Comp4U Ladeanimation

Dringender Handlungsbedarf nach BGH-Urteil: Cookies nur noch mit Einwilligung

Gestern hat der Bundesgerichtshof in Karlsruhe (BGH) endlich entschieden, wie mit der Speicherung von Cookies und den zugehörigen Einwilligungen umzugehen sei. Das Urteil wurde nicht nur von uns Datenschützern mit Spannung erwartet, sondern betrifft jeden Betreiber einer Website. Auch wenn die Urteilsbegründung noch fehlt, kann aus der Pressemitteilung bereits erkannt werden, welche weitreichenden Folgen die Entscheidung hat. Lesen Sie hier, was nun gilt und was Sie tun müssen.

Das wichtigste für unsere Datenschutz-Mandanten vorab: Wie bereits in unseren vorherigen Hinweisen angekündigt, sollten ab sofort Cookies auf Ihrer Website nur noch in Verbindung mit einem sog. „Consent-Tool“ verwendet werden. Es droht nun konkreter Ärger durch Aufsichtsbehörden, Abmahner und auch Nutzer, die ihre Persönlichkeitsrechte beeinträchtigt sehen. Allesamt nach diesem Urteil mit sehr guten Chancen auf Durchsetzung Ihrer Rechtsansprüche. Bitte prüfen Sie Ihre Websites.

Worum geht es, einfach gesagt? 

Es geht (nicht nur, aber vor allem) um die Frage, ob auf Webseiten Cookies mit oder ohne Einwilligung der Nutzer verwendet werden dürfen. Als symbolische „Gegner“ standen sich auf der einen Seite Nutzer und Verbraucherschützer und auf der anderen Seite die Webseitenbetreiber gegenüber.

Cookies sind kleine Textdateien, die ein Browser auf den lokalen PC eines Nutzers schreiben kann, um Informationen wiederverwendbar zu machen. Man unterscheidet Cookies vor allem danach, ob sie für den technischen Betrieb der Website notwendig sind - oder andere Zwecke haben. Vor allem auf die anderen Cookies kommt es an. Sie werden meistens für Marketingzwecke verwendet und dienen dazu, entweder das Benutzerverhalten zu analysieren oder Daten an Dritte weiterzugeben. 

Das neue BGH-Urteil geht auf einen Rechtsstreit aus dem Jahr 2013 zurück, den sogenannten „Planet49-Fall“. Es sollte geklärt werden, ob es als Einwilligung für das Setzen von Analyse-Cookies ausreicht, dem Nutzer eine Möglichkeit zum „Opt-out“ aus dem standardmäßigen Setzen von Cookies zu geben. Der BGH legte die Frage zur Klärung dem Europäischen Gerichtshof (EuGH) vor, denn hier konkurrierten deutsches und europäisches Recht. Der EuGH hatte daraufhin im Oktober 2019 entschieden, dass ein OptOut nun eben keine gültige Form einer Einwilligung im Sinne der europäischen Cookie-Richtlinie (ePrivacy-Richtlinie) sei und gab den Fall an den BGH zurück. 

Gestern nun das Urteil in Karlsruhe

Es dürfte keinen Beobachter wirklich überrascht haben, dass der BGH in seiner Entscheidung dem EuGH gefolgt ist. Im Urteil war vor allem auch eine Auslegung des in Deutschland immer noch als Richtschnur geltenden § 15 Abs. 3 Telemediengesetz (TMG) enthalten. Nach dieser rein deutschen Norm war die OptOut-Lösung für pseudonymisierte Profilerstellung zur Marktforschung erlaubt. Der BGH stellte nun fest, dass der diese Norm dahingehend richtlinienkonform auszulegen sei, (also in seiner Wirkung der europäischen ePrivacy-Richtlinie folgen muss), dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“  Das war eigentlich schon klar, es fehlte nur endlich die höchtrichterliche Entscheidung. 

Was bedeutet das nun für die Betreiber von Webseiten? 

Unternehmen müssen genau prüfen, ob und wie sie Cookies oder auch andere Tools (z.B. zur Reichweitenmessung) einsetzen und ob nun endgültig die Einwilligung der Nutzer einzuholen ist. Zumindest immer dann, wenn z.B. Google Analytics oder ähnliche Tools genutzt werden und daraus Informationen zu Benutzern, auch pseudonymisiert, verarbeitet werden, dringend angeraten, eine saubere Einwilligung zu erwirken - oder eben dafür zu sorgen, dass der Nutzer die Seiten auch ohne diese Tools benutzen darf. 

Eine erzwungene Zustimmung, z.B. per Cookiebanner, ist spätestens jetzt nicht mehr zulässig. Wenn Sie immer noch ein Banner auf der Webseite einsetzen, dass sinngemäß sagt „wenn Sie weitermachen, stimmen Sie der Verwendung unserer Cookies zu“, sollten Sie unmittelbar aktiv werden. Der Einsatz von sogenannten Consent-Tools, wie z.B. Cookiebot oder UserCentrics ist dringend angeraten. Wenn Ihre Website beim Aufruf gar keinen Hinweis auf Cookies bietet oder gar nur in einer "Datenschutzerklärung" (die so nicht heißen sollte) auf die Verwendung von Cookies ganz allgemein hinweist, dann besteht wirklich dringender Handlungsbedarf. 

Das hohe Risiko bei dieser Art von Verstößen ist, dass niemand erst mit Ihnen Kontakt aufnehmen muss, um sie festzustellen. Ihre Website kann von außen von jedem Nutzer auf die Verwendung von Cookies und Plugins geprüft und beurteilt werden.

Die Aufsichtsbehörden haben nun geeignete Rechtsgrundlagen an der Hand, um wirksam gegen Verstöße vozugehen - und das Strafmaß ist sehr hoch. Auch Abmahnungen von z.B. Verbraucherschutzverbänden sind nun nach § 15 TMG möglich, die Möglichkeit von Abmahnungen nach DSGVO wird gerade ebenfalls vom EuGH geprüft. Nicht zu unterschätzen ist außerdem das Recht von Nutzern einer Website, sich gegen die Verstöße gegen das Persönlichkeitsrecht zur Wehr zu setzen. 

Lesen Sie auch unsere Blogbeiträge zu Analytics und Co. nur noch mit Einwilligung sowie zum FashionID-Urteil des EuGH

Wie unterstützen wir Sie?

Sind Sie unsicher, wie Sie mit dem Thema umgehen sollen oder wissen Sie gar nicht, welche Plugins Ihre Website verwendet?

Sprechen Sie mit uns: Unsere Experten analysieren Ihre Website und prüfen die von Ihnen genutzten Tools. Wenn Veränderungen vorgenommen werden sollten, empfehlen wir Ihnen die geeigneten Schritte. Unsere Softwareentwickler und Webdesigner unterstützen Sie zum Beispiel bei der schnellen Installation eines Consent-Tools oder bei der Deaktivierung von ungeeigneten Tools. 

Wir sind Praktiker im Datenschutz, stellen Datenschutzbeauftragte, auditieren Ihre Managementsysteme und begleiten Sie auf dem Weg hin zum alltagstauglichen Datenschutz. Unsere zertifizierten Datenschutz-Auditoren und Datenschutz-Beauftragten freuen sich auf Sie: Jahrelange Erfahrung in der Umsetzung von wirksamen Datenschutz-Managementsystemen und praxisgerechte Unterstützung sind eine unserer echten Kernkompetenzen. 

Zertifizierte externe Datenschutzbeauftragte und Auditoren für Datenschutz arbeiten Hand in Hand mit unseren IT-Fachleuten. Mit erfahrenen IT-Security-Managern und -Auditoren stellen wir auch Ihre Informationssicherheitsbeauftragten im Rahmen unserer modularen Produktpalette ServicePLUS.

Nehmen Sie Kontakt mit uns auf und vereinbaren Ihre kostenlose Erstberatung!