Die Gerichte (EuGH und BGH) sind sich einig, dass Webseitenbetreiber eine aktive Einwilligung der Besucher benötigen, wenn sie Cookies setzen wollen. Diese Einwilligung muss vom Nutzer ausgehen, eine schon vorher ausgewählte Checkbox im Cookie-Banner genügt nicht. Was bedeutet das für Euch?
Die Verbraucherzentralen hatten den Anbieter Planet49 wegen einer schon vorangekreuzten Checkbox abgemahnt. Seitdem zog der Fall seine Kreise bis zum BGH, der den Fall dann für einige spezielle Fragen zum EuGH verweisen hat. Nach dem EuGH Urteil im Jahr 2019 war nun wieder der BGH als abschließende Instanz dran.
Welche Auswirkung hat das BGH-Urteil für die Cookie-Nutzung?
Übertragen auf Webseiten entschied der BGH, dem EuGH folgend, dass die bis dato häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” (oder ähnlich) nicht ausreichend sind.
Die Weiternutzung einer Webseite stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar.
Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich oder, was unklar bleibt, sie dienen nicht der Werbung und Marktforschung.
Wann sind Cookies für eine Webseite unbedingt erforderlich und einwilligungsfrei?
Der Einsatz unbedingt erforderlicher (auch als “notwendig”, bzw. “essentiell” bezeichneter) Cookies, bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies.
Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nie” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“. Als hinreichend sicher können die folgenden Cookies als notwendig betrachtet werden:
- Warenkorb-Cookies eines E-Shops;
- der Login-Status einer Community;
- die Sprachauswahl auf einer internationalen Webseite:
- Cookies, die eine Cookie-Einwilligung speichern;
- Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen.
Geht es in dem Urteil nur um Cookies?
In dem Urteil des EuGH, auf das sich der BGH stützt, wird zwar nur von Cookies gesprochen: “Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.”
Allerdings reicht das Urteil weiter und betrifft alle Technologien, die Daten auf den Devices der Nutzer speichern und auslesen ). Das betrifft aber auch z.b. Facebook-Pixel und andere Lösungen, die euch und Eure Kunden analysieren bzw. tracken.
Zur Vereinfachung wird jedoch von Cookies gesprochen
Daher macht es keinen Unterschied machen, ob die Webanalysesoftware Matomo mit oder ohne Cookies betrieben wird.
Wie kann eine wirksame Cookie-Einwilligung eingeholt werden?
Eine Cookie-Einwilligung kann im Moment nur mit sogenannten „Cookie-Opt-In-Bannern” eingeholt werden (auch Consent-Banner gennant.). Ebenso kommt eine Einwilligung im Rahmen eines Registrierungsvorgangs in Frage.
Die Einwilligung muss jedoch in allen Fällen ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen. Auch ein vorangehaktes Kontrollkästchen im Rahmen einer Registrierung ist unzulässig.
Wann ist eine Einwilligung transparent und informiert?
Geht man vom Urteil des BGH (entsprechend den Vorgaben des EuGH) aus, dann müssen die Nutzer über die folgenden Punkte informiert werden:
- Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden sollte.
- Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch solltet Ihr dies für die von Euch eingesetzten Dienstleister prüfen oder sie fragen. Anbieter von Cookie-Opt-In-Tools haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
- Identität der Dienstleister, die die Cookies verarbeiten: D.h., Ihr müsst die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Ihr solltet auch mitteilen, wenn die Cookies nur in Eurer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).
Ich selbst setze hier den Consent-Banner von Borlabs ein – hier der Link
Welche Folgen drohen bei Verstößen gegen die Opt-In-Pflicht
Wenn Ihr keine notwendigen Opt-Ins bereithaltet, drohen die folgenden Konsequenzen:
- Untersagungsverfügungen der Behörden.
- Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und zumindest einen Tagesumsatz betragen sollen).
- Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).
- Abmahnungen durch klagebefugter Organisationen (z. B. Verbraucherzentralle, Wettbewerbszentrale, etc).
- Abmahnungen durch von Mitbewerbern (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung).
Angesichts der verbleibenden Unwägbarkeiten wird es in vielen Fällen weiterhin bei einer Risikoabwägung bleiben.
Dagegen wird das Risiko als hoch zu bezeichnen sein, wenn Cookies zu Marketingzwecken und Profiling ohne Opt-In eingesetzt werden, bzw. die Cookie-Informationen und die Datenschutzerklärung unvollständig sind.
Checkliste:
- Notwendigkeit eines Opt-Ins: Ein Opt-In wird nicht benötigt, wenn Cookies (aus Nutzersicht) für ein Onlineangebot unbedingt erforderlich, also notwendig sind.
- Eindeutig notwendige Cookies: Als notwendig werden z. B. Cookies betrachtet, die sich den Warenkorbinhalt oder den Loginstatus merken.
- Komfortfunktionen: Aber schon bei Komfortfunktionen (z. B. Stelle bis zu der ein Video geschaut wurde) gehen die Ansichten auseinander.
- Reine Webanalyse: Auch bei reiner Webanalyse (z. B. mit eigenen Tools wie Matomo) ist die Notwendigkeit unklar, liegt jedoch zumindest nach der hier vertretenen Ansicht vor (auch bei Google Analytics mit abgeschalteten Marketingfunktion ließe sich die Ansicht vertreten, wobei Aufsichtsbehörden es anders sehen werden).
- Marketing: Bei Tools die Nutzerprofile zu Werebe- und Marketingzwecken erstellen (z. B. Facebook-Pixel), Conversions messen (z. B. Google Analytics bei Verknüpfung mit Werbekonto) ist eine Notwendigkeit nach derzeitigem Standausgeschlossen.
- Kopplungsverbot: Opt-In sollte keine Voraussetzung für den Zugang zu einer Website sein. Außer der Zugang ist nicht unbedingt erforderlich und es steht eine cookiefreie Alternative zur Verfügung (auch wenn sie kostenpflichtig sein sollte).
- Aktive Zustimmung erforderlich: Eine bloßer Hinweis “wenn Sie unsere Website nutzen, stimmen Sie Cookies zu”, ist nicht ausreichend. Nutzer müssen eine Schaltfläche aktiv klicken. Nach der hier vertretenen Ansicht, ist ein Klick ausreichend, wenn Nutzer auch einzeln Cookiegruppen (und optimal einzelne Anbieter) aus-, bzw. abwählen können (z. B. “Marketing”, “Komfort”, etc.).
- Einfache Ablehnung: Die Ablehnung von nicht erforderlichen Cookies sollte per Klick auf die Schaltfläche “Ablehnen” oder “Nur notwendige Cookies akzeptieren” möglich sein.
- Hinweis auf Einstellungs-/Widerrufsmöglichkeit: Schon im Cookie-Opt-In-Banner sollten Nutzer darauf hingewiesen werden, wo sie die Einstellungen ändern können (z. B. in der Datenschutzerklärung und im Fußbereich der Webseiten).
- Hinweis auf die Datenschutzerklärung: Weisen Sie die Nutzer auf weitere Informationen in der Datenschutzerklärung hin.
- Links zum Impressum, Datenschutzerklärung und ggf. AGB nicht verdecken: Es ist im Prinzip egal, wo Ihr das Opt-In-Banner platziert. Wichtig ist, dass die Links mit Pflichtinformationen nicht verdeckt werden
- Detailinformationen: Die folgenden Informationen zu den eingesetzten Cookies sollten am besten schon in einer Detailübersicht im Cookie-Opt-In-Banner vorhanden sein:
- Identität der Dienstleister, die die Cookies verarbeiten: Ihr müsst die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Ihr solltet auch mitteilen, wenn die Cookies nur in Eurer Verantwortung verarbeitet werden (z.B. bei Matomo).
- Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden kann. Die Datenschutzerklärung und das Impressum, sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein (Link zu den beiden am besten im Cookie-Banner platzieren).
- Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen.
Wenn Ihr Fragen habt oder Hilfe bei der Umsetzung braucht könnt Ihr euch gerne an uns wenden:
mail: help@macandyou.de
telefon: +49 (0) 2234-2026226Sei der Erste, der diesen Beitrag teilt
Schreibe den ersten Kommentar