Das jahrelange Hin und Her um die deutsche Cookiepraxis wurde nun endlich geklärt. Am 01.10.2019 haben der Europäische Gerichtshof und am 28.05.2020 der Bundesgerichtshof die Frage geklärt, ob Cookies nur noch mit einer Einwilligung zulässig sind oder nicht (Urteil des EuGH (Aktenzeichen C 673/17 – Planet 49). Für Marketingstrategen dürften die Entscheidungen eine kleine Katastrophe sein, das darf man verraten. Für Juristen ist die Entscheidung nicht wirklich überraschend. Aber fangen wir vorne an.
Alles gut bisher – Was war das Problem?
Bereits seit 2009 verlangt die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der Fassung vom 25. November 2009, dass das Setzen eines Cookies nur mit einer informierten Einwilligung zulässig ist. Das heißt die Nutzung eines Cookies ist nur zulässig, wenn der Nutzer der Webseite dazu eingewilligt hat. Eine wirksame Einwilligung wiederum erfordert eine informierte Aufklärung. Das hat in Deutschland aber bislang niemanden so wirklich interessiert. Bisher verwies man auf § 15 TMG, wonach ein Opt-Out ausreichend war. Nach Ansicht der Bundesregierung und auch der EU-Kommission war damit der Richtlinie genüge getan. Belastbar war diese Auffassung nach Meinung vieler Juristen nicht. Man hat sich aber offenbar damit abgefunden; vielleicht weil es bequem war.
Erst grätscht der EuGH und dann der BGH dazwischen
Der bisherigen Praxis erteilten nun der EuGH (Aktenzeichen C‑673/17 – Planet 49) und der BGH (BGH I ZR 7/16) eine Absage.
Eine wirksame Einwilligung setzt voraus, dass der Nutzer dem Einsatz eines Cookies aktiv zustimmt. Diese Voraussetzung ist nicht erfüllt, wenn das Häkchen bereits angekreuzt ist.
Das heißt einfach ausgedrückt: Weder ein Opt-Out, noch eine voreingestellte Einwilligung (also ein vorausgefülltes Häkchen) sind ausreichend für eine rechtssichere Einwilligung.
Nach Auffassung des EuGH gilt das im Übrigen nicht nur für Cookies bei denen personenbezogene Daten verarbeitet werden. Maßgeblich ist, dass der Nutzer vor Eingriffen in seine Privatsphäre geschützt werden soll. Dabei ist es unerheblich, ob die verarbeiteten Daten personenbezogen sind oder nicht.
Letztlich sind Betreiber einer Webseite auch noch verpflichtet Angaben zur Funktionsdauer der Cookies zu machen und ob Dritte Zugriff auf die Cookies erhalten können.
Keine Einwilligung bei technisch notwendigen Cookies
Es gibt allerdings eine wichtige Ausnahme. Eine Einwilligung ist nicht erforderlich, sofern die Cookies technisch unbedingt notwendig sind, damit der Anbieter die Webseite oder besser den “technischen Dienst” überhaupt zur Verfügung stellen kann. In der Richtlinie heißt es dazu etwas verklausuliert: Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Technisch notwendig dürften die nachfolgenden Cookies sein:
- Warenkorb-Cookies eines Online-Shops
- Cookies zur Sprachauswahl
- Load Balancing
Darüber hinaus kann man sich wunderbar streiten, wann ein Cookie technisch unbedingt erforderlich ist und wann nicht. Cookies die reinen Marketingzwecken dienen fallen wahrscheinlich nicht mehr unter die Ausnahme. Streiten kann man sich sicherlich über Cookies die etwa zur Analyse der Webseitenbesuche dienen. Wobei wahrscheinlich auch hier gute Gründe dafür sprechen, warum diese Cookies nicht unbedingt erforderlich sind und damit dem Einwilligungsvorbehalt unterliegen.
Was heißt das jetzt für die Praxis?
Wer Cookies nutzt, die für den technischen Betrieb der Seite und des Shops nicht unbedingt erforderlich sind, sollte davon ausgehen, dass diese Cookies nur mit einer Einwilligung genutzt werden dürfen. Das gilt auch für Cookies, die keine personenbezogene Daten verarbeiten, aber eben nicht zwingend erforderlich sind.
Die Nutzer müssen entsprechend aufgeklärt werden. In der Regel wird damit auch eine Anpassung der Datenschutzhinweise auf der Webseite notwendig.
Die bisherigen Cookie-Banner die lediglich ein “OK” zum Anklicken hatten, haben für die meisten Situationen ausgedient.
Leider gibt es bislang noch keine Urteile oder Stellungnahmen der Datenschutzbehörden zu dem Thema, so dass man hier abwarten muss. Wir empfehlen jedenfalls derzeit jedenfalls Marketing-Cookies nur noch mit Einwilligung zu setzen. Bei Cookies für die reine Webseitenanalyse kann
Was kann passieren, wenn ich nichts ändere?
Wer nichts unternimmt, riskiert Abmahnungen und Bußgelder. Es ist umstritten, ob Verstöße gegen die DSGVO durch Wettbewerber abgemahnt werden können. Hier muss man abwarten. Das letzte Wort ist noch nicht gesprochen. Einen Überblick zur Problematik haben wir hier zusammengestellt. Unabhängig davon kann die jeweils zuständige Datenschutzbehörde eingreifen und ggf. Bußgelder verhängen, wenn es um personenbezogene Daten geht. Trackingtools die keine personenbezogenen Daten verarbeiten (z.B. Matomo) dürften damit wenigstens vor Bußgeldern seitens der Datenschutzbehörden sicher sein. Wie hoch potentielle Bußgelder ausfallen ist noch nicht klar. Der Start dürfte aber bei ca. 900 EUR liegen, wenn nichts dazu kommt.