Der datenschutzkonforme Einsatz von Cookies gehört zu den größeren Herausforderungen des Marketings unter der Datenschutz-Grundverordnung (DSGVO). Wichtig ist vor allem, wie Websitenutzer ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten abgeben oder eben auch verweigern können. Am verbreitetsten sind dafür sogenannte Cookie-Consent-Banner. Doch wie müssen diese technisch und juristisch ausgestaltet sein?
Update: Mit Urteil vom 28. Mai 2020 hat der Bundesgerichtshof (BGH) endlich eine verbindliche Aussage zum Einsatz von einwilligungsbedürftigen Cookies abgegeben. Siehe dazu auch unsere Besprechung des Urteils.
Nach einer Vorlage an den EuGH kam der BGH nun zu dem Ergebnis, dass die Anforderungen an eine Einwilligung für die Speicherung von Cookies auf dem Endgerät des Nutzers nicht erfüllt sind, wenn vorangekreuzte Kästchen verwendet werden. Dies deckt sich mit unseren bisher abgegebenen Empfehlungen in diesem Artikel. Änderungen ergeben sich bei der rechtlichen Herleitung, weswegen der Beitrag diesbezüglich überarbeitet wurde und den nun geltenden strengeren Maßstab erläutert.
Grundlagen: Cookies und personenbezogene Daten
Durch das Setzten von Cookies – kleinen Textinformationen, die auf dem Gerät von Internetnutzern gespeichert werden – werden in der Regel personenbezogene Daten verarbeitet, da der Nutzer bzw. sein Endgerät dadurch individuell zuzuordnen ist. So zum Beispiel beim Tracking, also dem Nachverfolgen des individuellen Verhaltens von Nutzern. Die Individualisierung findet dabei durch die IP-Adresse, den Browserfingerprint oder andere dem Einzelnen zuordenbaren Kriterien statt. Deshalb ist der Anwendungsbereich des Datenschutzrechts eröffnet. Daneben gelten die Vorgaben der europäischen ePrivacy Richtlinie für Cookies, welche nach dem Urteil des BGH im Telemediengesetzt (TMG) umgesetzt sein sollen. Die dort zu findenden Regelungen sind für die Anwendung richtlinienkonform auszulegen.
Bisher galt: Während das Setzen von technisch notwendigen Cookies auf die Rechtsgrundlage des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt werden konnte, bedurfte es vor dem Setzen von technisch nicht-notwendigen Cookies des Einholens einer informierten Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO von dem Betroffenen.
Nach dem BGH-Urteil gilt das so ähnlich, jedoch wohl deutlich strenger: Eine Einwilligung ist für (fast) alle zu setzenden Cookies und auch für einen Zugriff auf bereits auf dem Gerät des Nutzers abgelegte Cookies einzuholen. Dies gilt nicht nur für zu Werbezwecken eingesetzte Cookies, sondern auch für Komfortfunktionen, wie die Speicherung von Präferenzen (Sprache o.ä.) und selbst dann, wenn es sich um nicht personenbezogene Cookies handelt. Denn der Regelungsumfang gilt über personenbezogene Daten hinaus für alle Cookies. Geschützt werden soll( neben den personenbezogenen Daten) vor allem auch die Selbstbestimmung, welche Dateien auf dem eigenen Gerät gespeichert werden dürfen.
Unter der jetzt geltenden Rechtsgrundlage ist immer noch zwischen technisch nicht-notwendigen und notwendigen Cookies zu unterscheiden. Welche Cookies jedoch als technisch unabdingbar akzeptiert werden, kann derzeit nicht rechtssicher beurteilt werden, da ein anderer, strengerer, Maßstab gilt. Dieser ist leider nicht genauer bestimmt. Wir raten deshalb zu einer konservativen Einordung. Zumindest sollte jetzt auch für Präferenzcookies eine Einwilligung geholt werden, die man davor noch unter das berechtigte Interesse sortiert hätte.
Mit Sicherheit kann die Aussage getroffen werden, dass nach wie vor Cookies, die für Zwecke des Trackings, der Analyse und Statistik oder sonstige werbende Maßnahmen, die nicht die grundlegende Zurverfügungstellung des Dienstes aus technischer Sicht betreffen, verwendet werden, einer ausdrücklichen aktiven Einwilligungserklärung bedürfen.
Es ergeben sich also für beide Fälle immer noch jeweils andere Rechtsfolgen:
- Bei Cookies, die technisch unabdingbar sind, muss vor dem Setzen lediglich informiert werden. Dafür reicht ein einfaches Cookie-Banner aus.
- Bei Cookies, die nur aufgrund einer Einwilligung gesetzt werden dürfen, muss nicht nur informiert, sondern auch die informierte Einwilligung eingeholt werden. Deswegen ist dann das einfache Cookie-Banner, welches nur informiert, nicht ausreichend. Stattdessen ist der Einsatz eines sogenanntes Cookie-Consent-Banners notwendig.
Ersterer Fall wird nun so gut wie nicht mehr vorkommen und Cookie-Consent-Banner werden noch verbreiteter einzusetzen sein.
Einwilligung nur durch eindeutig bestätigende Handlung
Die relevanten Normen ergeben sich aus der DSGVO und der europäische ePrivacy Richtlinie, welche in Deutschland durch das TMG Geltung findet.
“Exkurs zu den Rechtsquellen”
Immer wieder kommt es zu Unklarheiten aufgrund der verschiedenen Rechtsquellen im Datenschutzrecht. Insbesondere bezüglich Cookies haben hier auch immer wieder Änderungen stattgefunden, zuletzt durch das genannte BGH-Urteil. Deshalb soll hier für juristisch Interessierte ein kurzer Überblick gegeben werden.
Der momentane Stand Ende Mai 2020 sieht wie folgt aus: Die europäische ePrivacy-Richtlinie 2002/58/EG, 2009 ergänzt um die Regelungen zu Cookies durch die Richtlinie 2009/136/EG, trifft Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation. Als Richtlinie hat sie, anders als eine Verordnung (wie z.B. die DSGVO oder die in den nächsten Jahren erwartete ePrivacy-Verordnung), keine unmittelbare Regelungswirkung, sondern muss von den Mitgliedsstaaten der EU erst in Form von nationalem Recht im jeweiligen Land umgesetzt werden.
Die Geltungs- und damit auch Umsetzungspflicht wird durch das Erscheinen der DSGVO nicht berührt. Die Kollisionsregel in Art. 95 DSGVO regelt sogar ausdrücklich, dass soweit dasselbe Ziel verfolgt wird, die DSGVO keine zusätzlichen Pflichten zur Richtlinie auferlegt. Das heißt, nationale Regelungen, die auf der ePrivacy-Richtlinie basieren, werden nicht durch den Anwendungsvorrang der DSGVO verdrängt. Anders verhält es sich mit der alten Datenschutzrichtlinie 95/46/EG. Diese wurde am 25. Mai 2018 mit Anwendbarkeit der DSGVO aufgehoben.
In Deutschland ist jedoch die Umsetzung der ePrivacy-Richtlinie nicht wie vorgeschrieben erfolgt. Ein formeller Umsetzungsakt der ePrivacy-Richtlinie in der Fassung der Änderung durch die Richtlinie 2009/136/EG ist im 4. Abschnitt des Telemediengesetzes (TMG) nicht erfolgt. Insbesondere fehlt es an einem Umsetzungsakt für Art. 5 Abs. 3 der ePrivacy-Richtlinie im deutschen Recht insgesamt.
Bisher wurde überwiegend vertreten, dass auch keine richtlinienkonforme Auslegung möglich sei (BGH Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16 und der Final Report der EU-Kommission zur Studie über die Umsetzung der ePrivacy-Richtlinie).
Mit seinem Urteil vom 28. Mai 2020 hat der BGH jedoch eine richtlinienkonforme Auslegung proklamiert, und wendet die Vorschriften des TMG entsprechend an.
Bevor durch das Urteil des BGHs Rechtssicherheit geschaffen wurde, war umstritten, in welcher Art und Weise die Einwilligung einzuholen ist. Entsprechend hat sich die Methode verbreitet, Websitebesucher zu informieren und zu erklären, dass ihre Einwilligung als gegeben betrachtet wird, wenn sie die Website weiterverwenden.
Solche Banner, wie sie noch auf vielen Websites im Einsatz sind, sind nun definitiv nicht mehr konform und es besteht die Gefahr einer Abmahnung oder der Verhängung von Bußgeld.
Es bedarf eines Cookie-Consent-Banners, mittels welchem eine aktive Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO eingeholt wird. Darunter zu verstehen ist eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person ihr Einverständnis zur Datenverarbeitung unmissverständlich erteilt. Weitersurfen auf der Website kann keine solche aktive Einwilligung sein. Ebenso wenig ein bereits vorangekreuztes, abwählbares Kästchen (Opt-out). Das haben BGH und EuGH inzwischen sehr deutlich ausgeführt.
In Erwägungsgrund 32 DSGVO hat der Gesetzgeber dies auch ausdrücklich für den fraglichen Fall klargestellt: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen […] Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite […] geschehen“.
Des Weiteren gilt eine Einwilligung nach Erwägungsgrund 43 DSGVO auch dann nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann. Wenn bei Websites durch vorgeschaltete Abfragen eine Einwilligung eingeholt wird, müssen die einzelnen Verarbeitungsvorgänge daher gesondert anwählbar sein (so die DSK). Eine grobe Aufteilung nach Zweck, zum Beispiel in Tracking, Statistik, Präferenzen, etc. wird dabei aber genügen. Ansonsten würde bei der Verwendung vieler Cookies eventuell aufgrund der Menge und der oft kryptischen Bezeichnungen die Transparenz leiden.
Eine Einwilligung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Der Rückgriff auf eine andere Backup-Rechtsgrundlage, wie beispielsweise berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO ist aufgrund der gesetzlichen Regelung, wonach die DSGVO keine zusätzlichen Pflichten zur ePrivacy Richtlinie auferlegt, nicht möglich.
Praktische Umsetzung der Implementierung von Cookie-Consent-Bannern
Anforderungen an Cookie-Consent-Banner
Aufgrund der oben geschilderten rechtlichen Lage gibt es bei der Implementierung eines Cookie-Consent-Banners zusammengefasst folgende Punkte zu beachten, die sich durch das Urteil des BGH nicht grundlegend ändern:
- Es dürfen bis zur Erteilung der Einwilligung keine einwilligungsbedürftigen Cookies gesetzt werden. An diesem Punkt scheitern viele Websites. Ein rechtlich korrekter Text im Banner nützt nichts, wenn die technische Implementation nicht funktioniert.
- Die Annahme einer automatischen Einwilligung durch Scrollen, Navigation auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung stellt nie eine rechtskonforme Einwilligung nach DSGVO dar.
- Die betroffene Person muss vor Abgabe der Einwilligung über ihr Recht auf Widerruf der Einwilligung in Kenntnis gesetzt werden. Der Widerruf muss dabei genauso einfach möglich sein wie die Erteilung der Einwilligung.
- Die Cookies, für die eine Einwilligung eingeholt wird, müssen alle, wenn nicht schon im Banner, dann in der Datenschutzerklärung oder in einer Cookie-Richtlinie, auf die in dieser verwiesen wird, aufgeführt werden. Über die mittels der Cookies stattfindende Verarbeitung ist zu informieren.
- Der erforderliche Nachweis der Einwilligungserklärung erfolgt wiederum durch das Setzen eines notwendigen Cookies. Über das Setzen dieses Cookies ist zu informieren.
Inhalte von Cookie-Consent-Bannern
Aus diesen Anforderungen an ein Cookie-Consent-Banner ergibt sich dessen Inhalt. Dieser sollte umfassen:
- Einen ersten Hinweis auf den Zweck der Cookies, in deren Verwendung eingewilligt werden soll.
- Da sich der Einwilligungsmaßstab an der DSGVO bemisst, ein Hinweis auf das Widerrufsrecht gem. Art. 7 DSGVO
- Einen Verweis auf die Datenschutzerklärung, in der nähere Informationen Art. 13 DSGVO zu finden sind. Diese muss mit einem Klick erreichbar sein und es dürfen bei ihrem Aufruf noch keine technisch nicht notwendigen Cookies gesetzt werden.
- Eine Schaltfläche zum Erteilen der Einwilligung
- Eine Schaltfläche zum Verweigern der Einwilligung
- Eine Auswahlmöglichkeit der Cookies, in die Eingewilligt werden soll, nach ihrem Zweck. Die Auswahlkästchen dürfen nicht vorangekreuzt sein!
Daraus ergibt sich beispielsweise folgender Formulierungsvorschlag für das Cookie-Consent-Banner:
Diese Website verwendet neben technisch notwendigen Cookies auch solche, deren Zweck die Analyse von Websitezugriffen oder die Personalisierung Ihrer Nutzererfahrung ist. Ihre Einwilligung in die Verwendung können sie jederzeit hier widerrufen. Mehr Informationen zu den im Einzelnen eingesetzten Cookies und ihrem Widerrufsrecht erhalten sie in unserer Datenschutzerklärung.
Achtung: Bitte passen Sie den im ersten Satz genannten Zweck den tatsächlich verwendeten Cookies an. Hier ist der Regelfall abgebildet, der die Verwendung von Cookies für Statistiken und Marketing umfasst.
Nach dem oben schon viel zitierten BGH-Urteil sollten nun auch Präferenzcookies genannt und eine Einwilligung für diese eingeholt werden. Das würde im obigen Text unter „Personalisierung Ihrer Nutzererfahrung“ fallen.
Der Einwilligungsbutton sollte eine eindeutig erklärende Aussage beinhalten. Zum Beispiel „Ok. Ich bin mit der Verwendung einverstanden“ oder „Alle Cookies zulassen“. Die Verweigerung als Gegenstück könnte zum Beispiel lauten „Ich bin mit der Verwendung nicht einverstanden“ oder „Nur notwendige Cookies zulassen“. Die Cookies sollten für die Einwilligung nach unterschiedlichen Zwecken sortiert anwählbar sein.
Es besteht auch die Möglichkeit den Besuch der Website überhaupt nicht zuzulassen, wenn die Einwilligung nicht erteilt wird. Es gibt keine Pflicht eine cookiefreie Alternative bereitzustellen, sofern keine Abhängigkeit oder ein Monopol vorliegt (was der Fall wäre, wenn der Besucher keine Wahl hat, sondern die Seite aus irgendwelchen Gründen, wie zum Beispiel Alternativlosigkeit, besuchen muss). In den anderen Fällen könnte der Betroffene nicht frei entscheiden. Eine freiwillige Einwilligung im Sinne der DSGVO läge dann nicht vor.
Wahlmöglichkeit zwischen Cookies oder Bezahlung
Eine zumindest nach den österreichischen und niederländischen Aufsichtsbehörden zulässige Alternative ist die Auswahlmöglichkeit zwischen Einwilligung in die Verarbeitung und dem Erwerb eines kostenpflichtigen Zugangs, bei dem der Nutzer nicht getrackt wird. Ein Beispiel dafür ist die Website der Zeitung Der Standard. Diese verstößt nicht gegen das Kopplungsverbot und betrifft nicht die Freiwilligkeit der Erklärungsabgabe. Neben der kostenpflichtigen Alternative gibt es ja noch die Alternative, das Angebot nicht zu nutzen.
Eine Aussage deutscher Behörden oder Gerichte zu genau dieser Konstellation gibt es noch nicht. Jedoch zu der, was die Interessenslage angeht, ähnlichen Konstellation der Werbefreiheit nur gegen Bezahlung. Das BayLDA sagt in seinem Beratungs-FAQ, „die grundrechtlich geschützte, allgemeine Vertragsfreiheit erlaubt [es] den Vertragsparteien im Rahmen der Gesetze die Vertragsinhalte (Leistung und Gegenleistung) frei festzulegen. Wenn also das Vertragsangebot klar und deutlich dergestalt lautet, dass eine Leistung dann kostenfrei zur Verfügung gestellt wird, wenn der Kunde als seine Vertrags-Gegenleistung (‚Bezahlung‘) Werbung erlaubt, so ist dagegen datenschutzrechtlich nichts einzuwenden.“ Anders wäre dies wieder nur bei einer Monopolstellung oder anderweitigen Abhängigkeit zu beurteilen.
Hinweis zu kommenden Änderungen
Es sei darauf hingewiesen, dass es in den kommenden Jahren voraussichtlich erneut Änderungen geben wird. Zum einen durch die geplante, aber immer wieder verschobene, europäische ePrivacy-Verordnung. Zum anderen dadurch, dass der nationale Gesetzgeber das Telemediengesetzt überarbeiten möchte. Wir halten Sie selbstverständlich auf dem Laufenden.
Fazit: Cookies nur mit rechtskonformer Einwilligung
Wir wissen um die Schwierigkeit der Umsetzung. Für viele Unternehmen ist der Einsatz von Cookies wichtiger Bestandteil ihrer Internetpräsenz und das Einhalten der datenschutzrechtlichen Vorgaben kann eine deutliche Beschränkung ihres Geschäftsmodells darstellen. Wettbewerber, die sich nicht an die strengen Vorgaben halten, haben unter Umständen einen Vorteil vor denen, die sich rechtskonform verhalten.
Durch die nun ergangene höchstrichterliche Entscheidung gibt es keinen Spielraum mehr, bezüglich der Auslegung wie eine rechtskonforme Einwilligung auszugestalten ist.
Unsicherheit besteht aber noch darüber, für welche Cookies man eine Einwilligung zwingend benötigt. Da sich der Maßstab aber zum strengeren Verschoben hat, kann deswegen kein Unternehmen aufatmen, vielmehr sollte überprüft werden ob nicht noch mehr Einwilligungen eingeholt werden müssen als davor schon.
Ob dies in letzter Konsequenz zu mehr Datenschutz für den einzelnen Nutzer führt, bleibt abzuwarten. Die unter Umständen eintretende Auswirkung auf die Diensteanbieter jedenfalls bleibt nicht aus. Spannend ist demnach die Frage, ob dies ein Mittel zu mehr Selbstregulierung im Netz ist und ob hiermit auch negative Auswirkungen auf das Online-Angebot insgesamt einhergehen. Auch scheint es sich abzuzeichnen, dass von der Cookietechnologie in Zukunft immer mehr abgerückt wird. Ob die Alternativen dann für die betroffenen Personen wirklich besser sein werden oder gar nachteiliger, lässt sich noch nicht sagen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!