Facebook & Co. rüsten bei Werbetechnologie auf

Website-Cookies und der Datenschutz

25.08.2022
Von    und Adrian Hoppe
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Vor dem Einsatz von Website-Cookies sollte geprüft werden, ob diese datenschutzrechtlich zulässig sind.
  • Die Umstellung von Facebook auf First-Party Cookies stellt für Werbetreibende ein datenschutzrechtliches Risiko dar.
  • Die ausdrückliche Einwilligung des Nutzers ist erforderlich (Opt-In).

Um die Wirksamkeit der Werbemaßnahmen auf der eigenen Website und auf Facebook zu verbessern, bietet Facebook verschiedene Technologien an, um Internetnutzer auch außerhalb von Facebook nachverfolgen zu können. Neben dem Facebook-Pixel setzt Facebook auch Cookies zum Werbetracking ein.

Seit die DSGVO in Kraft getreten ist, sind Cookies für viele Internetnutzer hinter dem Vorhang hervor ins Rampenlicht getreten.
Seit die DSGVO in Kraft getreten ist, sind Cookies für viele Internetnutzer hinter dem Vorhang hervor ins Rampenlicht getreten.
Foto: iri.art - shutterstock.com

Beim Pixel handelt es sich um eine kleine Grafik, die ein Werbetreibender auf seiner Website einbinden kann und welche die Nutzung der Website durch die Besucher nachverfolgt. Um Pixel und das Tracking zu unterbinden, ist die Installation von zusätzlicher Software im Internetbrowser (Adblocker oder Anonymisierungstool) notwendig. Im Gegensatz dazu können alle gängigen Browser Cookies "mit Bordmitteln" blockieren, müssen also grundsätzlich keine zusätzliche Software installieren. Das liegt an der unterschiedlichen technischen Funktionsweise der Cookies.

Bei Cookies handelt es sich um Textdateien, die von einer Website über den Browser des Nutzers auf seinem Endgerät gespeichert werden. Sie enthalten entweder eine Identifizierungsnummer oder andere Informationen. Damit kann der Betreiber der Website die Nutzer zwischen einzelnen Seitenaufrufen oder während des Surfens auf der Website wieder erkennen oder eine Information über den Nutzer speichern (z.B. Login, Inhalt des Warenkorbs).

Was sind First-Party und Third-Party Cookies?

Grundsätzlich unterscheidet man bei Cookies zwischen First-Party und Third-Party Cookies. First-Party Cookies werden vom Betreiber der besuchten Website selbst auf dem Endgerät des Nutzers gespeichert. Oftmals sind First-Party Cookies für die reibungslose Nutzung einer Website erforderlich, damit zum Beispiel der Inhalt eines Warenkorbs beim Surfen auf der Website gespeichert werden kann. Zumindest in den Standardeinstellungen unterbindet deshalb fast kein Browser diese Art von Cookies.

Third-Party Cookies hingegen werden von Unternehmen gesetzt, auf deren Website sich der Nutzer gerade nicht aufhält, also zum Beispiel von Facebook. Besucht der Nutzer eine Seite mit Werbung, kann der Werbetreibende einen (Third-Party) Cookie setzen, um den Nutzer nachzuverfolgen. Besucht der Nutzer eine andere Seite mit Werbung des gleichen Werbetreibenden, wird er anhand des Cookies wiedererkannt (sog. Cross-Site-Tracking).

Lesetipp: So surfen Sie absolut anonym im Internet

Auf diesem Weg lassen sich die Wege von Nutzern im Internet verfolgen. Der Werbetreibende kann bei einem erneuten Besuch des Nutzers auf dessen bisherigen Verlauf zugreifen. Mithilfe des Facebook-Pixels kann ein solcher Verlauf sogar genau ausgewertet und die Werbung im Anschluss optimiert werden.

Umstellung bei Facebook von Third-Party auf First-Party Cookies

In datenschutzrechtlicher Hinsicht ist die Nutzung von Tracking- und Analyse-Cookies nur mit Zustimmung des Nutzers zulässig. Die Auffassung, dass zur datenschutzkonformen Nutzung von Cookies ein Opt-in-Verfahren notwendig ist, hat das seit 1. Dezember 2021 geltende TTDSG bestätigt. Ohne Einwilligung ist also die Nutzung von Cookies nur zulässig, sofern sie für den Website-Betrieb technisch erforderlich sind oder etwa im Falle der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.

Lesetipp: TKD und TMG: TTDSG - aus zwei mach eins

Facebook, Microsoft und Google geben Werbetreibenden die Möglichkeit, auch First-Party Cookies zu verwenden. Der Einsatz von First-Party Cookies ist dann die Standardeinstellung. Allerdings kann der Websitebetreiber diese Einstellung wieder zu ändern. So kann er selbst auswählen, ob er nur Third-Party oder auch First-Party Cookies nutzen möchte.

Auslöser für die Umstellung bei Facebook war, dass immer mehr Browser per Voreinstellung ein Cross-Site-Tracking unterbinden. So erschweren beispielsweise Safari und Firefox das Cross-Site-Tracking über die Standardeinstellungen, indem Third-Party Cookies standardmäßig geblockt werden. Dann kann der Nutzer anhand von Third-Party Cookies nicht mehr zwischen verschiedenen Websites nachverfolgt werden. Dies führt dazu, dass die Werbetreibenden den Erfolg ihrer Werbeanzeigen nicht mehr auswerten und optimieren können.

Lesetipp: Emotion Tracking - Was er Online-Kunde bewusst preisgibt

Die früher stetige Frage ob eine derartige Nutzung von First-Party Cookies, die faktisch der Umgehung von Browserbeschränkungen und Werbeblockern dient, unzulässig ist, stellt sich nicht mehr. Nach heutiger Auffassung ist die Nutzung von derartigen First-Party Cookies zulässig, sofern der Nutzer über die Übertragung an Dritte in der Datenschutzerklärung informiert wird, seine Einwilligung erstellt hat und die Möglichkeit hat, seine Einwilligung zu widerrufen.

Ausblick zur Nutzung von Cookies

Bedingt durch die strenge Regulierung und die Gefahr hoher Bußgelder ist die Nutzung von Cookies deutlich unattraktiver bzw. abmahnanfälliger geworden. Der Markt schreit daher nach alternativen Tracking-Lösungen, die ohne das Setzen eines Cookies funktionieren (sog. "Cookieless Tracking"). Jedoch sollten Sie auch bei der Nutzung von Cookieless Tracking-Lösungen Vorsicht walten lassen. Nur weil kein Cookie gesetzt wird, heißt das noch nicht, dass keine Einwilligung des Nutzers benötigt wird. Die Einwilligungsverpflichtung ist vielmehr von Art und Umfang der Daten abhängig, die durch die Tracking-Lösung verarbeitet werden. (bw)