Der Einsatz von Analyse- und Marketing-Cookies ist für die meisten Seitenbetreiber von großer Bedeutung. In das Setzen solcher Cookies müssen Nutzer jedoch aktiv einwilligen, wie der Bundesgerichtshof (BGH) vergangene Woche bestätigt hat. Wer dies missachtet, riskiert kostspielige Abmahnungen und Bußgelder.
Hintergrund der BGH-Entscheidung
Das BGH-Urteil ist keine Überraschung. Im konkreten Fall klagten Verbraucherschützer gegen einen Online-Wettanbieter. Die Klage wurde bereits letzten September vor dem Europäischen Gerichtshof (EuGH) verhandelt. Dessen Urteil besagt, dass das automatische Setzen technisch nicht notwendiger Cookies gemäß der gesetzlichen Bestimmungen nicht zulässig ist. Der Fall ging an den BGH zurück, der nun entsprechend urteilte.
Herausforderungen in der Praxis
Im Mittelpunkt der gesamten Thematik steht die Einwilligung des Nutzers, bevor ein Cookies gesetzt werden darf. Genau dieser Umstand stellt nun zahlreiche Unternehmen vor eine große Herausforderung. Oft werden die Cookies beim erstmaligen Aufruf ihrer Websites automatisch gesetzt, Nutzer werden per Cookie-Banner lediglich informiert.
Besagte Cookie-Banner sind häufig so konfiguriert, dass der Nutzer sie einfach stehen lassen oder allen gesetzten Cookies mit einem Klick zustimmen kann. In Deutschland ist diese Praxis stark verbreitet, weil die Bundesregierung die im Telemediengesetz (TMG) definierten Anforderungen als ausreichend erachtet hat. Im TMG ist lediglich eine Opt-out Lösung vorgesehen. Die vom EuGH herangezogene Cookie-Richtlinie ist strenger formuliert sieht eine Opt-in Lösung vor. Das Bundeswirtschaftsministerium will das TMG entsprechend anpassen.
Darüber hinaus hat der EuGH festgestellt, dass in einem Opt-In Cookie-Banner keine Vorbelegung der technisch nicht notwendigen Cookies erfolgen darf. Stattdessen muss eine aktive Einwilligung des Nutzers erfolgen. Das Setzen solcher Cookies ist somit nur zulässig, wenn der Nutzer die entsprechenden Haken auf dem Cookie-Banner selbst setzt.
Welche Cookies sind erlaubt, welche nicht?
Generell ist das Setzen so ziemlich aller Cookies erlaubt, vorausgesetzt die Einwilligung des Nutzers liegt vor. Wenn ein Nutzer eine Website erstmalig in seinem Browser lädt, kann solch eine Einwilligung nicht vorliegen. Folglich dürfen technisch nicht notwendige Cookies (noch) nicht gesetzt werden.
Das automatische Setzen ist nur gestattet, sofern Cookies für die Nutzung einer Website aus technischer Sicht notwendig sind. Angenommen ein Unternehmen betreibt einen Online-Shop, so darf das Cookie gesetzt werden, welches die Funktionalität des Warenkorbs sicherstellt. In Summe sind dies jedoch vergleichsweise wenige Cookies.
Cookies, die z.B. der Webanalyse dienen, gelten nicht als technisch notwendig. Somit dürfen sie auch nicht automatisch gesetzt werden. Dies gilt im Übrigen auch für solche Cookies, die keine personenbezogenen Daten erfassen oder verarbeiten. Das Setzen ist nur in Verbindung mit der expliziten Zustimmung des Nutzers zulässig.
Welche Maßnahmen müssen Seitenbetreiber ergreifen?
Zunächst sollten Unternehmen eine Analyse der Ist-Situation vornehmen. Es ist zu prüfen, ob und welche Cookies zum Einsatz gelangen. Anschließend wird ermittelt, wann diese gesetzt werden und ob sie als technisch notwendig gelten oder eine Einwilligung des Nutzers erfordern.
Befindet sich ein Cookie-Banner im Einsatz, ist zu prüfen, ob dieses den datenschutzrechtlichen Anforderungen gerecht wird, indem u.a. keine unzulässige Vorbelegung stattfindet. Ein simples Cookie-Banner genügt selten, im Regelfall führt am Einsatz eines Consent-Tools kein Weg vorbei.
Im nächsten Schritt sind technische Maßnahmen zu ergreifen, damit ein datenschutzkonformes Setzen der Cookies erfolgt. Darüber hinaus kann die Notwendigkeit bestehen, die Datenschutzerklärung der Website anzupassen.
Fazit
EuGH und BGH haben eine Entscheidung von großer Reichweite getroffen. Sie betrifft so gut wie alle Unternehmen, nicht zuletzt weil deren Websites von außerhalb überprüfbar sind. Nutzer, Verbraucherschützer, Aufsichtsbehörden und selbst Mitbewerber können leicht ermitteln, ob ein Seitenbetreiber die geltenden Cookie-Regeln einhält oder ob ein Verstoß vorliegt.
In den meisten Fällen besteht damit Handlungsbedarf. Im Kern bedarf es der genannten Analyse, voraussichtlich ergänzende technische Anpassungen sowie ein Update der Rechtstexte. Sowohl unseren Mandanten als auch interessierten Unternehmen stehen wir bei Fragen zu diesem Thema gerne zur Seite. Für weitere Auskünfte erreichen Sie uns telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.