• Webdesign, WebhostingWebdesign, Webhosting, Internet - sketch

Der Einsatz von technisch nicht notwendigen Cookies ohne Einwilligung des Nutzers ist nun rechtswidrig, das hat das BGH am 28.05.2020 beschlossen. Es besteht daher dringender Handlungsbedarf für Webseitenbetreiber. In Deutschland müssen ab sofort technisch irrelevante Cookies vom Nutzer ausdrücklich bestätigt werden. Vorausgefüllte Informations-Pop-ups und Cookie-Banner, die den User nur darüber in Kenntnis setzen, dass Cookies gesetzt wurden, sind nicht mehr zulässig. Lesen Sie hier, was das im Klartext bedeutet, was Sie als Webseitenbetreiber beachten müssen und wie wir Ihnen helfen können.

Das erwartet mich in diesem Beitrag

Auf einen Blick: Rechtsverbindliche Folgen für Webseitenbetreiber

Die unionsweite EuGH-Richtlinie vom 01.10.2019 ist seit dem BGH Urteil vom 28.05.2020 in Deutschland rechtskräftig:

  • Websitebetreiber dürfen technisch nicht erforderliche Cookies (nur nach ausdrücklicher, aktiver Zustimmung des Websiten-Besuchers (Opt-in) setzen
  • Webseitenbetreiber können sich nicht mehr auf das Telemediengesetz (§ 15 Abs. 3 TMG) berufen, das besagt, dass Cookies ohne ausdrückliche Einwilligung gesetzt werden dürfen und der Hinweis darauf ausreiche (Opt-out)

Unverzügliche Pflichten von Seitenbetreibernausrufezeichen

  • Nicht technisch erforderliche Cookies
    (Tracking und Werbe-Cookies von Drittanbietern im Gegensatz zu für die Funktionen der Webseite notwendigen Cookies, wie Session-Cookies, Cookies für LogIns oder Warenkörbe) 
    erfordern eine ausdrückliche Einwilligung durch den User
  • Vor der ausdrücklichen Einwilligung des Nutzers dürfen keine Daten übertragen werden
  • Der Nutzer muss detailliert über die Cookie-Nutzung informiert werden (Welche Cookies werden gesetzt? An welche Dienste werden Daten übertragen?)
  • Informations-Pop-ups und Cookie-Banner, die den User nur darüber in Kenntnis setzen, das Cookies gesetzt werden und mit einem "OK" weggeklickt werden können, sind nicht mehr zulässig, da der User hinreichend über die Cookies und Ihre Relevanz informiert werden muss
  • Der User muss über Optionen verfügen, die es ihm jederzeit erlauben, seine Einwilligung zu widerrufen und die Cookie-Einstellungen rückgängig zu machen/anzupassen

Es ist offiziell: BGH schließt sich dem Urteil des EuGHs anparagraph

Der Einsatz technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers wird bereits seit 2014 heiß diskutiert. 

Seit dem 28.05.2020 steht es fest: Der BGH, als oberstes Gericht der Bundesrepublik Deutschland und damit letzte Instanz in Zivil- und Strafverfahren, unterstützt das Gerichtsurteil des EuGHs (Europäischer Gerichtshofs) vom 01.10.2019 und hat rechtsverbindlich beschlossen, dass eine Einwilligung für technisch nicht relevante Cookies in Deutschland obligatorisch ist (Az. I ZR 7/16).

Vor der Datenverarbeitung ist eine explizite Zustimmung des Users erforderlich. Das Opt-out Verfahren, bei dem Daten gespeichert werden, sofern der Betroffene dem nicht aktiv widerspricht, ist in Deutschland somit rechtswidrig.
Der Websitebetreiber ist verpflichtet, eine Opt-in-Abfrage zu integrieren, auch wenn es sich nicht nur um personenbezogene Daten handelt. Ausgeschlossen sind davon lediglich Cookies, die systemtechnisch notwendig sind, d. h. zwingend erforderlich sind, um die Website nutzen zu können. 
Opt-Out-Lösungen laut Telemediengesetz (TMG § 15 Abs. 3) müssen ab sofort unionsrechtskonform ausgelegt werden. 

Beispiel Opt-in

checkout Ja, Ich stimme der Verwendung von Cookies für die Zwecke der Werbeanalyse zu
Der Besucher muss aktiv seine Zustimmung geben

Beispiel Opt-out

checkin Ja, Ich stimme der Verwendung von Cookies für die Zwecke der Werbeanalyse zu
Der Besucher muss das Häckchen entfernen, um seine Einwilligung zu widerrufen

Hintergrund: Unionsrechtskonforme Rechtslage arrow left rihgt

Was ist nun anders?

Galt die Cookie-Einwilligungspflicht nicht schon seit dem Gerichtsurteil des EuGHs (Europäischer Gerichtshofs) am 01.10.2019

JA

Dass keine Daten ohne Einwilligung des Benutzers auf seinem Gerät gespeichert werden dürfen, geht bereits auf die Änderung von Art. 5 Abs. 3 Richtlinie 2002/58/EG im Jahre 2009 zurück:

„Die  Mitgliedstaaten  stellen  sicher,  dass  die  Speicherung von Informationen oder der Zugriff auf Informationen, die  bereits  im  Endgerät  eines  Teilnehmers  oder  Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teil­nehmer  oder  Nutzer  auf  der  Grundlage von klaren und umfassenden  Informationen,  die  er  gemäß  der  Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“

Der EuGH beschloss (auf Vorlage des BGH) mit dem Urteil vom 01.10.2019 (Az. C-673/17), dass alle Cookies, die für den Betrieb einer Webseite nicht notwendig seien, nach EU-Recht eine Einwilligung des Nutzers obligatorisch erfordern.

Dabei ging es nicht nur - gemäß der DSGVO - um personenbezogene Daten, sondern um Cookies im Allgemeinen, die nicht für das Funktionieren einer Website benötigt werden. Der zentrale Punkt ist die aktive Zustimmung, das Handeln des Users, also keine vorausgefüllten Felder, bei denen der User höchstens das Häkchen entfernen konnte.

ABER

Es handelt sich dabei um eine unionsweite EuGH-Richtlinie („Cookie-Richtlinie“ der EU). Diese Richtlinie, die eine obligatorische Einwilligung für Cookies durch den Webseiten-Nutzer vorsieht, wurde in Deutschland nicht ordnungsgemäß und eindeutig umgesetzt.
Zur Erklärung: EU-Richtlinien haben nicht den Status von gesetzlichen Bestimmungen, die Umsetzung blieb den den EU-Ländern überlassen. Man befand sich also bis dato in einer Art Grauzone, was die rechtlichen Folgen betrifft.
Denn die Cookies-Opt-In-Pflicht steht dem deutschen Telemediengesetz entgegen, das besagt, dass eine Opt-Out-Lösung für nicht technisch relevante Cookies ausreichend sei und nicht zwingend keine aktive Einwilligung durch den Nutzer erforderlich sei:

 Telemediengesetz (TMG § 15 Abs. 3):

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Die sich widersprechenden Aussagen boten viel Spielraum für abweichende Auslegungen - deutsche Vorschrift versus europäische Richtlinie.

Das Verfahren des BGH wurde wieder aufgenommen und es kam schließlich zum Urteil.
Alle Websitebetreiber, die nicht technisch notwendige Cookies ohne eine Opt-in-Lösung setzen, können sich nicht mehr auf Telemediengesetz berufen, da seit dem BGH Urteil eine unionskonforme Auslegung greift. 

Damit ist eine eindeutige rechtliche Grundlage einer Cookie-Einwilligungspflicht in Deutschland geschaffen.

Unionskonforme Auslegung des Telemediengesetzes: was heißt das?

Das überstaatliche Unionsrecht hat Vorrang, d. h. alle Instanzen der Mitgliedstaaten, vor allem Gerichte und Behörden, sind verpflichtet, nationales Recht im Sinne der Vorgaben des EU-Rechts - also unionskonform - auszulegen.
Somit kann das Telemediengesetz im Falle eines Rechtsstreits nicht mehr herangezogen werden.

Eine Opt-Out-Lösung für Cookies, die technisch nicht zwingend erforderlich sind, ist somit offiziell nicht mehr zulässig und rechtswidrig.

Support: Wir helfen Ihnenquestionmark

Wir unterstützen Sie gerne in diesem inzwischen schwer zu überschaubaren Irrgarten. Wir überprüfen Ihre Seite, schauen uns ihre spezifischen Funktionen und Cookies-Einstellungen an und übernehmen die Einrichtung von Cookie-Consent-Tools (und gegebenenfalls Matomo als Alternative zu Google Analytics) auf Ihrem Server oder helfen Ihnen bei der Umsetzung*. Kontaktieren Sie uns einfach oder nutzen Sie unser Formular!

Quellen:
https://www.it-recht-kanzlei.de/bgh-cookie-einwilligungspflicht-deutschland.html
https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

*Wir weisen explizit darauf hin, dass es sich dabei weder um eine Rechtsberatung noch eine Empfehlung für eine Auslegung geltenden Rechts handelt. Eine rechtliche Beratung dürfen wir nicht leisten.