Veröffentlicht am 28. Mai 2020

Wie bereits hier berichtet hat heute der BGH (Bundesgerichtshof) ein wegweisendes Urteil zur Benutzung von Cookies im Internet verkündet (Urteil vom 28.05.2020 – Az.: I ZR 7/16). Der deutsche Cookie-Sonderweg ist damit beendet. Im neuen Urteil hat der BGH die Rechtslage für das Setzen von Cookies verschärft. Seitenbetreiber sollten ihre Internetseiten und Cookie-Banner an die neue Rechtslage anpassen. Alle Internetseiten mit Webtrackern sind betroffen. Wir geben Auskunft, wie sich das Urteil auf die Webtracker auf Ihrer Internetseite auswirkt.

Website-Check: Rechtskonformes Cookie-Banner

Website Check hat bereits auf das BGH-Urteil reagiert und die Cookies als festen Bestandteil der Datenschutzerklärung aufgenommen. Zudem haben wir für WordPress ein rechtskonformes Cookie-Plugin entwickelt. Hier finden Sie diesbezüglich weitere Informationen.

Wie ist die neue Rechtslage nach dem BGH-Urteil?

Nach dem neuen BGH-Urteil ist das Setzen von Marketing- oder Webtracking-Cookies nur noch mit einer Einwilligung zulässig. Der BGH hat sich somit dem Urteil des EuGH (Urteil vom 01.10.2019 – Az.: C‑673/17) angeschlossen.
Seitenbetreiber müssen die Seitenbenutzer umfassend über die Cookies informieren. Nur dann kann der Seitenbesucher beim ersten Aufruf der Website entscheiden, ob er in die Speicherung von Cookies einwilligen will. Seine Entscheidung muss der Seitennutzer auch rückgängig machen können.
Ein Setzen von Cookies darf erst erfolgen, wenn der Seitennutzer auch korrekt eingewilligt hat.
Über das Sammeln dieser Daten und das Setzen von Cookies müssen Sie die Seitenbesucher ebenfalls aufklären, bevor durch Ihre Website Cookies gesetzt werden.
Nach dem Urteil des BGH ist eine Einwilligung nur noch dann korrekt erfolgt, wenn der Seitennutzer bei der Einwilligung die Vorgaben des BGH eingehalten hat.
Bezüglich des Setzens von Cookies müssen die Seitenbesucher aktiv in die Cookie-Nutzung eingewilligt haben. Die Einwilligung dürfen Sie nicht dem Seitennutzer vorausgefüllt präsentieren. Das bloße Bestätigen durch „OK“ reicht für eine zulässige Einwilligung nicht mehr aus. Es muss bestenfalls aktiv ein Häkchen gesetzt werden und danach mit „OK“ zugestimmt werden.
Auch nicht mehr erlaubt sind Cookie-Banner, die beim Klick auf OK einfach bei allen Cookies Häkchen setzen und Tracking anschalten bzw. das Tracking bereits beim ersten Seitenbesuch erfolgt ist.

Zwischenfazit

Sie benötigen ein korrekt funktionierendes Cookie-Banner. Tracking muss beim ersten Seitenbesuch ausgeschaltet werden, Tracking- und Marketing-Cookies noch nicht gesetzt werden. Das Cookie-Banner muss den Seitenbesucher mit den notwendigen Informationen zu seiner Cookie-Entscheidung versorgen. Danach muss das Cookie-Banner dem Seitenbesucher die Möglichkeit verschaffen in die Cookie-Nutzung aktiv einzuwilligen. Die Einwilligung darf nicht vorausgefüllt sein oder Informationen verschleiern.

Was sind Cookies und warum sind sie für das Webtracking so relevant?

Cookies sind Textinformationen zu einer bestimmten Internetseite, die im Browser des Seitenbesuchers gespeichert werden können. Beim Aufruf der Website kann der Cookie sowohl ausgelesen als auch neu gesetzt werden. Webtracker wie beispielsweise Google Analytics brauchen zwingend Cookies, um die Seitenbenutzer über Websites hinaus verfolgen zu können. Ihre IP-Adresse, unter der man Sie ebenfalls verfolgen kann, ändert sich nämlich von Zeit zu Zeit.
Wenn Sie beispielsweise auf einer Website waren, die Google Analytics benutzt, wird in Ihrem Browser ein Google Analytics-Cookie gespeichert. Gehen Sie gleich oder Tage später auf eine andere Website, die auch Google Analytics benutzt, kann auch dort wieder der zuvor gesetzte Cookie ausgelesen werden. Dadurch weiß Google Analytics, dass Sie derselbe Nutzer sind, der vor einigen Tagen auf der vorherigen Seite war.
Seitenbenutzer können sich nur vor dieser Verfolgung durch Löschen der Cookies schützen. Diese Daten können von Google zusammenführt werden. In individualisierter und anonymisierter Form werden sie dann dem Seitenbetreiber, der beispielsweise Google Analytics benutzt, angezeigt. Man kann Sie somit über Websites hinaus im Internet verfolgen, auch wenn sich Ihre IP-Adresse ändert. Durch die Synchronisation dieser Cookies mit Ihren anderen mobilen Geräten wie z.B. einem Smartphone erfährt der Webtracker weitere Informationen der Seitenbesucher.
Durch diese Informationen kann man Ihnen individuell auf Sie zugeschnittene Werbung anzeigen. Man kann Ihre individuellen Vorlieben gezielt mit Marketing-Kampagnen bewerben.

Welche Arten von Cookies sind vom BGH-Urteil betroffen?

Nach Ansicht des BGH sind alle Marketing-Cookies betroffen. Das sind alle Cookies, die auf einer Internetseite Webdienste nutzen, die den Nutzer z.B. über mehrere Websites/Domains hinweg analysieren.
Es sind auch Cookies, die zur Erstellung von Nutzerprofilen dienen, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll.
Webtools versuchen oft die Seitennutzer unter einer individuellen ID zusammenzufassen und die Interaktionen des Seitennutzers

Hierunter fallen folgende Cookies

  • Social-Media Plugins z.B. von Facebook (siehe Urteil des EuGH vom 29. Juli 2019, C-40/17),
  • Werbenetzwerke oder auch Analysetools wie Google Analytics, Google Tag Manager, Google GTag oder Universal Analytics,
  • Konfigurations-Cookies, die Webtools dazu dienen Benutzer-IDs zu erstellen und Informationen mit anderen Webtools auszutauschen (Stichwort Third-Party-Cookies),
  • Webtools, die einzelne Informationen über Seitenbesucher sammeln und an der Zusammenführung von Informationen unter einer ID mitarbeiten,
  • Cookies, die für die Funktion der Internetseite unerlässlich sind fallen derzeit nicht unter das BGH-Urteil (bekannt als essentielle oder notwendige Cookies).
  • Session-Cookies z.B. das Speichern der Waren im Warenkorb fallen nicht unter das BGH-Urteil

Problem: Eingrenzung der Cookies schwierig

Cookies dienen mitunter nicht einem einzigen Zweck. Viele Cookies helfen wirksame Seiteninhalte auf der Internetseite zu platzieren und die Website interessanter zu gestalten. Diese Cookies können jedoch auch gleichzeitig weitere Informationen über die Seitenbesucher sammeln.
Beispielsweise kann ein Captcha-Tool, das verhindern soll, dass Kontaktformulare zugespammt werden, auch gleichzeitig die Interaktionen des Seitennutzers unter einer ID zusammenfassen. Werden dann diese Informationen benutzt, um Informationen von Webtrackern zu verbessern, ist ebenfalls eine Einwilligung notwendig.

Wie generiert man als Webseitenbetreiber eine Einwilligung des Kunden?

Eine Einwilligung kann der Seitenbetreiber durch ein Cookie-Banner vom Kunden einholen. Das Cookie-Banner muss folgende Vorgaben erfüllen:

Inhaltliche Vorgaben

Den Seitenbesucher muss darüber informiert werden, welche Cookies gesetzt werden, wer die entsprechenden Daten erhält und zu welchem Zweck das Tracking erfolgt, sowie weitere Hinweise. Der einzelne Seitenbesucher muss dabei ohne weiteres verstehen können, worin er gerade einwilligt. Ein bloßer Hinweis darauf, dass die Cookies der „Webanalyse“ dienen, ist nicht ausreichend. Wichtig bei der Einwilligung im Rahmen der DSGVO ist zum einen, dass der Verarbeitungsvorgang klar und deutlich beschrieben wird. Im Cookie-Banner muss zwingend ein Hinweis erfolgen, dass die Daten an einen Dritten übertragen werden. Dieser ist namentlich zu benennen. Soweit Dritte die erhaltenen Daten zu eigenen Zwecken verarbeiten (z.B. bei Google Analytics), muss der Seitenbetreiber auch über diese Zwecke aufklären.
Klärt der Seitenbetreiber den Nutzer nicht vollständig auf, ist die erteilte Einwilligung unwirksam. Die Einwilligung selbst muss freiwillig erfolgen, dem Seitennutzer also eine echte bzw. freie Wahl ermöglicht werden. Der Nutzer muss auch die Möglichkeit haben, die Einwilligung zu verweigern. Eine solche Verweigerung darf jedoch nicht zum Nachteil des Seitenbetreibers gehen. Der Nutzer muss zudem über sein Widerrufsrecht aufgeklärt werden, wobei der Widerruf so einfach sein muss wie die Einwilligungserteilung. (vgl. Art. 7 Abs. 3 S. 4 DSGVO). Eine Checkbox an diesem Einwilligungstext, die nicht vorausgefüllt ist und den Seitenbesucher nicht zu falschen Entscheidungen verleitet, wäre hier also ratsam.

Technische Vorgaben

Die Einwilligung des Seitenbesuchers muss aktiv und freiwillig erfolgen. Dies bedeutet vor allem, dass die Zustimmung zur Verwendung der Cookies nicht vorausgewählt sein darf. Der BGH hat Vorgaben zu einer wirksamen Einwilligung mitgeteilt. Der Seitenbesucher muss aktiv ein Häkchen neben dem Einwilligungstext setzen. Es ist nicht zulässig, nur noch die Einwilligung mittels „OK“ zu bestätigen. Nicht mehr ausreichend ist es auch, dem Kunden nur ein Opt-Out (Widerspruch zur Datenerhebung; Widerruf der Einwilligung bei erfolgter vorheriger Einwilligung) anzubieten. Vor der Bestätigung der Auswahl durch den Seitenbesucher darf der Seitenbetreiber die entsprechenden Cookies nicht setzen und den Webtracker nicht starten.

Umfassende und aufklärende Datenschutzerklärung

Über die gesamte Datenübertragung sollte der Seitenbetreiber selbstverständlich in einer umfassenden Datenschutzerklärung informieren. Es muss auch darüber aufgeklärt werden, wie der Seitenbesucher nachträglich seinen Opt-Out vom Tracking erklären kann. Die Seitenbesucher müssen ebenfalls informiert werden, wie sie Cookies wieder löschen können. Kostenlose Datenschutzerklärungen erfüllen diese Hinweispflichten in der Regel nicht, da niemand für deren Richtigkeit haftet.

Folgeproblem: Cookie-Banner funktionieren in der Regel nicht korrekt

Bis zu dem Zeitpunkt der Bestätigung durch den Kunden darf der Webtracking-Cookie keinesfalls gesetzt werden.
Viele Cookie-Banner sind jedoch nur Einblendungen, die leicht weggeklickt werden können. Außer der Einblendung haben sie meistens keinerlei Funktion. Sie sorgen eher für Frust bei den Seitenbesuchern, ohne dass sie den Seitenbesucher bei seinen Datenschutzrechten unterstützen.
Das Cookie-Banner muss technisch zwei Funktionen erfüllen: Es muss vor der Einwilligung durch den Seitenbesucher das Setzen eines Cookies verhindern. Vor der Einwilligung darf der Webtracker also noch keine Daten sammeln. Dies muss das Cookie-Banner verhindern. Das Cookie-Banner muss auch in der Lage sein, den Cookie bei einem erfolgten Opt-Out wieder zu entfernen. Gleichzeitig muss es den Webtracker wieder abzuschalten.
Häufig sammeln Webtracker bereits beim ersten Aufruf der Website Daten über die Seitenbesucher. Dies ist auch nach dem Urteil des BGH unzulässig.
Das Löschen der Cookies und die Deaktivierung des Webtrackers ist technisch schwierig umzusetzen. Das Cookie-Banner muss in der Regel individuell für eine Website angepasst werden. Viele Cookie-Banner dürften derzeit nicht funktionieren, da sie nicht richtig konfiguriert sind. Das Cookie-Banner kann in der Regel auch nur bestimmte Webtracker steuern. Dennoch werden Cookie-Banner oft vermeintlich als DSGVO-konform beworben.

Faustformel – Funktioniert das Cookie-Banner auf meiner Website?

Laden Sie sich einen Ad-Blocker als Add-On für Ihren Browser herunter. Rufen Sie Ihre eigene Website mit Cookie-Banner auf. Schalten Sie das Cookie-Banner im Ad-Blocker frei. Sehen Sie nach, welche Webtracker Ihr Ad-Blocker blockiert hat. Sofern Ihre Webtracker (z.B. Google Analytics) blockiert wurden, obwohl Sie in Ihrem Cookie-Banner in nichts eingewilligt haben, dann funktioniert das Cookie-Banner nicht. Das Cookie-Banner hätte die Webtracker beim ersten Laden der Seite erstmal blockieren müssen.

Kann ich nicht weiter mit meiner Opt-Out Lösung (Widerspruchslösung) arbeiten?

Nach Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) war lange Zeit umstritten, ob das Telemediengesetz (TMG) und die darin beinhaltete Widerspruchslösung (Opt-Out) als (inoffizielle) Ausprägung der Datenschutzrichtlinie (DSRL) weiterhin bestehen bleibt. Die für Webtracker und Cookies einschlägige E-Privacy-Richtlinie wurde durch Deutschland nie in nationales Recht umgesetzt.
Der EuGH und auch der BGH hat in seinem Urteil jetzt eine klare Stellung bezogen und eine eindeutige Einwilligung gefordert. Eine bloße Widerspruchslösung als deutscher Sonderweg mangels eindeutiger gesetzlicher Regelung ist somit nicht mehr ausreichend.
Die im Rahmen des TMG entwickelte Widerspruchslösung (Opt-Out) ist nicht mehr ausreichend. Der Opt-Out muss jedoch nach der Einwilligung ebenfalls möglich sein.
Zudem will der deutsche Gesetzgeber das TMG weiter konkretisieren und an Reichweitenanalyse durch Webtracker anpassen. Auch hier werden wir Sie umfassend informieren.

Achtung bei ausländischen Anbietern, die per Webservice von fremden Servern eingebunden werden

Mittlerweile gibt es eine große Auswahl an Webtools mit Cookie-Banner-Funktion. Für alle unterschiedlichen Shopsysteme wie Shopware, Magento oder Websiten-CMS wie Word-Press oder Drupal gibts es diese Banner in unterschiedlichen Farben und Formen. Vor dem Kauf eines solchen Cookie-Banners können die Seitenbetreiber jedoch in der Regel die Funktion nicht prüfen. Ebenso werden die Dienste, die das Cookie-Banner anzeigen, häufig mit CDNs (Content Delivery Networks) weltweit übertragen.
Allein diese Übertragung nach außen ist bereits mit einer Art Webtracker gleichzusetzen. Der dahinterstehende Dienst des Cookie-Banners kann registrieren, wer die Seite besucht. Erklärt der Nutzer seine Entscheidung zum Tracking, wird diese Entscheidung wie bei Webtrackern durch ein Cookie gespeichert. Auch dieser Cookie kann natürlich websiteübergreifend von Cookie-Bannern desselben Anbieters auf anderen Websites ausgelesen werden.
Das Cookie-Banner kann somit die Seitennutzer durch Auslesen des Cookies mit der Nutzerentscheidung ebenfalls über Websites hinaus verfolgen. Die Anbieter von Cookie-Bannern können ihren Kunden so jedoch regelmäßige Updates versprechen. Grundsätzlich empfehlen wir hier das Hosting des Banners direkt auf dem eigenen Server.
Wir werden in einem späteren Beitrag gezielter auf die Cookie-Banner eingehen.

Google Analytics

Insbesondere bei der Verwendung des bekannten und beliebten Trackingtools Google Analytics sollte eine ausdrückliche Einwilligung eingeholt werden. Das Tool wird sehr vielfältig eingesetzt und steht auch unter entsprechender Beobachtung der Landesdatenschutzbehörden.
Auch Google selbst sieht die Notwendigkeit einer Einwilligung. In den AGB zu Google Analytics fordert Google, dass der Seitenbetreiber selbst „dazu verpflichtet ist […] sicherzustellen, dass ein Besucher transparente, umfassende Informationen über das Speichern von und das Zugreifen auf Cookies […]“ (Datenschutzerklärung) zu geben hat und „dass sich der Besucher damit einverstanden erklärt […] und das Einholen eines solchen Einverständnisses“ sicherstellt.
Ein Webtracking durch Google Analytics ohne ausdrückliche Einwilligung ist deshalb abmahngefährdet bzw. bußgeldbewehrt.

Einwilligung in die Cookies versteckt in den AGB oder Nutzungsbedingungen?

Dem Kläger steht nach dem neuen Urteil jetzt ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Absatz 1 Satz 1 und Absatz 2 Nummer 1 BGB zu. Das Tracking ohne korrekte Einwilligung stellt nach dem Urteil des BGH eine unangemessene Benachteiligung dar. Damit ist eine entsprechende Klausel anhand der AGB-Kontrolle unwirksam. Die Verwendung von Cookies darf nicht mehr in den AGB versteckt sein. Auch das Verstecken in Nutzungsbedingungen ist damit nicht mehr möglich. Ein nicht rechtskonformes Cookie-Banner bietet daher das Risiko potentieller Abmahnungen durch Konkurrenten und Abmahnvereine. Zudem droht auch ein Bußgeld durch die Landesbeauftragten für den Datenschutz. Diese können sich jetzt sowohl auf das EuGH-Urteil als auch auf das neue BGH-Urteil stützen.

Gibt es Alternativen, für die ich keine Einwilligung brauche?

Einige Analysetools lassen sich durch den Seitenbetreiber auf einem eigenen Server installieren. Selbst gehostete Analysetools wie Mamoto (ehemals Piwik) können so eingestellt werden, dass diese keine Daten an Dritte übertragen. Durch die datenschutzrechtskonforme Konfiguration (Anonymisierung etc.) ist kein Cookie-Banner erforderlich.
Der LDI BW sieht -bei datenschutzfreundlicher Einstellung- das Tracking Tool Matomo (https://matomo.org/) als eine datenschutzkonforme Lösung an. Auch andere Analysetools sind denkbar.

Fazit

Sofern man im Bereich der „Reichweitenanalyse“ und der Online-Werbung Daten an Dritte übermittelt, benötigt man nach Ansicht des BGH und auch des EuGH ein rechtskonformes Cookie-Bannerjetzt auch in Deutschland. Das Cookie-Banner muss sicherstellen, dass der Nutzer erst nach aktiver Auswahl der für ihn relevanten Cookies durch den Seitenbetreiber getrackt wird. Wichtig ist, dass eine aktive Einwilligung eingeholt wird.
Das neue Urteil des BGH hat jetzt unmittelbare Auswirkungen auf Websites, die dem deutschen Recht unterfallen.
Bei der textlichen Ausgestaltung der Einwilligung raten wir dringend dazu, sich rechtlich beraten zu lassen.
Ebenfalls raten wir dringend dazu, eine umfassende Datenschutzerklärung auf der Website aufzunehmen.

Finale Entscheidung des BGH Cookies jetzt nur noch mit korrektem Cookie-Banner möglich

 

Author
Thomas Hess
Thomas Hess ist wissenschaftlicher Mitarbeiter in der IT-Recht Kanzlei DURY. Herr Hess ist spezialisiert auf Online-Shop Recht und rechtssichere Internetseiten.

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte. Fordern Sie Ihre kostenlose Ersteinschätzung an!