"Der BGH hat am 28.05.2020 das Urteil des EuGH vom 01.10.2019 bestätigt, indem er entschied, dass Cookies nur mit aktiver Einwilligung des Webseiten-Besuchers gesetzt werden dürfen. Diese Entscheidung hat weitreichende Auswirkungen auf die Ausgestaltung von Cookie- und Consent-Bannern, die wir Ihnen im folgenden Beitrag erläutern, sodass Sie Ihre Cookie-Banner ganz einfach rechtskonform gestalten können.
Carl Christian Müller, LL.M.
Fachanwalt für Urheber- und Medienrecht
Zertifizierter Datenschutzbeauftragter (TÜV Nord)
Müssen wir einen Cookie-Hinweis auf unserer Webseite einbinden?
Spätestens seitdem der BGH im Mai 2020 das Urteil des EuGH zur Ausgestaltung der Einwilligung bei Cookies bestätigt hat, ist die Antwort darauf ganz klar JA, zumindest wenn es sich um nicht technisch notwendige Cookies handelt.
Ein Cookie ist notwendig, wenn dessen Setzung unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Beispielsweise der Inhalt des Warenkorbs im Rahmen des Online-Shoppings oder Session-Cookies für den Login-Status.
Nicht notwendige Cookies sind beispielsweise Cookies aus Social-Media Plug-Ins wie Facebook, Instagram oder Google+ sowie Tracking- und Analysetools (z.B. Google Analytics). Wenn Sie diese setzen wollen, ist nun die informierte, aktive Einwilligung des Users erforderlich.
Mit informierter, aktiver Einwilligung ist gerade nicht nur ein voreingestellter Haken im Feld zur Cookie-Einwilligung gemeint. Vielmehr muss der Webseitenbesucher seine Einwilligung durch aktives Ankreuzen eines entsprechendes Feldes geben. Ein voreingestelltes Cookie-Banner das nur „weggeklickt“ werden kann ist nicht ausreichend (BGH, Urt. v. 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II).
Inhaltsverzeichnis
Was sind Cookies und warum ist eine Einwilligung erforderlich?
Bei Cookies handelt es sich um kleine Textdateien, welche bei einem Besuch einer Webseite vom Webserver auf dem Rechner des Users abgelegt wird. Problematisch ist, dass durch Cookies auch personenbezogene Informationen transparent werden und an Unternehmen und Werbetreibende übermittelt werden können. Zu den sensiblen Daten gehören unter anderem:
- Die Häufigkeit und Dauer Ihrer Internetbesuche
- Ihre IP-Adresse
- Besuchte Seiten - und somit Ihre Interessenschwerpunkte
- Daten, die Sie in Online-Formulare eingegeben haben
- Ihre E-Mail-Adresse
- Passwörter
- Produkte, die Sie sich kürzlich angesehen haben
Es gibt sogenannte Session-Cookies, Tracking-Cookies und Cookies von Drittanbietern, die Sie auf Ihrer eigenen Webseite einbinden können.
Session-Cookies sind temporäre Cookies, die nach Beendigung Ihrer Internet-Sitzung (Session) automatisch gelöscht werden.
Tracking-Cookies werden hingegen über mehrere Sitzungen hinweg gespeichert. Durch das Setzen dieser Cookies können Webseiten und Dritte über längere Zeit ein individuelles Profil von Ihnen anfertigen. Da unter anderem auch sensible Daten wie Telefonnummern oder Bankverbindungen gespeichert werden können, kann das zum Sicherheitsrisiko für den Nutzer werden. Diesem Risiko muss er sich bewusst sein und aktiv einwilligen.
Drittanbietercookies, sind Cookies die von einer anderen Website angelegt werden als von der, die Sie gerade besuchen. Zum Beispiel könnte ein Online-Zeitungsportal eine Schaltfläche „Gefällt mir“ von Facebook auf Ihrer Seite eingebunden haben. Dieses „Gefällt mir“ wird ein Cookie setzen, welches von Facebook gelesen werden kann.
Aufgrund der Sensibilität der gespeicherten Daten brauchen Sie die aktive Einwilligung Ihrer User zur Datenspeicherung und -verarbeitung.
Wie hole ich die informierte, aktive Einwilligung richtig ein?
Cookie-Consent-Banner
Ein Consent-Banner ist in der Regel ein eigenes HTML-Element, das eine Übersicht aller erhobenen Cookies gibt und dem Nutzer ermöglicht, sich ausschließlich für explizite Cookies zu entscheiden und somit eine aktive Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO zu geben. Es erscheint beim ersten Besuch der Webseite und blockiert sofort alle weiteren Anwendungen so lange, bis der Nutzer aktiv ausgewählt hat, welche Cookies er zulassen möchte.
Das Consent-Banner ermöglicht ein aktives Eintragen (Opt-In). Erst nachdem der Nutzer selbst zugestimmt hat, dürfen nicht notwendige Cookies gesetzt werden. Sie sollten Ihr Consent-Banner so gestalten, dass der Nutzer direkt auf der Seite auswählen kann, welche Daten bei seinem Besuch verarbeitet werden dürfen. Dadurch stellen Sie sicher, dass der Nutzer selbstbestimmt eine unmissverständliche Einwilligung zur Datenverarbeitung erteilen kann.
Die Auswahl kann über das Setzen eines Häkchens, die Bedienung eines Schiebereglers oder durch eine Vielzahl von anderen Varianten erfolgen. Erst wenn der Nutzer sein Einverständnis bestätigt, wird der Consent-Banner geschlossen und die Seite kann ganz normal genutzt werden. Seit dem BGH-Urteil ist klar, dass die Anforderungen an eine Einwilligung für die Speicherung von Cookies auf dem Endgerät des Nutzers nicht erfüllt sind, wenn schon vorangekreuzte Kästchen verwendet werden.
Wichtig bei einem Cookie-Banner ist, dass der Nutzer umfassende Informationen erhält, damit er die Einwilligung wirksam erteilen kann. Hierzu gehören auch die Angaben zur Funktionsdauer der Cookies oder der Hinweis darauf, dass Dritte Zugriff auf die Cookies erhalten können.
Weiterhin sollte der Zweck und die Einsatzweise der Cookies angezeigt werden. Alle Cookies und die jeweiligen Auswahlmöglichkeiten sollten aufgelistet werden. Ein Hinweis auf die Widerrufsmöglichkeit nach Art. 7 DSGVO, sowie ein Hinweis auf weitere Informationsmöglichkeiten mit dem Link auf die Datenschutzerklärung. Auf jeden gesetzten Cookie muss in der Datenschutzerklärung hingewiesen werden. Wir verweisen dazu auf unseren Datenschutz-Generator.
Da in der Rechtsprechung immer noch umstritten ist welche Cookies im Einzelnen als technisch notwendig eingestuft werden, raten wir zu einer eher konservativen Einordnung. Nehmen Sie Cookies, bei denen Sie sich unsicher sind, ob diese technisch notwendig sind, lieber in Ihr Consent-Banner auf, um keine Abmahnung zu riskieren.
Gestaltung
Sie müssen den Content solange unzugänglich machen bis die Einwilligung erteilt wurde. Wie genau Sie das angehen, bleibt aber Ihnen überlassen. Beliebt sind das Ausgrauen der angezeigten Fläche bis zur Einwilligung oder Sie legen das Banner direkt über den gesamten Bildschirm und Platzieren den "Akzeptieren" Button auffällig. Stellen Sie jedoch sicher, dass auch die Ablehn- Funktion und die anderen Einstellungen leicht erreichbar sind. Es gibt diverse Gestaltungsmöglichkeiten, bei denen zu beachten ist, dass der User nicht dahingehend manipuliert werden darf auf "Ja" zu klicken.
Die oben genannten Pflichtangaben müssen immer enthalten sein, aber Größe, Farbe und Platzierung der Buttons und Links dürfen variiert werden.
Machen Sie Ihren Online-Auftritt DSGVO-konform!
- In wenigen Minuten erstellt.
- Von Anwälten entwickelt.
- Hoher Individualisierungsgrad.
Cookie-Richtlinie, Telemediengesetz, DSGVO und e-Privacy-Verordnung
Dem bereits erwähnten BGH-Urteil geht ein langer Rechtsstreits zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Planet 49 voraus. In dem bereits 2014 begonnenen Verfahren berief sich die vzvb auf die sogenannte "Cookie-Richtlinie" der EU aus dem Jahr 2009. Eine EU-Richtlinie muss erst in das deutsche Recht umgesetzt werden, bevor es hier in Kraft treten kann.
Planet 49 wies hingegen auf das deutsche Telemediengesetz (TMG) von 2007 hin. Der Wortlaut dieses Gesetzes ließ sich nämlich durchaus so verstehen, dass das Setzen von Cookies zwecks Profilbildung zulässig ist, solange der Betroffene nicht widersprochen hat (sogenanntes "opt-out").
Im Oktober 2019 entschied der EuGH dann, dass die Cookie-Richtlinie in Deutschland nicht korrekt umgesetzt wurde (Az: C673/17). Eine Widerrufslösung wie im Telemediengesetz vorgesehen reicht seit dem EuGH-Urteil nicht mehr aus.
§ 15 Abs. 3 TMG wird ebenfalls von den Regelungen der DSGVO verdrängt. Das bedeutet, dass das Setzen eines Cookies entweder einer Einwilligung des Nutzers bedarf (Art. 6 Abs. 1 lit a DSGVO) oder über einen gesetzlichen Erlaubnistatbestand (Art. 6 Abs. 1 lit b bis f) gedeckt sein muss. Durch die Urteile von EuGH und BGH ist nun klar, dass die in der DSGVO geforderte Einwilligung nur rechtskonform ist, wenn sie aktiv im Opt-In-Verfahren gegeben wurde.
Auch die neue e-Privacy-Verordnung, die wohl erst Ende 2021 in Kraft tritt, wird wohl keine Lockerung dieser Regelung bringen. Vielmehr soll das Opt-In-Verfahren in der Verordnung festgesetzt werden und Cookies sollen nur noch im Ausnahmefall nach Aktivierung der Funktion durch den User zulässig sein.
Die e-Privacy-Verordnung differenziert hierbei nicht, ob es sich bei den Daten, die in einem Cookie gespeichert werden, um anonyme oder personenbezogene Daten handelt. Die Geräte der Nutzer werden generell zu einer explizit schützenswerten Privatsphäre erklärt. Die Verordnung bedarf im Gegensatz zu einer Richtlinie keiner vorherigen Umsetzung ins deutsche Recht, sondern entfaltet nach Inkrafttreten der Umsetzungsfrist unmittelbare Wirkung.
Machen Sie Ihren Online-Auftritt DSGVO-konform!
- In wenigen Minuten erstellt.
- Von Anwälten entwickelt.
- Hoher Individualisierungsgrad.
Fazit: Bei nicht notwendigen Cookies muss eine informierte Einwilligung eingeholt werden
Aufgrund des BGH-Urteils gibt es keinen Spielraum mehr bei der Auslegung der Ausgestaltung einer rechtskonformen Einwilligung.
Der User muss selbstständig eine informierte Einwilligung in die Datenverarbeitung- und Speicherung abgeben bevor die Webseite genutzt werden kann. Der Nutzer darf dabei nicht dazu genötigt werden auf "Ja" zu klicken.
Welche Cookies notwendig sind ist in der Rechtsprechung immer noch nicht eindeutig geklärt. Da sich der Maßstab durch das Urteil aber zum strengeren Verschoben hat, müssen Sie besonders genau überprüfen ob eine Einwilligung eingeholt werden muss. Im Zweifel holen Sie die Einwilligung besser ein.
Sie haben noch Fragen zum Cookie Hinweis? Schreiben Sie uns!
1. Übermitteln Sie uns die Adresse Ihrer Internetseite.
2. Einer unserer spezialisierten Rechtsanwälte schaut sich den Online-Auftritt an, prüft die Rechtslage und ruft Sie zurück. Er bespricht mit Ihnen die umzusetzenden Maßnahmen - garantiert kostenfrei.
3. Im Anschluss erhalten Sie eine E-Mail mit allen relevanten Informationen. Sie können dann in Ruhe überlegen, ob Sie ein Webseitenaudit beantragen wollen.
Datenschutzgrundverordnung - Webseitenbetreiber müssen handeln
Die bereits im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) gilt mit dem Stichtag ab dem 25. Mai 2018 in der gesamten EU. Sie betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden verarbeiten. Weil die Änderungen verpflichtend sind, müssen Unternehmer und Webseitenbetreiber umfangreiche Änderungen vornehmen.
Google Tools DSGVO-konform einsetzen
Unternehmer, Online-Händler und Webseitenbetreiber müssen mit dem 25.05.2018 bei der der Verwendung von Google-Tools wie Google AdWords oder Google Analytics die Vorgaben der DSGVO umsetzen. Hier gehen wir darauf ein, was es für Webseitenbetreiber und Online-Shops bei der Verwendung der gängigsten Google-Programme in Bezug auf die DSGVO zu beachten gibt.
Brauchen wir einen Datenschutzbeauftragten?
Auch vor der DSGVO bestand für viele Betriebe bereits die Verpflichtung, einen Datenschutzbeauftragten zu benennen. Für Kleinbetriebe hat der Deutsche Gesetzgeber nun Entlassungen beschlossen. Demnach soll ein Datenschutzbeauftragter erst ab einer Betriebsgröße von 20 Mitarbeitern Pflicht werden.
Zeugnis
Dies ist ein Typoblindtext. An ihm kann man sehen, ob alle Buchstaben da sind und wie sie aussehen. Manchmal benutzt man Worte wie Hamburgefonts, Rafgenduks oder Handgloves, um Schriften zu testen. Manchmal Sätze, die alle Buchstaben des Alphabets enthalten - man nennt diese Sätze »Pangrams«.