Cookies im Internet – ein problematisches Marketing-Instrument

/in /von

Personalisierung von Leistungen gilt als einer der wichtigsten Trends der Online – Wirtschaft. Doch die weit verbreiteten Miniaturdateien mit dem hübschen Namen „Cookies“ (engl. „Kekse“), die den Nutzern zu diesem Zweck meist unbemerkt auf die eigene Festplatte gespeichert werden, sind nicht immer willkommen. Die datenschutzrechtlichen Probleme sind noch immer ungelöst und auch die Gerichte mussten sich bereits mit der Thematik befassen.

Personalisierung von Leistungen gilt als einer der wichtigsten Trends der Online – Wirtschaft. Doch die weit verbreiteten Miniaturdateien mit dem hübschen Namen „Cookies“ (engl. „Kekse“), die den Nutzern zu diesem Zweck meist unbemerkt auf die eigene Festplatte gespeichert werden, sind nicht immer willkommen. Die datenschutzrechtlichen Probleme sind noch immer ungelöst und auch die Gerichte mussten sich bereits mit der Thematik befassen.
Was sind Cookies?
Bei Cookies handelt es sich technisch gesehen um kleine Dateien, die von dem Server einer Website erzeugt, an das Browserprogramm des Nutzers übersandt und dann auf dessen Rechner abgespeichert werden. 1)

Die Datei enthält eine Zahlenfolge, anhand derer die Website bei künftigen Besuchen automatisch erkennen kann, dass sie von dem betreffenden Computer des Nutzers aus bereits einmal besucht worden ist, und welche Einstellungen dabei gewählt wurden. Einmal platziert, erfolgt die Abfrage des Cookies durch den Server der Website bei jedem neuerlichen Aufruf der Website automatisch. Je nach Einstellung des verwendeten Browserprogramms bleibt das Speichern von Cookies von den meisten Nutzern unbemerkt. Wer die Sicherheitseinstellungen auf hoch setzt, wird allerdings bald bemerken, dass individualisierte Internetseiten nicht mehr arbeiten, und gelegentlich entsprechende (Fehler-)Hinweise erhalten. 2)

Cookies wurden ursprünglich von der Firma Netscape für ihren Netscape Navigator, Version 1.1, entwickelt. Sie wurden danach auch von Microsoft für deren Internet Explorer und von anderen Herstellern von Browsersoftware übernommen. Viele Anbieter im Internet haben ihre Dienste und Webseiten darauf eingestellt. Mittlerweile lassen sich viele Angebote im Netz nur noch nutzen, wenn Cookies aktiviert sind. Eine neuere Entwicklung, die ähnliche Funktionalitäten wie Cookies aufweisen, allerdings für den Nutzer oftmals noch weniger erkennbar sind, sind die so genannten Web-Bugs. Dabei handelt es sich um transparente oder an den jeweiligen Bildschirmhintergrund angepasste Grafiken in Form von 1-Pixel-Bildern. Diese sind mit einem CGI-Skript oder Applet verbunden, wodurch ebenfalls eine Reihe von Informationen über die aktuelle Verbindung durch einen dritten Server abgefragt werden können, darunter IP-Adresse des Users, URL der besuchten Seiten, Zeitpunkt des Besuchs, Browsertyp und gegebenenfalls auch Daten eines zuvor gesetzten Cookies (womit der Kreis sich schließt). Für derartige Web-Bugs gelten im Wesentlichen die folgenden Ausführungen entsprechend. 3)

Welche Daten werden dabei erfasst?
In einem Cookie können eine ganze Reihe von Daten abgespeichert werden: Dies fängt an mit zunächst rein technischen Informationen wie der Bezeichnung des Servers, der den Cookie erstmals gesetzt hat und lesen kann, Angaben und eventuelle Beschränkungen zum späteren Zugriff auf den Cookie (etwa Freigabe für andere Server – ja/nein; Zugriff nur bei speziell gesicherter Verbindung – ja/nein), Pfad der Domain, auf der das Cookie gültig ist, Gültigkeitsdauer. Darüber hinaus lassen sich, in einen Zahlencode (dem „Wert“ des Cookies) verschlüsselt, eine Vielzahl weiterer Informationen speichern: Welche Einstellungen hat der betreffende Nutzer bei seinem Besuch auf der Website vorgenommen, welche Seiten aufgerufen; auch: hat er bestimmte Präferenzen; welchen Namen hat er beim Einloggen angegeben, welche Kontaktdaten, E-Mail-Adresse, spezielle User-IDs oder Passwörter; weiterhin: Datum, Beginn, Dauer und Ende einer Sitzung usw. Welche Daten konkret erfasst werden, bestimmt derjenige, der den Server  programmiert hat, mithin der Betreiber der jeweiligen Website.

Welchen Sinn haben Cookies?
Cookies haben in dieser Form durchaus einen sinnvollen Anwendungsbereich: Indem sie die genannten Informationen nicht zentral, sondern lokal auf dem Rechner des jeweiligen Nutzers speichern, erleichtern sie technisch die Kommunikation zwischen den beteiligten Computern. Durch die Cookie-Abfrage kann der Server sicherstellen, dass er mit dem „richtigen“ Client-Rechner verbunden ist. Dem Betreiber der jeweiligen Website eröffnen Cookies damit eine technisch vergleichsweise einfache Methode, Nutzer zu identifizieren und individuelle Einstellungen zu speichern. Dies ermöglicht etwa bei Online-Warenhäusern und Buchhandlungen die namentliche Begrüßung des treuen Kunden und individuell zusammengestellte Angebote und Empfehlungen. Auch für den Besucher der Website bestehen gewisse Vorteile. Wenn seine präferierten Einstellungen einmal gespeichert sind, muss er nicht bei jeder späteren Rückkehr auf die Seite alles noch einmal von vorne eingeben. Insbesondere individualisierte Informationsangebote können so schnell und einfach abgefragt werden. Interessant ist die Technologie vor allem auch für die Online-Werbung: Durch die Verwendung von Cookies, die speichern, auf welchen Seiten ein Internetnutzer gewesen ist, lässt sich gegebenenfalls gezielt Werbung für ihn schalten. Dann kann es sein, dass zwei Besucher der selben Seite jeweils unterschiedliche, speziell auf sie abgestimmte Werbebanner zu sehen bekommen.  Außerdem können Marketingagenturen so allgemeine Auswertungen über Nutzerverhalten bekommen.

Weshalb sind Cookies problematisch?
Wenn man sich anschaut, welche Informationen mit einem Cookie erfasst und gespeichert werden können, wird die datenschutzrechtliche Problematik, die sich stellt, schnell deutlich:
Indem Einstellungen, Präferenzen und Aktionen des Nutzers erfasst und gespeichert werden können, lässt sich leicht ein regelrechtes Nutzerprofil bilden; der Kunde wird in seinem Verhalten und seinen Vorlieben erfasst, Stichwort „gläserner Konsument“. Dies wird vollends bedenklich, wenn gleichzeitig der Name oder ähnliche personenbezogene Daten, die der Identifizierung der Person dienen können, gespeichert werden, und gegebenenfalls vielleicht auch noch eine Lesefreigabe des Cookies für andere, von Dritten betriebene Server erfolgt. Auf diese Weise gelangen gelegentlich auch E-Mail-Adressen an Marketingunternehmen und Werbemailversender (und Junk-Mailer und Spammer). Auch ist zu bedenken, dass die automatische Platzierung eines Cookies auf dem Rechner eines Internetnutzers tatsächlich einen Speicher- und später, bei der Abfrage, einen Lesevorgang darstellt – faktisch handelt es sich um einen Zugriff auf den eigenen Rechner von außen, durch einen fremden Computer. Schließlich erfordert das Übertragen von Cookies natürlich auch eine gewisse Zeit. Jedenfalls dem Prinzip nach bedeutet wechselseitige Abfrage von Cookies eine Belastung von Verbindung, Netz und Festplatte.

Wie sind Cookies rechtlich zu beurteilen?
Die Erfassung personenbezogener Daten jeder Art bedarf, wo sie nicht ausnahmsweise von Gesetzes wegen erlaubt ist, grundsätzlich der Einwilligung des Betroffenen. Die Verwendung von Cookies ist daher – abhängig von dem jeweils verwendeten Konzept – datenschutzrechtlich relevant. 4)

Das deutsche Datenschutzrecht stellt an die Einwilligung relativ strenge Anforderungen. Insbesondere treffen denjenigen, der personenbezogenen Daten erheben und verarbeiten will, umfassende Hinweis- und Informationspflichten gegenüber dem Betroffenen, und die Einwilligungserklärung selbst ist nur wirksam, wenn dabei bestimmte Formalien eingehalten werden, §§ 4, 4a Bundesdatenschutzgesetz (BDSG), §§ 3, 4 Teledienstedatenschutzgesetz (TDDSG) bzw. § 12 Mediendienste-Staatsvertrag (MDStV). Die bloße Voreinstellung im Browser genügt den Anforderungen an eine rechtswirksame Einwiligung grundsätzlich nicht. 5)

Dem Grunde nach sind nicht alle oben genannten Daten, die von Cookies erfasst werden können, personenbezogen. Zumindest aber bei allen Namensangaben und bei allen Informationen, anhand derer sich gegebenenfalls unter Hinzuziehung weiterer Referenzen und Querverweise auf die dahinter stehende Person zurückschließen läßt, ist ein Personenbezug im Sinne des Gesetzes gegeben; maßgebend ist, ob die Person des Betroffenen „bestimmbar“ ist, § 3 Abs. 1 BDSG. 6) Damit ist ein Nutzer über die Verwendung von Cookies, Art und Umfang der dabei erfassten Informationen und vor allem auch den Zweck der Speicherung, also die konkret beabsichtigte Nutzung des Cookies zu informieren. Dies muss auch vor der erstmaligen Platzierung des Cookies passieren. Bei der anschließend erforderlichen Einwilligung ist insbesondere sicherzustellen, dass diese nur durch eine bewusste und eindeutige Handlung des Nutzers erfolgt (also z. B. durch ein abzuhakendes Kontrollkästchen), § 4 Abs. 2 TDDSG. Noch viel mehr gilt dies, wenn regelrechte Nutzerprofile erstellt werden sollen bzw. entstehen. Derartige Profile sind nur bei ausdrücklicher Einwilligung des Betroffenen oder bei strenger Pseudonymisierung (§ 6 Abs. 3 TDDSG) zulässig. Dann allerdings muss der Nutzer auf sein Widerspruchsrecht hingewiesen werden (§ 6 Abs. 3 S. 2 TDDSG), und es sind technisch-organisatorische Maßnahmen dafür zu treffen, dass die Pseudonyme nicht nachträglich wieder den Klarnamen zugeordnet werden können (§ 4 Abs. 4 Nr. 5 TDDSG). Diesen Anforderungen genügen, wie die Praxis bis heute zeigt, die wenigsten Anbieter im Internet.

Welche rechtlichen Konsequenzen können drohen?
Nutzerprofile zu erstellen ist nach dem deutschen Datenschutzrecht nur zulässig bei wirksamer Einwilligung oder durchgängiger Verwendung von Pseudonymen. Wer Cookies verwendet, ohne die Nutzer ausdrücklich hierauf hinzuweisen und sich eine explizite Einwilligung zu holen, verletzt das allgemeine Persönlichkeitsrecht der Nutzer (Verstoß  gegen die informationelle Selbstbestimmung). 7)

Der einzelne Nutzer hat zivilrechtliche Unterlassungs- und Schadensersatzansprüche (§ 823 Abs. 2 BGB mit den datenschutzrechtlichen Vorschriften als Schutzgesetz, §§ 12, 1004 BGB analog). 8)

Soweit Cookies als Hilfsmittel für personalisiertes Marketing verwendet werden, ist zu bedenken, dass elektronische Werbemail (Stichwort „Spam“) ohnehin nur unter sehr eingeschränkten Voraussetzungen rechtlich zulässig ist. 9)

Darüber hinaus stellt eine auf rechtswidrigem Einsatz von Cookies basierende Geschäftspraxis eine sittenwidrige Handlung im Sinne von § 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) dar. Denn indem der Unternehmer auf rechtswidrige Weise Informationen über Internetnutzer und Kunden erlangt, verschafft er sich gegebenenfalls einen erheblichen Wettbewerbsvorsprung. 10) Dabei ist in der neueren Rechtsprechung und juristischen Fachliteratur anerkannt, dass das Datenschutzrecht zu den so genannten wertbezogenen Bestimmungen zählt, bei denen bereits die bloße Nichtbeachtung als solche unlauteren Wettbewerb darstellt. 11) Damit setzt sich der Betreiber der Website unter Umständen Abmahnungen, Unterlassungs- und Schadensersatzansprüchen von Konkurrenten und Verbraucherschutzorganisationen aus.

Ein Cookie-Konzept, das gegen Datenschutzbestimmungen verstößt, kann auch auf vertragsrechtlicher Ebene gravierende Auswirkungen haben: Unter Umständen können dann etwa Werbevermarktungsverträge, die derartige Cookie-Konzepte beeinhalten, nichtig sein  (§ 134 BGB). 12)

Auch kann es unter Umständen als vertragswesentlicher Mangel einzustufen sein, wenn sich etwa ein bestimmtes Angebot im Internet nur dann nutzen lässt, wenn Cookies aktiviert werden. 13) Das Amtsgericht Ulm hat etwa in einem Urteil aus dem Jahr 1999 dem Vertragspartner eines „virtuellen Marktplatzes“, dessen Betreiber auf ein Cookie-Konzept nicht verzichten wollte, ein außerordentliches Kündigungsrecht eingeräumt. 14)

Sofern Cookie-Konzepte Verwendung finden sollen, sind also gegebenenfalls in den Verträgen mit Providern, Anbietern und Nutzern entsprechende Vorkehrungen zu treffen 15), wobei wiederum zu beachten ist, dass wegen der strengen datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung eine alleine über Allgemeine Geschäftsbedingungen (AGB) laufende Lösung kaum haltbar sein dürfte. 16)

Ein Verstoß gegen das Datenschutzrecht stellt eine Ordnungswidrigkeit dar (Bußgelder bis 50.000,00 €) und führt unter Umständen sogar zur Strafverfolgung (§ 43 Abs. 1 BDSG:
Geldstrafe oder Freiheitsstrafe bis zu einem Jahr). 17)

Einzelne Datenschutzbehörden der Länder sind in der letzten Zeit verstärkt zu Kontrollen von Webseiten angetreten. 18)
Spätestens an dieser Stelle wird die Politik vieler Unternehmen, eventuelle Verstöße gegen Datenschutzrecht unter Kosten/Nutzen – Abwägung zu betrachten.

Wann sind Cookies zulässig?

  • Es werden ausschließlich anonyme Daten und Nutzungsprofile erfasst.
  • Bei Personenbezug muss der Nutzer vorab ausführlich unterrichtet werden, § 4 Abs. 1 TDDSG.
  • Bei Nutzerprofilen unter Pseudonym muss der Nutzer auf sein Widerspruchsrecht hingewiesen werden und technisch-organisatorische Maßnahmen zur Sicherung der dauerhaften Pseudonymität müssen ergriffen werden.
  • Bei namentlichen Nutzerprofilen ist eine ausdrückliche, informierte Einwilligung des Betroffenen zwingend erforderlich, §§ 3 Abs. 1, 4 Abs. 2 TDDSG.

Zusammenfassung und Ausblick
Der Praktikabilität von Cookies stehen relevante datenschutzrechtliche Aspekte gegenüber. Der Einsatz von Cookies kann bei sorgfältiger Wahrung der Anonymität der Nutzer oder mit ausdrücklicher Einwilligung rechtlich zulässig sein. Gleichwohl ist vielen individualisierten Angeboten anzusehen oder sogar in Unternehmensdatenschutzrichtlinien nachzulesen, dass sie den deutschen bzw. europäisch vereinheitlichten Bestimmungen nicht entsprechen. Der Rechts- und Vertragssicherheit und der möglichen persönlichen Haftung der verantwortlichen Personen ist damit nicht gedient. Eine gesetzliche Änderung ist für die betroffenen Unternehmen nicht in Sicht. Die Tendenz des Gesetzgebers geht eher in Richtung der Verschärfung von Informationspflichten bei der Verarbeitung personenbezogener Daten.

Anmerkungen

  1. Den genauen technischen Ablauf erklären unter anderem: Gummig/ Achenbach in: Schwarz, Recht im Internet, Augsburg 1999, Kapitel 5-3.1, S. 35 f.; Hoeren/ Sieber, Handbuch Multimediarecht, München 1999, Abschnitt 19 Rn. 114ff.; Randall (FN 1), S. 211 ff; Ricke, Ratgeber Online-Recht, München 1998, Frage Nr. 195; Wichert, Web-Cookies – Mythos und Wirklichkeit, DuD 1998, S.273 ff. Detaillierte Informationen zu den technischen Möglichkeiten der Datensammlung über das Internet liefern Köhntopp/ Köhntopp, Datenspuren im Internet, CR 2000, S. 248-257; und im Netz: Haas, http://www.rolf.haas.net/skill.html.
  2. Ein Blick in die auf dem eigenen Computer gespeicherten Cookies sei jedem Internetnutzer empfohlen. Der Microsoft Internet-Explorer speichert Cookies z.B. im Verzeichnis C:WINDOWSCookies als je eine Textdatei pro Cookie-Eintrag. Beim Netscape-Browser wird hierfür eine Datei cookies.txt mit allen Cookies angelegt. Sie können auch einfach über die Windows- Suchfunktion mit dem Suchbegriff “Cookie” ausfindig gemacht werden.
  3. Vgl. zu Web-Bugs ausführlich Woitke, Web-Bugs – Nur lästiges Ungeziefer oder datenschutzrechtliche Bedrohung?, MMR 2003, 310 ff.
  4. Siehe hierzu detailliert und mit weiteren Nachweisen Ihde, Cookies – Datenschutz als Rahmenbedingung der Internetökonomie, CR 2000, 413, 417 ff; Schmitz in Hoeren, Handbuch Multimedia-Recht, 16.4 Rn. 137 ff.; Schneider, Handbuch des EDV-Rechts, 2003, B Rz. 883 ff.; ders. in Schwarz/Peschel-Mehner, Recht im Internet, 15-G Rn. 7 ff., 44 f.; Wächter in Moritz Dreier, Rechts-Handbuch zum E-Commerce, 2002, D Rz. 681 ff.
  5. Ihde, Cookies – Datenschutz als Rahmenbedingung der Internetökonomie, CR 2000, 413, 419.
  6. Siehe hierzu detailliert und mit weiteren Nachweisen Ihde, Cookies – Datenschutz als Rahmenbedingung der Internetökonomie, CR 2000, 413, 415 ff.
  7. Moritz/Hermann in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, 2002, D Rz. 536; Schneider, Handbuch des EDV-Rechts, 2003, B Rz. 888.
  8. Schaffland/ Wiltfang, Bundesdatenschutzgesetz, § 4 Rn. 26, 27.
  9. Siehe § 7 Teledienstegesetz (TDG); Art. 2e, 7 E-Commerce-Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnemarkt, ABl. EG Nr. L 178 S. 1; zur Rechtslage bei Werbe-E-Mails ausführlich Moritz/Hermann in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, 2002, D Rz. 499 ff.
  10. Moritz/Hermann in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, 2002, D Rz. 536.
  11. OLG Koblenz, MMR 1999, 427; OLG Köln, MMR 2000, 106 ff.; Moritz/Hermann in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, 2002, D Rz. 404 m. w. N.
  12. Jessen/Müller in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, 2002, B Rz. 467.
  13. Schneider, Handbuch des EDV-Rechts, 2003, O Rz. 206; Schwerdtfeger/Gottschalck in Schwarz/Peschel-Mehner, Recht im Internet, 2-G Rn. 16.
  14. AG Ulm, CR 2000, 469.
  15. Schuppert in Spindler, Vertragsrecht der Internet-Provider, 2000, V Rz. 238.
  16. Schneider, Handbuch des EDV-Rechts, 2003, O Rz. 208.
  17. Zu den strafrechtlichen Implikationen datenschutzrechtswidriger Cookie-Konzepte Sieber in Hoeren, Handbuch Multimedia-Recht, 19 Rn. 114 ff.
  18. Z. B. Die Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich des Innenministeriums Baden-Württemberg, vergleiche Meldung des Heise-Newstickers vom 02.10.2003: http://www.heise.de/newsticker/data/uma-02.10.03-000/.

Ansprechpartner:
Rainer Ihde
Dr. Marcus Dittmann

Stand: Oktober 2003

Anbieterangaben/ Datenschutz:     

Ihde & Partner Rechtsanwälte

Schönhauser Allee 10-11
10119 Berlin
Tel:  0049 (0)30 – 403 68 00 00
Fax: 0049 (0)30 – 403 68 00 99
E-Mail:  info[at]ihde.de

und
Friedrichstraße 186
10117 Berlin
Tel:  0049 (0)30 – 443 186 60
Fax: 0049 (0)30 – 443 186 79
E-Mail:  notar[at]ihde.de

10 Grundsätze zur Schuldrechtsreform Schadensersatz für Rechtsmängel von Software und anderen Schutzrechten