Cookie BGH Entscheidung 2020 – FAQS

Um was geht es?

Bisher konnte man in Deutschland davon ausgehen, das Cookies auf Webseiten auf der Grundlage des §15 Abs. 3TMG gesetzt werden dürfen. Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Im Herbst 2019 hat der EuGH (EuGH, 1.10.2019 – C-673/17 “planet49”) bereits entschieden, das eine aktive Opt-In Pflicht für nicht notwendige Cookies besteht. Nun liegt per 28.05.2020 auch eine höchstrichterliche BGH Entscheidung (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II) vor, die die Meinung des EuGH auf nationaler untermauert. „Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.“

Bedeutet: Sofern der Nutzer vor Besuch der Webseite nicht konkret einwilligt, ist das Verwenden von nicht notwendigen Cookies ab sofort nicht mehr gestattet.

Was also als „notwendig“ und nicht notwendig“ erachtet wird müssen zukünftig die Gerichte entscheiden. Zudem bleibt noch die Hoffnung auf die e-privacy Verordnung, die hierzu ggf. auch noch korrigierend wirken kann.

Was sind notwendige Cookies?

Bisher existiert keine konkrete und eindeutige Reglung, was notwendige Cookies sind. Diese Frage wird sich in naher Zukunft durch gerichtliche Entscheidungen herausbilden müssen. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.

Nach einhelliger Meinung von Datenschutzexperten gelten die folgenden Cookies als notwendig:

Warenkorb-Cookies eines E-Shops
der Login-Status einer Community
die Sprachauswahl auf einer internationalen Webseite
Cookies, die eine Cookie-Einwilligung speichern
Cookies für Load Balancing (Lastenverteilung für Webseitenzugriffe)

Sämtliche anderen Cookies, die nicht den beschriebenen Leistungen dienen, sind somit nicht unbedingt erforderlich.

Was sind nicht notwendige Cookies?

Wie bereits erwähnt gibt es derzeit keine eindeutige Entscheidung hierzu. Jedoch kann davon ausgegangen werden, das jegliche Analyse- Tracking-, Marketing-, Profiling-, Reichweiten Cookies als nicht notwendig für den Betrieb und die Darstellung einer Webseite zu erachten sind.

Präferenz-Cookies (auch Komfort-Cookies) ermöglichen einer Webseite sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht, wie z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.

Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind.

Je nach individueller Lage ist es notwendig eine eigene Argumentationskette für das Setzen bestimmter Cookies aufzubauen.

Was gilt für Matomo, Google Analytics und Facebook-Pixel?

Matomo

Matomo hat den Vorteil, dass die Daten auf dem eigenen Server verarbeitet werden. Allerdings werden hierbei entweder Cookies oder Geräte-Fingerprints, die rechtlich gleich betrachtet werden, eingesetzt. Matomo (ehemals Piwik) ist heutzutage für Webseiten- Analyse als erforderlich anzusehen, sofern das Tool nicht für Marktforschung und Absatzförderung eingesetzt wird. Auf Grund der derzeitigen Lage wird die Einholung von „Cookie Opt-Ins“ empfohlen, es sei denn man baut eine klare und eindeutige Argumentationskette, warum der Einsatz von Matomo essentiell für den Betrieb der Seite wichtig ist.

Google Analytics

Bei Google Analytics kommt es zunächst auf die Einstellungen an.

Wenn Sie Universal Analytics nutzen, Analytics Audiences bilden oder eine Verknüpfung mit Ihrem Google Werbekonto besteht, dann ist die Nutzung von Google Analytics auf jeden Fall nicht notwendig.
Somit besteht Opt-In Pflicht.

Wenn Sie dagegen Google die Daten nur für Sie verarbeiten lassen (und diese Trennung tatsächlich erfolgt), dann wäre Google Analytics wie Matomo zu betrachten. Zwar ist es ein externer Anbieter, der jedoch mit Abschluss eines Auftragsverarbeitungsvertrages zusagt, die Besucherdaten so zu behandeln, als ob Sie die Verarbeitung selbst durchführen würden.

Datenschutzbehörden werden dies, erfahrungsgemäß anders sehen. Letztendlich hilft hier nur wieder ein Opt-In oder eine ausgefeilte Argumentationskette.

Facebook-Pixel

Da Facebook die Daten der Websitebesucher auch für eigene Werbezwecke nutzt und Nutzerprofile für Werbe- und Marketingzwecke bildet, scheidet eine Notwendigkeit aus und ein Opt-In ist unbedingt erforderlich.

Wie Sie sehen ist gerade der gesamte Webanalysebereich im Umbruch.

Es bleibt also abzuwarten, ob und wann sich die Verbraucherschutzzentralen ein „erstes Opfer“ raussuchen und es zu einer gerichtlichen Entscheidung kommt.

Wie immer im Datenschutz zählt die Dokumentation. Wenn also nachweisbar ist, dass man sich vorher explizit Gedanken zu dem Thema gemacht hat und im Rahmen einer risikobasierten Nutzenabwägung zu einer Entscheidung gekommen ist, die besagt das man GA-Analytics einsetzen kann, dann hat man gute Karten. Andernfalls sollte man lieber vorsorglich für dokumentierte Opt- In´s sorgen.

Wie hole ich eine wirksame Einwilligung ein?

Da die Einwilligung vor Besuch der Seite eingeholt werden muss, ist es nicht mehr ausreichend, dies in der Datenschutzerklärung zu tun. Vor Besuch heißt:

Vor Besuch heißt: Plakativ in der Mitte der Startseite durch Vorschalten eines Banners auf der Startseite.

Niemand wird ernsthaft in Erwägung ziehen, dass Nutzer hier noch eine Auswahl treffen. Jedoch besteht die Möglichkeit hierzu und darum geht es. Eine Gruppeneinwilligung ist möglich, es muss also nicht jeder einzelne Cookie akzeptiert werden.

Alle Cookies akzeptieren funktioniert nur, wenn nur die notwendigen/ essentiellen Cookies vorbelegt sind und die nicht notwendigen Cookies manuelle hinzugefügt werden können.

Die Schaltflächen für „Ablehnen“ und „Akzeptieren“ sollten immer gleich groß sein.

Farben sollten ebenfalls eindeutig sein. Sie sollten den Nutzer nicht wissentlich beeinflussen. Also Grün für akzeptieren und rot für ablehnen ist fragwürdig.
Entscheidung auf zweiter Ebene ist nicht eindeutig. Wenn der Nutzer sich erst durch Untermenüs klicken muss um zu einer Entscheidung zu gelangen, genügt dies nicht dem Transparenzgebot. Es sollte auf der ersten Ebene für den Nutzer möglich sein eine Entscheidung zu treffen.

Was ist mit eingebundenen Inhalten?

Wenn auf Ihrer Webseite „fremde Inhalte“ angeboten werden, muss für deren Darstellung oder Weiterleitung ebenfalls eine Einwilligung vorliegen. Hierbei reicht es jedoch vor der Weiterleitung/ Darstellung die Einwilligung einzuholen. Ebenso ist es zulässig eine Gruppeneinwilligung einzuholen.

Beispiel: Einbindung von Youtube Videos:

Beispiel: Text für die Datenschutzerklärung:

Dieses Video ist im erweiterten Datenschutzmodus von Youtube eingebunden, der das Setzen von Youtube-Cookies solange blockiert, bis ein aktiver Klick auf die Wiedergabe erfolgt. Mit Klick auf den Wiedergabe-Button erteilen Sie Ihre Einwilligung darin, dass Youtube auf dem von Ihnen verwendeten Endgerät Cookies setzt, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketingzwecken dienen können. Näheres zur Cookie-Verwendung durch Youtube finden Sie in der Cookie-Policy von Google unter https://policies.google.com/technologies/types?hl=de.

Muss ich die Datenschutzerklärung anpassen?

Unbedingt!
Denn neben der Verpflichtung zur Einholung von Einwilligungen, gibt es noch die Informationspflicht.
Die Datenschutzerklärung soll zum Einsatz verwendeter Technologien und Prozessen und Verarbeitern informieren und zudem die Wahrung von Betroffenenrechten ermöglichen (Recht auf Auskunft, Löschung, etc.). Zudem ist die Erklärung von Begrifflichkeiten (z.B. Remarketing, Tracking, etc.) erforderlich.

Muss ich dem Nutzer die Möglichkeit geben, die Cookie-Einstellungen zu ändern?

Ja, dem Nutzer muss jederzeit die Möglichkeit eröffnet werden, seine Meinung zu ändern und die entsprechenden Einstellungen anzupassen. Hierbei reicht es „Opt outs“ anzubieten. Dies kann auf zwei Arten erfolgen:

In der Datenschutzerklärung, oder

Im Footer der Webseite

Was ist der Stand zu der geplanten e-privacy Verordnung?

Bereits seit April 2016 wird über die e-Privacy-Verordnung diskutiert und man ist noch nicht zu einem verbindlichen Ergebnis gekommen. Im Januar 2017 hatte die EU-Kommission einen ersten Entwurf veröffentlicht.

Ursprünglich war geplant, dass e-Privacy und die DSGVO gleichzeitig in Kraft treten sollen. Von diesem Vorhaben hat man sich längst verabschiedet. Die EU-Mitgliedstaaten können sich seit Jahren nicht auf eine gemeinsame Linie einigen und haben zuletzt im November 2019 einen Kompromissvorschlag abgelehnt.

Es bleibt somit zu hoffen, dass sich die Gesetzgebung in naher Zukunft auf eine praktikable Lösung zum Einsatz von Cookies & Co. verständigt.

Schließlich fühlen sich mittlerweile 2/3 der Webseitennutzer von den Einwilligungsbannern „genervt“. 61% der Nutzer plädieren für eine zentrale Einwilligung.

Quelle: https://www.report-k.de/Wirtschaftsnachrichten/Digitalisierung/Mehrheit-von-Cookie-Hinweisen-genervt-130770 abgerufen 31.05.2020

Welches Risiko besteht bei Nichtanwendung?

Fakt ist, das sich Webseitenbetreiber ab sofort auf extrem unsicherem Terrain bewegen, wenn Sie die Einwilligungen für das Setzen von Cookies nicht nachweisen können. Insbesondere die Abmahnung durch Verbraucherschutzverbände halte ich in Zukunft für relevant. Webseiten bieten quasi ein Einfallstor, nicht nur für Hacker, sondern auch Abmahnungen, weil diese jederzeit öffentlich verfügbar sind und mittlerweile automatisiert ausgewertet werden können.

Untersagungsverfügungen der Behörden, verbunden mit Bußgeldern (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und zumindest einen Tagesumsatz betragen sollen).
Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urtei l zunehmen).
Abmahnungen durch klagebefugte Organisationen (z. B. Verbraucherzentrale, Wettbewerbszentrale, etc). Diese werden verstärkt von Musterfeststellungsklagen Gebrauch machen.
Abmahnungen durch von Mitbewerbern (derzeit jedoch noch unklar)

Was ist nun zu tun?

Nächste Schritte:

Entscheidung zum Einsatz eines Consent Management Tools, oder eigene Lösung
Prüfung aller Cookies, Webbeacons, Pixels auf der Webseite.
Klassifizierung der Cookies nach notwendig und nicht notwendig. Sofern keine Eindeutigkeit hierzu besteht, sollte eine risikobasierte Analyse vorgenommen und dokumentiert werden.
Prüfung der Datenschutzerklärung auf Benennung der einzelnen Verarbeitungen.
Schaltung eines Consent Banners zur Einholung von Einwilligungen, vor Besuch der Webseite.
Das Banner sollte nicht über dem Footer platziert sein, da es somit den Zugriff auf die Datenschutzerklärung und Impressum verändern würde
Das Banner sollte kein Pop-Up Fenster sein, welches u.U. nicht geladen wird, weil der Nutzer durch entsprechende Tools, oder Einstellung dieses verhindert.

Empfehlung: Der Einsatz von Consent Management Tools wie z.B. Cookiebot, Usercentrics CMP oder Borlabs Cookie, bieten die Möglichkeit, relativ einfach das automatisierte Management von Einwilligungen zu übernehmen. Zudem erhalten Sie vorab durch einen Scan einen Überblick über die Cookies Ihrer Webseite und eine automatisierte Zuordnung zu den einzelnen Cookie-Kategorien.

Cookiebot (DK) bietet eine CMS- unabhängige Lösung, die über Java-Script eingebunden wird. Zudem ist diese Lösung für eine Domain (bis 500 Seiten) kostenlos.

Borlabs (D) funktioniert nur für WordPress CMS.

Usercentrics CMP (D) eignet sich für „große“ Webprojekte, mit mehreren Seiten. Das Skript lässt sich direkt im Header, oder über den google Tag Manager einbinden.

Achtung: Nicht empfehlen würde ich, Anbieter oder Plugins die Ihren Sitz im nichtkonformen EU- Ausland haben. Hier wäre zunächst eine umfangreiche Prüfung des Anbieters erforderlich. Bitte sprechen Sie uns an, wenn Sie bei der Umsetzung, oder Entscheidung Hilfe benötigen.

Fazit und Ausblick

Es bleibt spannend an der Webfront. Mit den EuGH- und BGH Entscheidungen ist die Richtung vorgegeben. Was fehlt ist die lang angekündigte e-privacy Verordnung, die bestenfalls etwas Abhilfe schaffen wird. Derzeit bleibt nur, sich den Gegebenheiten anzupassen und für dokumentierte Opt-Ins zu sorgen.

Es ist davon auszugehen, dass sich technologisch die ganze Consent Diskussion zu dezentralen Regelungen hinbewegt, heißt, dass die gesamte Steuerung über browserbasierte Tools bei en Nutzern geregelt wird. Zudem gibt es erste Ansätze für „user paid advertising“, nach denen der Nutzer Geld für das Anschauen von Webseiten und Werbung bekommt oder auch für bestimmte Webseiten bezahlt (paywall, Cookie-Wall).

Beispiele:

Brave Rewards

“…..Users can choose to earn BAT by viewing advertisements which are displayed as notifications by the operating system of their computer or device. Advertising campaigns are matched with users by inference from their browsing history; this targeting is carried out locally, with no transmission of personal data outside the browser, removing the need for third-party tracking. In addition or alternatively, users can buy or sell BAT through Brave’s relationship with Uphold Inc., a digital currency exchange operator…..”

https://en.wikipedia.org/wiki/Brave_(web_browser) abgerufen 31.05.2020