Internetnutzerinnen und -nutzer müssen grundsätzlich aktiv in die Speicherung von Cookies auf ihrem Rechner einwilligen. Der Bundesgerichtshof (BGH) hat in seiner Entscheidung vom 28. Mai 2020 das Urteil des europäischen Gerichtshofs (EuGH) aus dem Oktober 2019 bestätigt.

Website-Betreiber in der Pflicht

Der EuGH hatte das bisher gängige Opt-Out-Verfahren beim Einsatz von Cookies auf Webseiten für unzulässig erklärt. Webseiten-Betreiber werden damit weiterhin verpflichtet, die rechtskonforme Umsetzung der entsprechenden Vorgaben mittels Consent-Tools und Cookie-Bannern zu gewährleisten.

Nach der Entscheidung des BGH (BGH, Urt. v 28.05.2020, Az. I ZR 7/16) müssen Website-Betreiber generell die aktive Einwilligung der Nutzer*innen zur Datenverarbeitung einholen – das gilt für das Setzen von Cookies genauso wie für Werbung und Tracking. Damit ist es nicht mehr ausreichend, wenn Nutzerinnen oder Nutzer diesem Vorgang lediglich nicht widersprechen (Opt-Out).

Eine vorausgefüllte Zustimmung, bei der die User ein Häkchen entfernen müssen, wenn sie keinen Cookie-Einsatz wünschen, wurde bereits vom EuGH als unzulässig angesehen. Mittels solcher Voreinstellungen werde keine wirksame Einwilligung erteilt. Dies betrifft laut Urteil des BGH auch Cookies, die beispielsweise der Analyse von Zugriffszahlen dienen, wenn diese die Erstellung von Nutzungsprofilen zum Zweck haben. Webseiten-Betreiber sollten daher den Einsatz von Cookies und die entsprechenden Richtlinien überprüfen.

Gewinnspiel

Das „Cookie-Urteil“ des EuGH

Der Verbraucherzentrale Bundesverband (vzbv) hatte gegen den deutschen Online-Gewinnspielanbieter „Planet49“ vor dem EuGH geklagt. Der Gewinnspielanbieter hatte von den Teilnehmer*innen Werbeeinwilligungen eingeholt, unter anderem auch zum Setzen von Cookies. Der BGH nahm das „Planet 49-Verfahren“ zum Anlass, dem europäischen Gerichtshof verschiedene Fragen vorzulegen, die auch über diesen speziellen Fall hinaus umfassende Wirksamkeit entfalten.

Der EuGH hat im Oktober 2019 entschieden, dass voreingestellte Kästchen keine wirksame Einwilligung darstellen. Die Datenschutzgrundverordnung (DSGVO) setzt ein aktives Handeln im Rahmen der Erteilung einer wirksamen Einwilligung voraus. Daher kann aus einem „Nichthandeln“ keine wirksame Einwilligung abgeleitet werden.

Ob Cookies personenbezogene Daten darstellen, sei dabei unerheblich. Seit Inkrafttreten der DSGVO gelte dies umso mehr, insbesondere durch den erweiterten Regelungsumfang in der ePrivacy-Richtlinie. Weiterhin seien dem Nutzer Informationen zum „Verantwortlichen“ für eine Verarbeitung nach Treu und Glauben zur Verfügung zu stellen. Diese sollten neben der allgemeinen Datenschutzerklärung auch Angaben zur Identität des oder der Verantwortlichen und zur Zweckbestimmung der Verarbeitung von Daten enthalten. Erforderliche Informationen, die den Nutzer*innen im Zusammenhang mit dem Einsatz von Cookies zur Verfügung gestellt werden müssen, sind darüber hinaus Angaben zur Funktionsdauer der Cookies und dazu, ob „Dritte“ Zugriff auf die Cookies erhalten können.

Umsetzung in nationales Recht

Regelungen zum Einsatz von Cookies sind laut EuGH europaweit einheitlich zu gestalten und anzuwenden. Bislang war dies nicht klar, da die EU-Vorgaben im deutschen Recht nicht entsprechend verankert worden sind. Die Richtlinie sieht dabei generell ein Opt-In-Verfahren vor. Der deutsche Gesetzgeber sah die Cookie-Informationspflichten allerdings bereits durch § 15 Telemediengesetz (TMG) europarechtskonform umgesetzt. Das TMG ließ allerdings bislang eine Opt-Out-Lösung – im Gegensatz zu der entsprechenden Regelung der ePrivacy-Richtlinie – als ausreichend zu.

Der BGH entschied nun, dass § 15 Abs. 3 Satz 1 TMG (e-Privacy-) richtlinienkonform ausgelegt werden kann. Die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in „nicht unbedingt erforderliche“ Cookies könne aus Art. 15 Abs. 3 Satz 1 TMG abgeleitet werden. Weiterhin läge bei nicht erfolgter Einwilligung automatisch ein Widerspruch vor. Ferner besagt die BGH-Entscheidung, dass die richtlinienkonforme Auslegung – § 15 Abs. 3 TMG in Verbindung mit Art. 95 DSGVO – gegenüber den Regelungen der DSGVO vorrangig anzuwenden sei. Des Weiteren folgte der BGH auch den übrigen Vorgaben des EuGH bezüglich der Fragen, ob, wann und wie eine Einwilligung der Nutzer*innen einzuholen sei.

Im Zentrum steht dabei die Frage, ob die Speicherung von Informationen im Endgerät bzw. ein Zugriff darauf „unbedingt erforderlich” sind, um dem Nutzer eine von ihm gewünschte Dienstleistung anzubieten.

Was folgt daraus für Webseiten-Betreiber?

Für alle Cookies, die unbedingt erforderlich sind, bedarf es keiner wirksamen Einwilligung. Unter den „notwendigen Cookies“ müssen solche subsumiert werden, die im Interesse der Nutzer*innen liegen, wie zum Beispiel „Warenkorb-Cookies“ oder „Remember-Me-Cookies“.

Für alle Cookies, die nicht „unbedingt erforderlich“ sind, bedarf es einer wirksamen Einwilligung. Dabei müssen die Nutzer*innen selbst durch entsprechendes Setzen von Häkchen die Zustimmung erteilen und diese bestätigen. Daher ist zukünftig für alle Cookies aus den Bereichen Tracking, Analyse und Statistik eine Einwilligung durch den Webseiten-Betreiber einzuholen. Ein Cookie-Banner muss die Cookies blockieren, bevor der Nutzer oder die Nutzerin eingewilligt hat.

Als Fazit:

Als Fazit lässt sich festhalten, dass die umfangreichen Vorgaben im Zusammenhang mit Cookies, Tracking und der Dokumentation von Einwilligungen in der Praxis am sinnvollsten über so genannte Consent-Tools im Kontext mit einer rechtskonformen Datenschutzerklärung umgesetzt werden können.

Autorin des Beitrags

Dr. Stefanie Schneider

Dr. Stefanie Schneider

Security Consultant

Stefanie Schneider ist als Security Consultant (Fachgebiet Datenschutz) im Bereich „Mastering Risk and Compliance“ der TÜV Rheinland i-sec GmbH tätig. In Ihrer Funktion als externe Datenschutzbeauftragte (eDSB) berät sie verschiedene Unternehmen aus Produktion und Dienstleistung. Stefanie Schneider ist zertifizierte betriebliche Datenschutzbeauftragte (GDDcert EU), PC-Netzfachfrau und zertifizierte MCSE, MCPI und CNA.

Meist gelesene Beiträge

Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.