JOWECON GmbH

BGH Cookie-Urteil: Jetzt muss jeder handeln

/in , , /von
Richtungsweisendes Urteil des BGH zur Zustimmung von Cookies vom 28.05.2020

BGH-Urteil zum Cookie-Einsatz setzt die aktive Einwilligung des Nutzers voraus

Warum diese Entscheidung für jeden Betreiber von Internetseiten wichtig ist, wieso sie dennoch Fragen offenlässt und teilweise schon wieder überholt ist, wollen wir Ihnen in diesem Blogbeitrag erläutern.

Richtungsweisendes Urteil des BGH zur Zustimmung von Cookies

Die Sache hat nun definitiv einen Haken: Bis auf Deutschland hatten alle EU-Staaten die seit 2009 geltende Cookie-Richtlinie umgesetzt. Hier hat man sich bis heute auf das Telemediengesetzt (TMG) von 2007 berufen, welches auch nach drei Anläufen nicht überarbeitet wurde. Mit dem Urteil des Bundesgerichtshofs (BGH) erteilt dieser nun einer voreingestellten Zustimmung zu Cookies eine klare Absage. Nutzer müssen jetzt bei Cookies aktiv zustimmen. Damit sind die meisten derzeit eingesetzten Cookie-Banner in Deutschland unzulässig.

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 28.05.2020 (Rechtssache I ZR 7/16) entschieden, dass die Online-Werbewirtschaft und alle Betreiber von Internetseiten das Surf- und Konsumverhalten von Nutzern durch den Einsatz von Cookies nur dann nachverfolgen dürfen, wenn die Nutzer zuvor aktiv eingewilligt haben. Damit folgte der BHG der Argumentation des Europäischen Gerichtshofes (EuGH) vom Oktober 2019 (Rechtssache C‑673/17). Die Hintergründe haben wir in einem separaten Blogbeitrag beschrieben.

Ein einfacher Cookie-Banner reicht nicht aus

Dies bedeutet laut Aussage des Zivilsenates, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt. Nicht zulässig ist auch ein heutzutage oft eingesetzte Cookie-Banner, welches auf die Verwendung von Cookies auf einer Website mit einem Begleittext hinweist. Dieser Text beinhaltet in etwa, dass das Weitersurfen auf der Website einer Einwilligung entspricht.

Cookies setzten Transparenz und die aktive Einwilligung voraus

Die Richter haben klargestellt, dass sie das geltende Telemediengesetzt (TMG) nach der Datenschutzgrundverordnung (DS-GVO) ausgelegt haben. Das Urteil bedeutet, dass sich Internetbetreiber nicht mehr auf die Widerspruchslösung des TMG berufen können und Nutzer nun stattdessen ihr explizites Einverständnis geben müssen. Die Einwilligung fehlt schon dann, wenn ein Kästchen für eine Einwilligungs-Abfrage schon vorangekreuzt ist. Dies war auch der Hintergrund für den vom BGH zu beurteilendem Fall der Klage des Bundesverbandes der Verbraucherzentralen (VZBV) aus dem Jahr 2013 gegen den Adresshändler Planet 49. Gleichzeitig müssen die Nutzer genau darüber informiert werden, was mit ihren Daten passiert, also ob sie z.B. für statistische Zwecke verwendet oder aber an Werbetreibende (Dritte) weitergegeben werden.

Praxisrelevanz: Die Folgen des BGH-Urteils für den Einsatz von Cookies

A) Wird das Telemediengesetzt (TMG) nun geändert?

Davon ist derzeit wohl nicht auszugehen, denn das Urteil des BGH ist keine Aufforderung an eine Gesetzesänderung. Stattdessen beruft sich das Gericht auf eine richtlinienkonforme Auslegung der nationalen Norm, in diesem Fall ist § 15 Abs. 3 Satz 1 TMGbetroffen. Die richtlinienkonforme Auslegung besagt, dass bei mehreren Auslegungsmöglichkeiten eines Gesetzestextes diejenige genommen wird, die am besten dem europäischen Recht zur Geltung verhilft. Dies ist in diesem Fall Art. 5 Abs. 3 der RL 2002/58/EG.

B) Kommen nun die Bußgelder?

Das Urteil betrifft alle Betreiber von Internetseiten und es bricht eine Lanze für die DS-GVO. Damit ist es für Landesdatendatenschutzbehörden sehr einfach Ihre Webseite zu überprüfen und ggf. ein Bußgeld zu verhängen.

C) Sind nur Cookies betroffen?

Neben den Cookies gibt es auch weitere Möglichkeiten zur Nachverfolgung von Nutzern, wie z.B. Fingerprinting, Pixel, Tags oder auch Web-Beacons. Aktuell liegt noch nicht das abschließende Urteil vor, sondern nur die Pressemitteilung. Es kann aber davon ausgegangen werden, dass auch andere Technologien davon betroffen sind.

D) Hat es Konsequenzen für die Werbewirtschaft?

Davon ist wohl auszugehen. Durch den Einsatz von Cookies lassen sich Nutzerprofile erstellen, denn sie enthalten Hinweise über den Nutzer und dessen Hard- und Software. Natürlich sollen die Cookies auch die Navigation im Webbrowser erleichtern. Sie dienen aber auch dazu, dass die Besucher einer Internetseite wiedererkannt werden. Auf professionellen Seiten werden oft mehr als 100 Cookies eingesetzt. Damit kann dann Werbung gezielter gesetzt werden, was wiederum den Preis für Werbung steigen lässt. Der Ablauf ist wie folgt: Ruft ein Nutzer eine Internetseite auf, so werden die Anzeigenplätze in Echtzeit versteigert. Man geht dabei in Deutschland von 10 Millionen Auktionen pro Sekunde aus. Würde nun die Anzeige einer beliebigen Person gezeigt werden, sinkt die Wahrscheinlichkeit des Kaufinteresses. Ein Nutzerprofil, das sich aus vielen Einzelfaktoren zusammensetzt und besuchte Webseiten, Alter, Geschlecht, Hobbies und gegebenenfalls auch Kaufkraftindikatoren beinhaltet, führt zu einem effizienteren Einsatze der Werbung. Der Auktionspreis steigt.

Das Urteil kommt für die Werbewirtschaft nicht überraschend, wird aber natürlich abgelehnt. Insbesondere ist die Bounce-Rate bei der aktiven Einwilligung höher und der Aufbau eines Consent-Banners auf umfangreichen Webseiten eine Herausforderung. Wann holt man welche Einwilligung ein? Wer seine Webinhalte durch Werbung finanziert, wird in Zukunft einen höheren Aufwand betreiben und gegebenenfalls auch Ertragseinbußen in Kauf nehmen müssen. Aber auch das ist nicht neu. Schon heute werden von Dritten gesetzte Cookies, die also vom Seitenbetreiber nicht selbst gesetzt werden, als Auslaufmodell bezeichnet. Der Safari-Browser von Apple und der Mozilla-Firefox Browser blockieren schon heute diese Cookies.  Google will in weniger als zwei Jahren mit dem Browser Chrome nachziehen.

E) Wie sollten Sie sich als Webseiten Betreiber verhalten?

E1) Analysieren Sie Ihre Website

Wir empfehlen Ihnen zunächst eine Analyse Ihrer Website. Hierzu haben wir Ihnen in unserem Blogbeitrag vom 17. Oktober 2019 einen Leitfaden für ein datenschutzkonformes Cookie-Management an die Hand gegeben.

E2) Implementieren Sie ein Einwilligungsmanagement

FallsSie Cookies zur Erstellung von Nutzerprofilen, für Werbezwecke oder statistische Analysen (Marktforschung) auf Ihrer Website einsetzen, wie z.B. Google Analytics, benötigen Sie VOR DEM EINSATZ die Einwilligung des Website-Besuchers. Wichtig ist hierbei auch, dass die sogenannte Cookie-Wall nicht DS-GVO konform ist und damit keine Alternative darstellt. Dies haben wir in dem Blogbeitrag vom 11. Mai 2020 erläutert.

E3) Keine Einwilligung nötig bei technisch notwendigen Cookies

Schon im Jahre 2012 hat die ARTIKEL-29-DATENSCHUTZGRUPPE eine nicht abschließende Aufzählung für Cookies vorgenommen, die unbedingt zur Erbringung des Web-Dienstes erforderliche sind. Beispiele hierfür können sein:

  • Session-Cookies zur kurzfristigen Steuerung, z.B. für den Warenkorb-Status oder für die Eingabe in ein Online-Formular (sogenannte „User-Input-Cookies“)
  • kurzfristige Login-Cookies, z.B. für eine Online-Banking-Seite (sogenannte „Authentifizierungscookies“)
  • Cookies, um wiederholt fehlgeschlagene Anmeldeversuche auf einer Website zu entdecken („nutzerorientierte Sicherheitscookies“)
  • Cookies zur Lastenverteilung auf dem Server
  • Cookies zur Anpassung der Benutzeroberfläche, zum Beispiel für Spracheinstellungen oder andere – kurzfristige – Webseiteneinstellungen
  • Multimedia-Cookies wie für den Flash-Player
  • Cookie zum Festhalten des Einwilligungs-Status

Entscheidend ist, dass auch tatsächlich nur die notwendigen Angaben gespeichert werden und dass das Cookie nicht zusätzlich auch für andere Zwecke eingesetzt wird – was bei vielen der heute genutzten Cookies der Fall ist. Dann wird es komplizierter.

F) Grauzone Reichweitenmessung, Längerfristige Warenkorb-Cookies

Um erfolgreich eine Webseite zu betreiben, werden oft gewisse Servicefunktionen für die Nutzer angeboten. Aber auch der Inhaber der Webseite möchte seine Webseite verbessern und benötigt hierfür Daten. Hier betreten wir aber schon den Bereich, den weder der BGH noch der EuGH geklärt haben.  Es ist nicht eindeutig, ob ein Warenkorb-Cookie auch nach der Beendigung des Browsers weiter gespeichert werden darf. Oder ob mit der Hilfe von Cookies eine Reichweitenmessung und A/B-Tests auf der Website ohne eine spezifische Einwilligung durchgeführt werden dürfen. Eindeutige Urteile zu diesen Punkten stehen noch aus, so dass Sie ohne eine aktive Einwilligung sich aktuell dem Risiko eines Bußgeldes aussetzen. Wenn Sie keine aktive Einwilligung einholen wollen, so kann eine gut aufgebaute Interessenabwägung helfen. Hier dürfte der Zweck entscheidend sein: Handelt es sich bei dem Einsatz der Cookies ausschließlich um Mittel zum Betreiben einer erfolgreichen Webseite oder ist damit die Analyse zur Absatzsteigerung verbunden? Eine gute Argumentation kann hier Wege eröffnen und eventuell das Bußgeldrisiko vermindern.

Fazit

Für Betreiber einer normalen Webseite ist die hier geforderte Umsetzung der BGH-Entscheidung gut zu realisieren. Für komplexe Webseiten mit Onlineshops und /oder einem Geschäftsmodell durch Datenweitergabe an Dritte wird es nun eng. Wahrscheinlich werden nur Branchenlösungen helfen. Binden Sie auf jeden Fall Ihren Datenschutzbeauftragten in die Entscheidungsfindung mit ein.

Die JOWECON unterstützt Sie bei der Analyse und Optimierung Ihrer Website. Sprechen Sie uns gern über unser Kontaktformular an oder unter 040-41 35 66 74.

Autor: Oliver Zeh

Das könnte Dich auch interessieren
Die EDSA hat ihre Richtlinien zur Cookie-Einwilligung am 05. Mai 2020 aktualisiert.JOWECON GmbHCookie-Einwilligung: Neue Leitlinien der EDSA
Wichtige EuGH Entscheidung für Cookie-EinsatzJOWECON GmbHWichtige EuGH Entscheidung für Cookie-Einsatz
Die Übermittlung von Kundendaten bei einem Asset Deal sollte gut überlegt sein.JOWECON GmbHAsset Deal: Übertragung von Kundendaten