Cookie Hinweis: EuGH und BGH sind sich einig: Cookie Opt In im Banner ist immer erforderlich

Cookie Hinweis Photo by Leighann Renee on Unsplash

Cookies?! Ohne sie geht das Internet kaum, aber dem Datenschützer sind die Cookies (und ach alle anderen Tracker wie Pixel, web-beacons etc.) ein Dorn im Auge. Darfst Du nach der DSGVO trotzdem noch Cookies verwenden? Erfahre hier, wie Du einen Cookie Hinweis erteilen und Deinen Cookie Banner nach dem EuGH Urteil vom 1.10.19 und dem BGH Urteil vom 28.5.2020 gestalten musst.

von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

 

Inhalt

I. Was gilt denn jetzt für Cookies?

Nach einer bislang immer noch nicht in deutsches Recht umgesetzten europäischen Richtlinie (sog. Cookie-Richtline, ABl. 2009/136/EG vom 25.11.2009) sind Cookies weitgehend unzulässig, wenn der Nutzer nicht vorher in Ihre Verwendung eingewilligt hat (Ausnahmen bestehen für notwendige Cookies).

Diesem deutschen Sonderweg bei dem DSGVO Cookie Hinweis hat der EuGH bereits mit Urteil vom 1.10.2019 eine Absage erteilt. Für nicht notwendige Cookies ist danach ein Cookie Opt In erforderlich. Der Bundesgerichtshof hat diese Rechtslage mit kleinen Nuancen am 28.5.2020 bestätigt und vor allem den deutschen § 15 Abs. 3 TMG europarechtskonform ausgelegt. 

Für alle nicht notwendigen Cookies brauchst Du danach einen Cookie Opt In. Was das genau heißt, sehen wir uns in der Folge an:

II. Cookie Hinweis, Cookie Opt Out oder Cookie Opt In?

Im Grundsatz geht es letztlich um die Frage, wie und mit welcher Bequemlichkeit ermögliche ich dem Nutzer, sich gegen Cookies zu entscheiden. Dabei gibt es drei verschiedene Lösungen.

1. theoretische Lösung: Problem des Kunden

Brauchst Du nur einen Cookie Hinweis setzen, ist es dem Nutzer überlassen, seinen Browser oder Drittsysteme so einzustellen, dass die Cookies bei ihm nicht gespeichert werden. Die bequemste Lösung für Dich als Websitebetreiber. Das ist eine Art der Einwilligung durch Unterlassen. Der Nutzer kann Cookies nur selbst sperren, für ihn wenig bequem und kaum praktikabel. Das war lange die in Deutschland übliche Praxis.

2. theoretische Lösung: Angebot eines Cookie Opt Out

Weitergehend könnte erforderlich sein, dass Du dem Nutzer in einem Cookie Hinweis einen  Opt Out ermöglichen musst. Dann kann der Nutzer schnell und bequem entscheiden, ob und ggf. welche Arten von Cookies er zulassen will. Auch das ist eine Einwilligung durch Unterlassen, nur eben bequemer. Hier ist es dem Nutzer einfach möglich, den Cookies zu widersprechen. Eine Gestaltung, die immer noch vielfach vorkommt, jetzt aber definitiv nicht mehr zulässig ist.

3. theoretische Lösung: Erfordernis eines Opt In im Cookie Hinweis

Noch weiter geht ein Opt In. Ist das erforderlich, werden die Cookies nur dann gesetzt, wenn der Nutzer aktiv zugestimmt hat. Das ist die einzige Form mit einer echten aktiven Einwilligung des Nutzers.

III. Muss ich nach EuGH und BGH Urteil ein Cookie Opt In haben?

Lange war unklar, was für Cookies gilt. Muss der Nutzer durch

  • Opt-In
  • durch Nicht-Betätigung eines Opt-Out oder
  • durch Nicht-Verhinderung von Cookies durch allgemeine Browsereinstellung

einwilligen? Das deutsche Recht sprach für die zweite Option. § 15 Abs. 3 TMG sieht vor, dass die Einwilligung durch fehlenden Widerspruch des Nutzers erteilt wird. Die Privacy Richtlinie der EU erfordert dagegen eine ausdrückliche Einwilligung. Die Rechtslage war daher unklar.

1. Was entschied der EuGH mit Urteil vom 29.7.2019

Der EuGH hat mit Urteil vom 29.07.2019 zu Like Buttons bereits geprüft, ob der Nutzer vor der Übertragung seiner Daten an Dritte in die Übertragung seiner Daten einwilligen muss. Der EuGH verweist für die Verpflichtung zur Einwilligung in Rn. 88f. nur lapidar auf die Cookie Richtlinie

Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Danach ist immer eine vorherige Einwilligung des Nutzers in die Weitergabe seiner Daten erforderlich. Daraus ist verbreitet gefolgert worden, dass ab jetzt immer ein Cookie Opt In erforderlich ist. Andere verwiesen aber darauf, dass die Cookie Richtlinie nicht unmittelbar geltendes Recht ist.

2. Was sagt der EuGH mit Urteil vom 1.10.2019?

Kurze Zeit später hat der EuGH endgültig entschieden, dass Du andere als notwendige Cookies nur noch setzen darfst, wenn der Nutzer zugestimmt hat. Damit ist ein Cookie Opt In Pflicht. 

3. Was entschied der BGH als Folge der EuGH Urteils für den Cookie Hinweis? 

Entgegen dem eindeutigen Wortlaut legte der BGH § 15 Abs. 3 TMG europarechtskonform dahingehend aus, dass eine ausdrückliche Einwilligung für nicht notwendige Cookies erforderlich ist. Damit ist so weit die Rechtslage klar – klar? Nun ja, jedenfalls soweit klar, wie immer beginnen die Probleme im Detail. 

IV. Gibt es noch einen Cookie Opt Out?

Damit ist auch der bisherige Zwischenweg eines Cookie Opt Out nicht mehr zulässig. Es reicht also nicht

  • einen Opt Out anzubieten und
  • Vorkehrungen zu treffen, dass bei Widerspruch des Nutzers eine Speicherung von nicht notwendigen Cookies unterbleibt.

Es gibt nur noch ggf. den Cookie Hinweis (wenn nur notwendige Cookies gesetzt werden) und Cookie Opt In. Cookie Opt Out gibt es als Lösung nicht mehr und ist aus unserem Datenschutz-Generator seit längerem entfernt. 

V. Gilt Opt In auch für Pixel, Web-Beacons, Tags oder Browser Fingerprints?

Ja, die Regeln für Cookies entsprechend für alle anderen Tracking-Tools, die das Nutzerverhalten erfassen. Diese darfst Du ebenfalls nur verwenden, wenn der Nutzer mit einem Opt in seine Einwilligung erteilt hat. 

VI. Ok, Opt In also, aber für welche Cookies gilt das denn jetzt genau? 

Eine wichtige Frage, denn die Rechtsgrundsätze zum Cookie Opt In gelten nicht für alle Cookies, sondern nur für nicht notwendige Cookies

1. Welche Cookie Arten gibt es denn? 

Generell lassen sich in datenschutzrechtlicher Hinsicht folgende Begriffspaare unterschieden:

a) Was ist: Session Cookie — persistenter Cookie

 Ein Session-Cookie wird nach der nach der Sitzung wieder gelöscht. Er ist natürlich eine geringere Herausforderung für den Datenschutz als ein persistenter Cookie, der nach Abschluss  der Sitzung noch weiter auf dem Gerät des Nutzers gespeichert bleibt (ggf. für mehr als ein Jahr).

Für die Frage, ob ein Cookie notwendig ist oder nicht, kommt es auf diese Unterscheidung aber nicht an. Generell lässt sich nur sagen, dass Session-Cookies natürlich eher zulässig sind als persistente Cookies. Damit sind Session-Cookies mit höherer Wahrscheinlichkeit notwendige Cookies als persistente Cookies. Doch auch persistente Cookies können notwendig sein und auch Session Cookies können nicht notwendig sein. 

b) Was ist: First Party Cookie — Third Party Cookie

Ein First Party Cookie ist ein Cookie, der nur bei Dir gespeichert ist und keine Daten an Dritte sendet. Dieser ist wiederum generell datenschutzrechtlich nicht ganz so problematisch wie ein Third Party Cookie, der eben (personenbezogene) Daten auch an Dritte sendet. Ein Dritter ist dabei auch ein Dienstleister, mit dem Du einen Auftragsverarbeitungsvertrag geschlossen hast (so jedenfalls die Art. 29 Datenschutzgruppe der europäischen Aufsichtsbehörden, s. hier zu 2.3) 

Doch auch auf diese Unterscheidung kommt es letztlich nicht an. Man kann nur wieder generell sagen, dass ein Frist Party Cookie mit höherer Wahrscheinlichkeit ein notwendiger Cookie sein kann als ein Third Party Cookie (s. wieder die Art. 29 Datenschutzgruppe, zu 2.3). 

Tatsächlich kommt es aber nicht einmal darauf an, ob der Cookie personenbezogene Daten erfasst oder nicht. Es reicht, dass überhaupt ein Cookie gesetzt wird. Die einzige Frage bleibt also, ist es ein notweniger Cookie oder nicht? 

VI. Was ist ein notwendiger Cookie?

Antwort: Notwendige Cookies sind alle Cookies, die für die Funktion der Website erforderlich sind. Für solche Cookies brauchst Du keinen Cookie Opt In. 

Wenn Du jetzt fragst: Was sind denn nun genau diese notwendigen Cookies? – dann hast Du genau das entscheidende Problem für die Praxis getroffen. Welche Cookies notwendig sind oder nicht, ist rechtlich nicht vorgegeben und (wie sollte es anders sein) unter Experten umstritten. Ich versuche den Stand mal mit einem Ampel System zu erfassen:

1. GRÜN: Notwendige Cookies

Nach Auffassung der Art.-29-Datenschutzgruppe sind für die Funktion der Website notwendige Arten von Cookies ohne weiteres zulässig. Einigermassen gesichert darfst Du das annehmen für: 

  • User Input Cookies wie Formular- oder Warenkorb-Cookies, ggf. auch über die Session selbst (kurzfristig) hinaus als persistente Cookies
  • Login-Cookies (jedenfalls, wenn sie reine Session Cookies sind)
  • Anpassungs-Cookies wie Cookies zur Speicherung der gewählten Sprache auf multilingualen Websites oder Cookies für die Darstellung von Suchergebnissen, jedenfalls, wenn die Speicherdauer gering ist,
  • Sicherheits-Cookies, z. B. zur Erkennung von Spam oder Angriffen, auch, wenn sie  persistent sind
  • Multimedia-Player Cookies, sog. Flash Cookies, wenn darin primär die technisch erforderlichen Informationen gespeichert sind
  • Lastverteilungs-Session-Cookies
  • der Cookie Deines Cookie Banners, der die Einwilligung des Nutzers speichert

Für alle diese Cookies brauchst Du fast sicher keinen Cookie Opt In. Wie Du unschwer erkennen kannst, kann aber die Abgrenzung zur nächsten Kategorie der Komfort-Cookies fließend sein. Wird die Sprache oder der Warenkorb sitzungsübergreifend gespeichert, geraten wir bereits in den Bereich von Komfortfunktionen, für die dann bereits Gelb gilt. 

2. GELB: Komfort-Cookies

Dann gibt es noch Cookies, die den Komfort der Website erhöhen. Ein Beispiel wären etwa Cookies, die personalisieren, was auf Deiner Website angezeigt wird, also z.B.

  • Cookies, die bei einem Wiederbesuch eine vorhandene Anmeldung erkennen
  • Cookies, die dem Nutzer ermöglichen, zuletzt verwendete Orte auf der Website aufzusuchen 
  • ggf. Warenkorb oder Einstellungs-Cookies, die sitzungsübergreifend speichern (s.o. 1.)

Eine strenge Auffassungen geht hier bereits davon aus, dass derartige Cookies nicht mehr für die Nutzung der Website notwendig sind. In einem rein technischen Sinne stimmt das. Die meisten Experten lassen jedoch auch wirtschaftliche Notwendigkeiten zu, wenn es um die Frage geht, welche Cookies notwendig sind und welche nicht. Deshalb gibt es nicht wenige Experten, die auch für Komfort-Cookies noch von notwendigen Cookies ausgehen. Ihre Verwendung lässt sich nach Art. 6 Abs. 1 lit. b) DSGVO mit einem berechtigten Interesse rechtfertigen, da sie nur gering in die Interessen der Nutzer eingreifen (vor allem, wenn es sich um einen First Party Cookie handelt). Sicherer ist, auch Komfort-Cookies einem Opt In zu unterwerfen. Dennoch, hier das Risiko einer Abmahnung oder eines Bußgeldes noch relativ gering. Selbst wenn die Behörde hier einschreitet, es besteht eine gewisse Wahrscheinlichkeit, dass Du mit einer Verwarnung davon kommst. 

3. ORANGE: Statistik-Cookies und (interne) Analyse-Cookies

Cookies können auch der Reichweitenmessung, der internen Analyse des Besucherverhaltens, z.B. für A/B Tests, der Marktforschung sowie primär statistischen Auswertungen dienen. Hier kann man ebenfalls gut argumentieren, dass solche Auswertungen für einen wirtschaftlichen Betrieb einer Website notwendig sind.

Jedoch sind Analyse Cookies für den Datenschutz durchaus problematischer als reine Komfort-Cookies. Immerhin wird der Nutzer beobachtet, sein Verhalten nicht nur gemessen, sondern auch gewertet und ggf. analysiert. Das ist im übrigen auch dann noch der Fall, wenn die Analyse mit pseudonymisierten Daten erfolgt (z.B. gekürzte IP-Adresse). Dann handelt es sich immer noch um Daten, die letztlich einen Rückschluss auf den Nutzer zulassen und damit personenbezogene Daten. 

Technisch notwendig sind solche Analysen ebenfalls nicht, weshalb für (interne) Analysen jedenfalls strengere Auffassungen existieren. Die Chance ist recht groß, dass die für Dich zuständige Datenschutzbehörde hier von nicht notwendigen Cookies ausgeht. Wie ein Gericht hier entschieden wird, lässt sich schwer vorhersehen.  

Von daher ist hier das Risiko einer Abmahnung oder eines Bußgelds noch etwas höher als bei den reinen Komfort-Cookies. Eindeutig ist eine Inanspruchnahme aber nicht. Die Wahrscheinlichkeit dürfte zudem umso geringer sein, je weniger Daten bei der Analyse erfasst werden, wenn die Erfassung pseudonymisiert erfolgt und nicht an Dritte versendet wird. 

Ein Grenzfall – auch zu der nächsten Ampelfarbe ist sicher ein intern gehostetes Matomo. Nach wie vor ist hier umstritten, ob dieses einem Opt In unterworfen werden muss. Für die Datenschutzbehörden wird man das annehmen können, dennoch gibt es grade von anwaltlichen Experten auch weitergehende Auffassungen, die Matomo für noch zulässig ansehen. Wie ein Gericht entschieden wird, ist auch hier schwer zu entscheiden. Risikofreudigere Naturen könnten es darauf ankommen lassen.

Die Art. 29 Datenschutzgruppe (zu 4.3) ist hier jedenfalls unter folgenden Umständen recht verständnisvoll, danach

„stellen First-Party-Analysecookies nach Ansicht der Datenschutzgruppe kaum ein Datenschutzrisiko dar, wenn sie ausschließlich für die aggregierten Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über diese Cookies informieren und ausreichende Datenschutzgarantien bieten. Diese Garantien sollten unter anderem eine benutzerfreundliche Möglichkeit zur Abwahl jedweder Datenerfassung sowie umfassende Anonymisierungsmechanismen für sonstige gesammelte Informationen wie etwa IP- Adressen, anhand derer Personen identifiziert werden können, beinhalten.“

Wenn diese Bedingungen erfüllt sind, sind First Party Analyse Cookies sogar eher nur gelb einzuordnen. 

4. ROT: Werbe-Cookies, Tracking Cookies und Profiling

Besonders relevant für den Datenschutz – oder eben dessen Fehlen – sind Cookies, die zur Analyse des Nutzerverhaltens, zu Werbezwecken oder gar zu einem Profiling verwendet werden. Diese erfassen besonders viele Informationen über den Nutzer, verfolgen ihn ggf. über verschiedene Websites hinweg, u. U. sogar geräteübergreifend. Beispiele sind:

  • Tracking-Cookies sozialer Plugins
  • Third-Party-Cookies zu Werbezwecken
  • Third-Party-Analyse-Cookies

Nach der Art. 29 Datenschutzgruppe (zu 4.2) sollen zu den Werbe-Cookies auch folgende Arten von Cookies gehören:

„Cookies zum Zweck des Frequency Capping, der Protokollierung von Finanzdaten, des Affiliate-Marketing, der Erkennung von Klickbetrug, der Marktforschung und Marktanalyse, der Produktverbesserung und der Fehlerbehebung“.

Zumindest was die Produktverbesserung, die Fehlerbehebung und ggf. den Klickbetrug anbetrifft, kann man hier aber auch anderer Auffassung sein. Wenn die Speicherdauer recht kurz und der Dritte durch einen Auftragsverarbeitungsvertrag gebunden ist, würde ich für die Cookies zur Produktverbesserung und für die Fehlerbehebung wenigstens zu einer Einordnung als Analyse Cookies tendieren. Die Verhinderung von Klickbetrug kann man sogar als notwendig ansehen, aber auch hier kommt es sicher darauf an, wie invasiv der Cookie gestaltet ist. Je mehr und je länger Daten gespeichert werden, desto eher kann ein solcher Cookie ggf. als nicht mehr notwendig angesehen werden. Das kann insbesondere angenommen werden, wenn der Cookie zu diesen Zwecken keine eindeutige Kennung des Nutzers verwendet, die die Datenschutzgruppe (zu 5.) besonders stört. 

Jedenfalls ist für Werbe-Cookies, Tracking-Cookies und Profiling nach der Entscheidung des EuGH vom 29.7.2019 (näher dazu in unserem Beitrag hier) und dem BGH Urteil vom 28.5.2020 ein Cookie Opt In mit ziemlicher Sicherheit erforderlich.  

Zwischenergebnis: Insgesamt zeigt sich, dass mit datensparsamen Einstellungen ein Cookie Opt In oft nicht erforderlich ist, vor allem, wenn Du auf die roten Cookies verzichten kannst, das heißt auf Tracking, Profiling und Werbe-Cookies.

Hier habe ich noch eine kleine Cookie-Ampel zur Übersicht:


(Beim Daraufklicken öffnet sich die PDF)

VII. Was ist eine Einwilligung in die Datenverarbeitung?

Ehe wir genauer auf die Anforderungen für das Cookie Opt In zu sprechen kommen, kurz noch die allgemeinen Voraussetzungen für Einwilligungen, die wir dann auf die Cookie Einwilligung anwenden können. 

Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO:

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

ß

VIII. Brauche ich einen Cookie Banner? 

Nein, wenn Du nur notwendige Cookies verwendest – und ja, wenn Du mehr als notwendige Cookies verwendest. Einen Cookie Banner musst Du bereits deshalb haben, weil – wie wir soeben gesehen haben – die Einwiligung erklärt werden muss. Das erfolgt in dem Cookie Banner – generell durch Betätigen einer nicht vorangekreuzten Checkbox. Die ist normal in Deinem Cookie Banner enthalten.

Weiter brauchst Du den Cookie Banner aber auch für die Information des Nutzers. Wie grade gesehen, setzt die Einwilligung eines Nutzers immer erst mal voraus, dass er klar und umfassend über die Cookies informiert wurde. Damit muss der Nutzer

  • über die in dem Cookie gespeicherte Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • die datenverarbeitende Stelle (Verantwortlicher) und
  • sein Widerrufsrecht

informiert werden. Diese Informationen müssen aber nicht alle in dem Cookie Banner stehen. Du kannst für Details auf die Datenschutzerklärung oder eine Cookie Richtlinie verweisen. 

IX. Brauche ich eine Cookie Richtlinie?

Ob eine Cookie Richtlinie erforderlich ist, ist noch nicht entschieden. In jedem Fall kannst Du damit Deine Informationspflichten hervorragend erfüllen. Je kleiner Dein Unternehmen und Deine Website ist, desto eher nehme ich an, wird eine Cookie Richtlinie nicht erforderlich sein. Empfehlenswert ist sie aber. 

X. Wie muss ich auf das Cookie Opt In hinweisen?

Mit der Entscheidung für ein Cookie Opt In allein ist es aber nicht getan. Es muss dann weiter die Frage geklärt werden, wie das Cookie Opt In angeboten werden muss. Nach der Auffassung der Datenschutzbehörden muss jede mögliche Erschwerung des Opt In ausgeschlossen werden. In der strengsten Auffassung ist erforderlich, dass

  • die Cookies vor der Bestätigung nicht geladen werden
  • das Betreten der Website nicht von der Zustimmung abhängt (also darf bei fehlender Zustimmung nicht versagt werden)
  • der Nutzer aufgeklärt werden muss, welche Cookies verwendet werden
  • der Nutzer jeder Art von Cookies außer den notwendigen zustimmt 
  • die Cookie Arten nicht voreingestellt sein dürfen

XI. Ist eine generelle Einwilligung in alle Cookies möglich? 

Ja, zumindest gibt es noch keine anderslautende Entscheidung. Der Betrieb von Websites würde auch praktisch zum Erliegen kommen, wenn jeder Nutzer alle Arten von Cookies einzeln abhaken muss – oder gar alle verwendeten Cookies einzeln. Von daher kann ich mir auch nicht vorstellen, dass das je entschieden wird. 

XII. Kann ich die Ablehnung erschweren? 

Gerne werden Cookie Banner auf Websites so gestaltet, dass der Nutzer zwar schnell zustimmen kann, aber für die Abwahl eine weitere Seite mit Detaileinstellungen aufrufen muss. Das verbessert die „Conversion“ deutlich. 

Datenschützern ist diese Gestaltung des Cookie Hinweises aber natürlich ein Dorn im Auge. So hat die dänische Datenschutzbehörde grade sehr weitgehend Cookie Banner für rechtswidrig erklärt, die nicht die verschiedenen Cookie Arten deutlich trennen oder den Nutzer nicht über den Anbieter der Cookies aufklären. Noch weitergehend – und das würde viele Cookie Banner betreffen – verlangte die dänische Behörde auch, dass die Ablehnung ebenso leicht sein muss wie die Zustimmung. Das bedeutet, dass die Dualität auf dem Cookie Banner nicht mehr „Zustimmen“ oder „Einstellen“, sondern „Zustimmen“ oder „Ablehnen“ sein muss. Die dänische Entscheidung gilt natürlich  in Deutschland nicht, aber es ist fast anzunehmen, dass sich eine deutsche Behörde oder ein deutsches Gericht dieser Auffassung anschließt. Die Gefahr dafür ist mit der dänischen Entscheidung ein wenig größer geworden. 

Wenn man dieser strengsten Ansicht folgt, braucht es für Cookies also künftig Nutzer, die willentlich mehrere Cookie Arten anhaken und dann auch noch die Zustimmung erteilen. Sie dürften ähnlich selten sein wie Einhörner. 

Eine genaue Anleitung mit Mustergestaltungen und -texten, die Du für Deinen Cookie Hinweis verwenden kannst, erhältst Du bei easyRechtssicher. In unserem Komplett-Schutz sind eben nicht nur Generatoren und automatisierte Plugins, sondern auch viele Muster und Anleitungen enthalten. Insbesondere haben wir da jetzt ein Beispiel eines Cookie Banners eingestellt, der auch nach strengster Auffassung zulässig sein sollte. 

XIII. Muss ich die Cookie Einwilligung nachweisen?

Eine Einwilligung muss für den Abmahnfall von dem Website Betreiber nachgewiesen werden (wie etwa beim double Opt In für den Newsletter). Wer einen Opt In verwendet, hat aber seine Website bereits so programmiert, dass ohne Einwilligung die Cookies gar nicht geladen werden. Hier solltest Du dokumentieren und durch Zeugen (etwa den Webdesigner) beweisen können, dass der entsprechende Code für Hinweis und Opt Out installiert war. Weiter sollte die Einwilligung des Nutzers jeweils gespeichert werden. Gängige Cookie Banner haben dies im Funktionsumfang. 

XIV. Was passiert, wenn der Nutzer im Cookie Hinweis nicht einwilligt?

Willigt der Nutzer in das Cookie Opt In nicht ein, muss auf der Website technisch sicher gestellt werden, dass keine technisch nicht notwendigen Cookies bei dem Nutzer gespeichert werden. Weiter surfen bedeutet keine Einwilligung. Erst wenn der Nutzer das Opt In betätigt, dürfen für die entsprechende Cookie Art Cookies geladen werden.

XV. Darf ich Nutzer von der Website ausschließen, wenn sie nicht einwilligen?

Nach Ansicht niederländischer Datenschutzbehörden darfst Du dem Nutzer nicht das weitersurfen auf der Website untersagen, wenn er nicht in die Cookies einwilligt. Nach deren Ansicht zwingst Du sonst den Nutzer praktisch, die Cookies zu akzeptieren.

Darüber kann man zumindest bei sehr marktstarken Websites von Großunternehmen nach denken. Es kann kaum sein, das etwa jemand nicht mehr Bahn fahren kann, wenn er die Cookies der DB nicht akzeptiert. Bei kleineren Websites wird man zwar kaum von einem Zwang ausgehen können. Dennoch solltest Du nicht die Option nutzen, den Zugang zu der Website zu verweigern, wenn der Nutzer keine Cookies akzeptiert.

XVI. Wie muss ich den Cookie-Banner platzieren?

Hinweise auf Cookies sieht man inzwischen auf vielen Startseiten. Oft verdecken die Cookie Banner aber wesentliche Menüs wie etwa zu Impressum oder AGB. Das kann dann wiederum zu einer Abmahnung oder sonstigen Rechtsnachteilen führen, weil dann diese Elemente nicht rechtskonform verwendet werden. Impressum und Datenschutzerklärung müssen immer leicht auffindbar sein.

XVII. Was kann passieren, wenn ich keinen Cookie Opt In nutze?

Nutzt Du keinen oder einen nicht zulässigen Cookie Banner, also insbesondere kein Cookie Opt In, obwohl Du mehr als notwendige Cookies, Tags, Pixel oder Java Skripte nutzt, kann dies erhebliche Konsequenzen haben. Nach der DSGVO bist Du zunächst ggf. jedem Deiner Nutzer zum Schadensersatz verpflichtet. Zudem kann die Behörde Dich auf eine Änderung in Anspruch nehmen und ein Bußgeld gegen Dich verhängen. Soeben hat die spanische Datenschutzbehörde wegen eines fehlenden Cookie Opt In ein Bußgeld von 30.000 Euro verhängt. 

Weiter können Dich eventuell auch Konkurrenten und Abmahnvereine auf Unterlassung und Erstattung von Abmahnkosten in Anspruch nehmen. Hier ist zwar noch nicht abschließend geklärt, ob der Cookie Hinweis sog. wettbewerbliche Relevanz hat. Eine Abmahngefahr ist aber jedenfalls gegeben. 

XVIII. Was muss in meine Datenschutzerklärung zu Cookies?

Für welche Lösung auch immer Du Dich entscheidest, wichtig ist, dass die Datenschutzerklärung die von Dir gewählten Einstellungen abbildet. Diese kannst Du mit unserem Datenschutz-Generator und unseren Datenschutz-Plugins für WordPress, Joomla und andere CMS-Systeme schnell und automatisiert umsetzen.

Zu unserem Datenschutz-Generator und dem Komplett-Schutz.

XIX. Ergebnis

Obwohl die DSGVO auf Cookies einheitlich nicht anwendbar ist, hat sie die Rechtslage für Cookies wohl verändert. Nutzt Du nicht notwendige Cookies, ist ein Opt In Pflicht. Das lässt sich z.B. mit dem Borlabs Cookie Plugin* oder dem Cookie Banner von CookieBot umsetzen. Hilfe für die Anpassung und Einbindung Deines Cookie Opt Ins findest Du etwa hier.

Wie gestaltest Du Deinen Cookie Banner nach dem BGH Urteil? Schreibe mir gern in den Kommentaren oder werde Mitglied bei easyRechtssicher und profitiere von unseren Lösungen für Deine rechtssichere Website. 

XX. Wie geht es weiter

Soeben (August 2020) ist der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG-E) öffentlich geworden. Darin wird für Cookies folgende Regelung vorgeschlagen:

§9
Einwilligung bei Endeinrichtungen
(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.
(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.
(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.
(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.

Das entspricht im Grundsatz dem jetzigen Rechtszustand (nicht weiter überraschend, da das Europarecht die Messlatte bleibt). Es ist immer eine Einwilligung erforderlich, es sei denn, der Cookie ist notwendig. Wie genau das Gesetz ausgestaltet wird, bleibt abzuwarten, halte Dich gern über unseren Newsletter auf dem Laufenden. Wir werden weiter berichten. 

Mehr über die DSGVO erfährst du hier.

 

Hier die Aufzeichnung von dem Webinar über das neue Cookie-Urteil vom 28.5.20 des BGHs:

[Webinar] Cookie BGH 28.5.

 




Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

50 Kommentare

  1. Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher

  2. Pingback: 29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich - easyRechtssicher

  3. Pingback: Mit Consent Nutzer langfristig wiedererkennen | Focal Analytics

  4. Pingback: Deine Website ist illegal: Privacy Shield verstößt gegen DSGVO

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.