Entscheidungen des EuGH und BGH zu Verwendung von Cookies
Nach der wegweisenden Cookie-Entscheidung des EuGHs vom 01.10.2019 (Az. C-673/17) über den korrekten Umgang mit Cookies hat nun auch der BGH am 28.05.2020 in dieser Sache geurteilt und so für mehr Klarheit im Umgang mit Cookies auf Webseiten gesorgt.
Bisher in Deutschland
Art. 5 Abs. 3 der ePrivacy-Richtlinie von 2009 forderte schon immer eine explizite Einwilligung des Webseitennutzers in die Verarbeitung seiner Daten durch Cookies. Diese Richtlinie wurde in Deutschland jedoch nie richtig umgesetzt, da man der Auffassung war, dieses Thema durch die Regelungen des Telemediengesetzes (TMG) ausreichend zu regeln. § 15 Abs. 3 TMG forderte lediglich eine „Opt-out“-Möglichkeit, d.h. der Nutzer widersprach der Verarbeitung seiner Daten durch die Verwendung von Cookies durch Anklicken eines vorangehakten Kästchens (Opt-out). Dieses Vorgehen bietet dem Seitenbesucher aber keine echte Wahlmöglichkeit. Vielmehr war es so, dass „OK“ angeklickt wurde, um das „nervige“ Cookie-Banner aus dem Weg zu räumen, um ungestört weiter surfen zu können. Und schon konnten die Daten des Nutzers verarbeitet werden. Eine wirkliche Einwilligung sieht anders aus.
Kritik an deutscher Umsetzung
An der deutschen Umsetzung zum Umgang mit Cookies auf Webseiten wurde lange Zeit Kritik geübt. In Deutschland wollte man allerdings die ePrivacy-Verordnung abwarten, die für eine klare Regelung sorgen sollte. Diese sollte zusammen mit der DSGVO im Mai 2018 in Kraft treten, ist allerdings noch immer in Verhandlung . Allerdings hat der EuGH mit seiner Entscheidung im Oktober 2019 den deutschen „Sonderweg“ abgebügelt. Die Entscheidung des EuGHs stellt eindeutig klar, dass der Seitenbesucher aktiv in die Verarbeitung seiner Daten durch nicht notwendige Cookies einwilligen muss, etwa durch Setzen und eben nicht durch Wwegklicken eines vorgesetzten Häkchens. Der BGH folgt mit seinem Urteil in dem Fall jetzt wenig überraschend der Linie des EuGHs.
Datenschutzrechtlich konforme Nutzung von Cookies
Beide Entscheidungen spiegeln im Wesentlichen die Empfehlungen der SiDIT GmbH zur DSGVO-konformen Anpassung von Cookie-Bannern und Cookie-Einstellungen wider. Diese sind hier noch einmal zusammengefasst:
1. Welche Cookies werden verwendet?
Cookies sind kleine Textdateien zur Erkennung von Nutzern, die im Browser auf dem Computer des Seitenbesuchers gespeichert werden.
Man unterscheidet grundsätzlich zwischen technisch notwendigen Cookies und nicht notwendigen Cookies (bspw. Marketing- oder Retargeting-Cookies). Bei technisch notwendigen Cookies ist keine Einwilligung des Seitennutzers notwendig. Es muss lediglich auf die Verwendung dieser Cookies unter Aufzählung der Namen der Cookies, der Lebensdauer, der Beschreibung und des Herausgebers hingewiesen werden, bspw. in der Datenschutzerklärung.
Bei der Nutzung von technisch nicht notwendigen Cookies muss neben der Belehrung immer die Einwilligung des Seitennutzers über ein Cookie-Banner eingeholt werden.
2. Wie muss ein datenschutzkonformes Cookie-Banner gestaltet sein?
Generell gilt, dass spätestens jetzt eine implizierte Einwilligung, zum Beispiel durch weitere Nutzung der Webseite, nicht mehr zulässig ist. Ebenfalls nicht ausreichend ist ein simpler „OK“-Button zum Einholen der Einwilligung.
2.1 Freiwilligkeit
Gem. Art. 4 Nr. 11 DSGVO muss eine Einwilligung freiwillig, für einen bestimmten Fall, auf Basis umfassender Informationen und eindeutig sein. Aus diesem Grund ist es sinnvoll, dem Nutzer einer Internetseite im Cookie-Banner verschiedene Kategorien von Cookies (bspw. Analyse-, Marketing, Targeting-Cookies, etc.) und deren Zweck aufzuzeigen. Bereits an dieser Stelle sollte über alle verwendeten Cookies und/oder Anbieter von Cookies informiert werden. Es muss sichergestellt werden, dass der Nutzer über die Identität der anderen Dienstleister informiert wird, die ebenfalls Zugriff auf die Inhalte der Cookies haben.
Um die Freiwilligkeit der Einwilligung zu gewährleisten, ist auf jeden Fall zu beachten, dass keine vorangekreuzten Kästchen im Cookie-Banner auf Webseiten genutzt werden. Vielmehr setzt die Einwilligung des Seitennutzers zur Verarbeitung seiner personenbezogenen Daten durch die Verwendung von Cookies ein aktives Tun voraus. Er muss also selbst Häkchen setzen können und somit bewusst entscheiden können, für die Verwendung welcher Cookies er seine Einwilligung geben möchte.
2.2 Kopplungsverbot
Außerdem darf die Nutzung der Seite nicht von der Einwilligung in die Verwendung von Cookies abhängig gemacht werden. Lehnt der Seitennutzer also die Verarbeitung von personenbezogenen Daten durch Cookies ab (er setzt also kein Häkchen in den entsprechenden Kästchen des Cookie-Banners), muss er die Website dennoch benutzen können.
3. Lebensdauer von Cookies
Der Nutzer muss auch über die Nutzungsdauer der Cookies informiert werden. In der Regel ist bei Marketing-Cookies eine Lebensdauer von 24 Monaten voreingestellt. Hier müssen bei den jeweiligen Anbietern Erkundigungen eingeholt werden, wie lange die Lebensdauer tatsächlich ist und die Informationen dementsprechend angepasst werden.
4. Änderung der Cookie-Einstellungen
Wichtig ist vor allem auch, dass der Nutzer seine Cookie-Einstellungen jederzeit einfach ändern kann. Hierzu empfiehlt es sich, einen Link direkt aus dem Footer der Seite (bspw. direkt neben dem Link zur Datenschutzerklärung) einzufügen, der zu den Cookie-Einstellungen führt. Dort sollte der Nutzer dann die Möglichkeit haben, seine Einstellungen einfach und unkompliziert verändern zu können. Des Weiteren sollte auch in der Datenschutzerklärung selbst ein Link vorhanden sein, über den der Nutzer seine Cookie-Einstellungen ändern kann.
5. Beispiel für ein DSGVO-konformes Cookie-Banner
Der SiDIT GmbH liegt es am Herzen, auch bei der praktischen Umsetzung zu unterstützen und Lösungswege an die Hand zu geben. Deswegen war die SiDIT GmbH an bei der Gestaltung und Implementierung eines datenschutzkonformen Cookie-Banners involviert. Der Vorteil dieser Lösung ist, dass dieses Cookie-Banner datenschutzrechtlich geprüft wurde und darüber hinaus das Banner inhaltlich auf neue Entwicklungen in der Gesetzgebung und Rechtsprechung immer wieder überprüft und aktualisiert wird. Überdies funktioniert der Banner als Multitool auf allen gängigen Anbietern (wordpress / Joomla / Typo3 / shopify etc.).
Fazit
Die Entscheidung des BGH sorgt bei Webseitenbetreibern, die bis dato in ihren Cookie-Bannern lediglich eine Opt-Out-Option eingebaut hatten, für einen enormen Aufwand. Webseiten müssen jetzt dringend daraufhin überprüft werden, welche Cookies verwendet werden und ob diese tatsächlich alle notwendig sind. Cookie-Banner und die Cookie-Einstellung sowie die Datenschutzerklärung müssen entsprechend angepasst werden.
Weiterführende Linkshttps://www.cookie-banner-dsgvo.de/
[…] muss. Die bis zu diesem Zeitpunkt gelebte Praxis des Opt-out wurde für rechtswidrig erklärt. Wir berichteten an dieser Stelle bereits […]