvorgangs u.a. über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Der Inhalt der Unterrichtung muss für den User jederzeit abrufbar sein (§ 13 Abs. 1 TMG).
- Der User kann die Einwilligung auch elektronisch erklären. Dabei muss der Diensteanbieter jedoch sicherstellen, dass
- der User seine Einwilligung bewusst und eindeutig erteilt hat,
- die Einwilligung protokolliert wird,
- der User den Inhalt der Einwilligung jederzeit abrufen kann und
- der User die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (§ 13 Abs. 2 TMG).
- Mit Einwilligung ist die vorherige Zustimmung gemeint (vgl. § 183 BGB). Geht es um die Einwilligung von Minderjährigen, so ist im Zweifel hier auch die Einwilligung der gesetzlichen Vertreter gemeint.
- Auf jeden Fall muss die Einwilligung freiwillig erfolgen.
- Aufgrund dieser Anforderungen reicht eine versteckte Einwilligung, z.B. in Allgemeinen Geschäftsbedingungen, nicht aus.