BGH verlangt aktive Zustimmung zu Cookies - Opt-out erfüllt DSGVO-Vorgaben nicht
In einem Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (VZBV) und einem Anbieter von Online-Gewinnspielen hat nun auch der Bundesgerichtshof entschieden, dass es auf Websites nicht ausreicht, die Zustimmung zur Verwendung von Cookies über eine Voreinstellung (Opt-out) einzuholen.
Opt-in: Einwilligung in Cookies muss explizit und aktiv erfolgen
Damit die Einwilligung in den Umgang mit den Daten den Vorgaben der DSGVO entspricht, ist es laut BGH notwendig, dass die Einwilligung durch Besucher des Angebots explizit und aktiv, durch sog. Opt-in (nach us dem Englischen to opt for something, also optieren und sich für etwas entscheiden) erfolgen muss.
Es reicht daher nicht aus, einfach einen Hinweis auf die Cookies mit voreingestellter Aktivierung der Cookies zu verwenden, der lediglich durch Anklicken einer Schaltfläche anerkannt wird, stattdessen müssen die Nutzer des Angebots die Checkboxen zur Zustimmung zu den Cookies selbst aktivieren.
Begründung des BGH für eine aktive Auswahl der Cookie-Einwilligung
Eine wirksame Einwilligung setzt laut BGH gem. DSGVO immer voraus, dass sie informiert abgegeben und für den bestimmten Fall erteilt wird. Daher liegt nach Ansicht des BGH - und des EuGH - eine Einwilligung „in Kenntnis der Sachlage“ und „für den konkreten Fall“ nicht vor, wenn bei einer Werbeeinwilligung nicht klar werde, welche Produkte oder Dienstleistungen welcher Unternehmen die Einwilligung erfasst.
BGH folgt dem EuGH-Urteil zu Cookies
Mit dem Urteil folgt der Bundesgerichtshof einer Entscheidung des Europäischen Gerichtshofs, der sich schon im Herbst 2019 eindeutig festgelegt hatte, dass es einer aktiven Zustimmung durch die Website-Besucher bedürfe, um eine wirksame Einwilligung zur Verwendung der Cookies zu erteilen. Der BGH hatte den EuGH damals angerufen, um genau zu diesem jetzt entschiedenen Fall eine Klarstellung zu erhalten.
Ausnahme von dem Erfordernis einer aktiven Einwilligung
Eine Ausnahme von diesem aktiven Einwilligungserfordernis bezüglich der Speicherung von Informationen in den Endgeräten besteht nur insoweit, dass es zwingend erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst der Website zur Verfügung zu stellen.
Ein Tracking zu Werbezwecken oder zur Erstellung eines Nutzerprofils ist nicht zwingend erforderlich. Daher ist hierfür eine aktive Einwilligung mittels Opt-In erforderlich. Damit ist auch der Einsatz von Webanalsystools, die die Zusammensetzung der Besucher auf einer Website analysieren, nur mit einer aktiven Einwilligung möglich sein.
Das Urteil tangiert das Marketingmodell und den Datenhandel vieler Websites und stellt ihr Geschäftsmodell in Frage
(BGH, Urteil v. 28. Mai 2020, I ZR 7/16).
Reaktionen auf das Urteil:
Auf das wenig überraschende BGH-Urteil gibt erwartungsgemäß sehr unterschiedliche Reaktionen:
Erfreut zeigte sich etwa der VZBV, der diese Entscheidung als lange überfällig bezeichnete aber zugleich darauf hinweist, dass diese kundenfreundliche Auslegung nun auch auf europäischer Ebene verbindlich sein sollte. Dies könne über die lange überfällige E-Privacy-Verordnung geschehen.
Ebenfalls angetan von dem Urteil zeigte sich der Verband der Internetwirtschaft eco. In einer Stellungnahme begrüßt der Verband dabei insbesondere die durch das Urteil „endlich Klarheit und Rechtssicherheit im Umgang mit Cookies“ hergestellt sehen.
Kritik am Cookie-Urteil vom Branchenverband Bitkom
Völlig anders sieht man die Folgen des Urteils dagegen beim Branchenverband Bitkom. Sowohl für die Website-Besucher als auch die Website-Betreiber sieht man hier Nachteile. Den Website-Betreibern entstehe ein erheblicher Zusatzaufwand durch den Einbau zusätzlicher Formulare und Prozesse in ihre Angebote, aber auch die Seitenbesucher müssten sich nun durch zusätzliche Informationen arbeiten und umständlich Entscheidungen zu den Cookies fällen.
Hintergrund: Offene Fragen bleiben
Auch nach dem Urteil bleiben jedoch noch wichtige Fragen offen. So ist es etwa nach wie vor unklar, für welche Art von Cookies diese explizite Zustimmungspflicht gilt, und für welche Cookie-Varianten diese Vorgaben nicht gelten.
Vertreter der Wirtschaft wollen die Ausnahmeregelung für essentielle Cookies, die ausschließlich für die Funktion der Website benötigt werden, auch auf andere essentielle Cookies ausweiten, wobei sie auch solche Cookies umfassen sollen, die für das Geschäftsmodell der Website unabdingbar seien. Im Klartext heißt dies, dass auf werbefinanzierten Webangeboten auch solche Cookies, die zur Optimierung der Werbeinhalte verwendet werden und dazu etwa Surfprofile der jeweiligen Nutzer erstellen, nicht mehr unter diese strenge aktive Zustimmungspflicht fielen. Damit müssten dann die Besucher auch diesen Tracking-Cookies nicht mehr explizit zustimmen.
Speziell um diese Frage der expliziten Zustimmung zu den Tracking-Cookies geht es auch im Streit um die E-Privacy-Verordnung. Diese könnte nun im zweiten Halbjahr im Rahmen der deutschen EU-Präsidentschaft auf den Weg gebracht werden, sofern sich hier angesichts anderer anstehender und dringender Probleme wie dem Brexit oder der Corona-Pandemie noch eine Kompromisslösung finden lässt.
Auswirkung auf die Praxis:
Website-Betreiber, die auf ihren Angeboten immer noch die einfach gehaltenen Cookie-Banner ohne die Option zur aktiven Zustimmung verwenden, sollte spätestens jetzt handeln und die Cookie-Zustimmung an die Vorgaben anpassen, ansonsten drohen etwa Bußgelder aufgrund des dadurch begangenen Datenschutzverstoßes, aber womöglich auch Abmahnungen.
Position der Datenschutzkonferenz zur Einwilligungspflicht für Tracking-Cookies
Schon im letzten Jahr hatte die Datenschutzkonferenz mit einem Positionspapier für einiges Aufsehen gesorgt. Dieses Gremium, das sich aus den Datenschutzbeauftragten der 16 Bundesländer und dem Bundesdatenschutzbeauftragten zusammensetzt, erwartet demnach, dass bei der Nutzung von Tracking-Mechanismen in jedem Fall eine vorherige, informierte Einwilligung der Website-Besucher eingeholt wird. Lediglich solche Cookies, die für die Funktionalität der Website unbedingt erforderlich sind, seien von dieser Einwilligungspflicht ausgenommen.
Zusätzlich veröffentlichte die DSK eine Orientierungshilfe für Anbieter von Telemedien, in der diese Auffassung noch einmal bestätigt und näher erläutert wird. Demnach bleibt es bei der Pflicht zur Einholung der informierten Einwilligung für Tracking-Cookies.
Hohe Anforderungen an Umsetzung der Cookie-Hinweise
Damit eine informierte Einwilligung erfolgt, reichen nach Ansicht der DSK einfache Einblendungen mit entsprechenden Hinweisen nicht aus. In jedem Fall muss der Besucher tatsächlich eine Wahl haben, ob der die Nutzung dieser Cookies bzw. Tracking-Instrumente zulassen will oder nicht. Dazu gehört auch, dass er die Verwendung von Cookies, die nicht zwingend für die Website notwendig sind, gezielt deaktivieren kann.
- Als nicht geeignet bzw. unwirksam werden daher solche Cookie-Hinweise eingestuft, bei denen der Zugang zur eigentlichen Webseite zunächst über ein großes Browser-Fenster blockiert wird, das lediglich ein pauschales Akzeptieren aller Cookies durch Anklicken eines Buttons ermöglicht.
- Eine solche Einwilligung werde nicht freiwillig erteilt und sei daher unwirksam, begründen die Datenschützer ihre Auffassung.
- Als nicht ausreichend stuft die DSK auch einfache bzw. pauschale Formulierungen in Cookie-Hinweistexten ein. Der Hinweis, dass der Nutzer sich durch den Zugriff auf die Webseiten mit dem Setzen von Cookies einverstanden erklärt, erfüllt daher ebenfalls nicht den Anforderungen, die immer ausreichende Erklärungen zu den Cookies und eindeutige, bestätigende Handlungen wie etwa das Anklicken eines Kästchens voraussetzen.
Was erfüllt bezüglich der Tracking-Cookies die DSGVO-Voraussetzung?
Um die ausführlicheren Erläuterungen zu den Cookies nicht gleich auf der Startseite des Internetangebots geben zu müssen, kann dort auch ein Link zur Datenschutzerklärung oder einer separaten Cookie-Policy eingefügt werden, wo diese ausführlichen Informationen dann zu finden sein müssen.
- Werden auf den Webseiten mehrere Tracking-Cookies eingesetzt, müssen diese einzeln aufgelistet und entsprechende Informationen (z.B. die jeweiligen Betreiber und Funktionen) darüber gegeben werden. Zudem muss es den Nutzern möglich sein, bei jedem dieser Cookies einzeln zuzustimmen oder eben ihre Zustimmung zu verweigern. Erst nach der Zustimmung dürfen die Cookies gesetzt werden und die Datenverarbeitung somit erfolgen.
- Um zu verhindern, dass Nutzer bei jedem Aufruf der Website diese Entscheidung erneut treffen müssen, kann das Ergebnis dieser Cookie-Abfrage auf dem Endgerät des Nutzers gespeichert werden. Allerdings darf dazu keine User-ID verwendet werden, durch die der Nutzer eindeutig identifizierbar ist.
Die Einwilligung zur Nutzung von Tracking-Cookies kann jederzeit widerrufen werden. Die Website-Betreiber müssen daher in jedem Fall zusätzlich auch eine solche Widerrufsmöglichkeit implementieren. Der Widerruf muss dabei ebenso einfach durchzuführen sein wie die Zustimmung.
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.172
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.7342
-
Gerichtliche Ladungen richtig lesen und verstehen
1.635
-
Klagerücknahme oder Erledigungserklärung?
1.613
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.471
-
Wie kann die Verjährung verhindert werden?
1.400
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.368
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.305
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.136
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0461
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
-
Handelsregistervollmachten – Anforderungen und Umgang bei Rückfragen des Handelsregisters
12.11.2024
-
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
07.11.2024
-
Typisch stille Beteiligung an Kapitalgesellschaften – Unterschiede zwischen GmbH und AG
06.11.2024
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
05.11.2024
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024