Cookie Opt Out setzen

Einwilligung durch Opt Out

Unklar ist leider, was sich an den Cookie Hinweis anschließen muss. Muss der Nutzer durch

  • Opt-In
  • durch Nicht-Betätigung eines Opt-Out oder
  • durch Nicht-Verhinderung von Cookies durch allgemeine Browsereinstellung

einwilligen? Das deutsche Recht spricht für die zweite Option, da § 15 Abs. 3 TMG davon ausgeht, dass die Einwilligung durch fehlenden Widerspruch des Nutzers erteilt wird. Die Privacy Richtlinie der EU spricht von einer ausdrücklichen Einwilligung, was der ersten Option entspräche. Erwägungsgrund Nr. 66 zu der Richtlinie (die aber nicht verbindlich sind), lassen für die Einwilligung aber ausreichend sein, dass der Nutzer die Setzung von Cookies in seinem Browser nicht verhindert.

Immerhin ist vor Kurzem obergerichtlich entschieden worden, dass eine ausdrückliche Einwilligung durch Opt In (wie bei der Newsletter-Anmeldung) nicht erforderlich ist, sondern vielmehr ein Opt Out Angebot ausreicht (Oberlandesgericht Frankfurt am Main, Urt. v. 17.12.2015, Az.: 6 U 30/15), also wenn dem Nutzer die Gelegenheit gegeben wurde, an deutlich erkennbarer Stelle durch Setzen (oder Abwählen eines voreingestellten) Häkchens sein fehlendes Einverständnis zu erklären.

Ebenso ist in der Entscheidung festgehalten, dass die für die Einwilligung erforderlichen Informationen auch über einen Link erteilt werden können. Hier bietet sich ein Link auf die eigene Datenschutzerklärung an, in der die Verwendung der Cookies ohnehin erläutert werden muss.

Nachweis der Einwilligung?

An sich muss eine Einwilligung für den Abmahnfall von dem Website Betreiber nachgewiesen werden (näheres dazu zum Newsletter). Da hier ein Opt Out ausreichend ist, muss nur dokumentiert und durch Zeugen (etwa den Webdesigner) beweisbar sein, dass der entsprechende Code für Hinweis und Opt Out installiert war.

Rechtsfolge des Widerspruchs

Wählt der Nutzer nicht den Opt Out, können Cookies verwendet werden. Widerspricht der Nutzer aber durch Opt Out, sollte auf der Website technisch sicher gestellt werden, dass keine der gem. dem Kapitel Cookie Hinweis technisch nicht notwendigen Cookies bei dem Nutzer gespeichert werden. Dies kann durch die Verweigerung des Weitersurfens auf der Site oder eine Funktion geschehen, die das Speichern der Werbe- und Analyse Cookies in dem Browser dieses Nutzers unterbindet (nach Art. 5 Abs. 3 Satz 2 der Datenschutz-Richtlinie (v. 20.07.2002, Nr. 2002/58/EG) steht es “einer technischen Speicherung und einem Zugang – zur Website, der Verf. – nicht entgegen, wenn” es sich um technisch notwendige Cookies handelt.; diese Formulierung lässt nur den Schluss zu, dass die Website dafür verantwortlich ist, dass bei Widerspruch des Nutzers die Website Speicherung und Zugang regeln muss und dies nicht dem Nutzer überlassen werden darf).

Ergebnis

Im Ergebnis muss man nach dem Grundsatz des sichersten Weges trotz der sehr unübersichtlichen Rechtslage jedem Website Betreiber raten:

  • ein Opt Out anzubieten und
  • Vorkehrungen zu treffen, dass bei Widerspruch des Nutzers eine Speicherung von nicht technisch notwendigen Cookies unterbleibt.

Wird dagegen verstoßen, kann dies als wettbewerblich relevant eingestuft werden und zur Abmahnung berechtigen. Die durch die Cookies ermöglichte bessere Werbeansprache des Kunden stellt einen Vorteil im Wettbewerb dar.

Die Plugin-Lösungen

Ein kursorischer Überblick über die vorhandenen Websites (selbst von Großunternehmen) und den am Markt erhältlichen Plugins zeigt, dass risikobehaftete oder sogar unzureichende Gestaltungen weit verbreitet sind.
Vielfach wird nur positiv beschrieben, dass das Weitersurfen als Zustimmung gewertet wird. Damit würde jedoch der Nutzer zum Abbruch gezwungen. Das sieht die Richtlinie gerade nicht vor. In dem Fall des OLG Frankfurt war wenigstens ein zwar voreingestelltes Kästchen vorhanden, dass der Nutzer aber eben durch Opt Out abwählen konnte.
Verbreitet sind auch Gestaltungen, in denen der Kunde nur darauf verwiesen wird, dass er in seinen Browsereinstellungen die Speicherung von Cookies verhindern kann. Abgesehen davon, dass davon auch erlaubte Cookies betroffen würden, würde auch dies erneut bedeuten, dass der Nutzer eben nicht einfach widersprechen kann und schon dadurch die Setzung von Werbe- und Analyse Cookie verhindert wird.
Dennoch sind all diese Maßnahmen in jedem Fall sicherer als keine Vorkehrungen zu treffen. Im Idealfall ist bei Aufruf der Site aber ein echtes Opt Out Kästchen vorhanden, nach dessen Betätigung durch den Nutzer bei diesem keine Werbe- und Analyse Cookie gesetzt werden.

Mindestempfehlung ist daher: wenigstens ein Plugin zu verwenden, welches zu Beginn der Nutzung deutlich sichtbar eingeblendet wird und die Cookies und Ihre Deaktivierung übersichtlich erklärt.

Kein verdeckender Hinweis

Entsprechende Hinweise sieht man inzwischen auf vielen Startseiten. Oft verdecken sie aber wesentliche Menüs wie etwa zu Impressum oder AGB. Das kann dann wiederum zu einer Abmahnung oder sonstigen Rechtsnachteilen führen, weil dann diese Elemente nicht rechtskonform verwendet werden.

Checkliste Cookies
1Anwendbar vor allem für Werbe und Analyse Cookies
2allgemeiner Hinweis auf die Cookie Verwendung auf der Website
3Hinweis sollte Impressum und Datenschutzerklärung nicht verdecken
4Opt Out ermöglichen
5Informationen des Kunden, die in einem weiterführenden Link enthalten sein kann (s. Checkliste dazu)
6Im Idealfall (der dem Normalnutzer aber derzeit nicht sinnvoll zur Verfügung steht) Sicherstellung, dass bei Widerspruch keine unzulässigen Cookies gespeichert werden
7Zu Nachweiszwecken sind diese Vorkehrungen zu dokumentieren

 Puh, soviel zu beachten, aber jetzt ist es geschafft 🙂