Nachdem der Europäische Gerichtshof (EuGH) sich im Jahr 2019 bereits positionierte (EuGH, Urteil v. 1. Oktober 2019 – C-673/17), zieht nunmehr auch der Bundesgerichtshof (BGH) mit seinem Urteil vom 28.05.2020 – Az. I ZR 7/16 im „Planet49“-Verfahren (auch als „Cookie-Einwilligung II“ genannt) nach und fällt ein grundlegendes Urteil über den Einsatz von Werbe-Cookies.
Ein voreingestelltes Häkchen im Cookie‑Banner stellt laut der Rechtsprechung demnach eine unangemessene Benachteiligung des Nutzers dar und ist somit keine wirksame Einwilligung. Dies ist insoweit wenig überraschend, als dass Art. 4 Nr. 11 DSGVO, Art. 7 DSGVO bereits eine eindeutig bestätigende Handlung (aktives Tun) fordert. Vorangekreuzte Kästchen sind daher unzulässig.
Unzureichend sind auch bloße Cookie-Hinweisbanner ohne technische Funktion, die lediglich auf die Nutzung von Cookies hinweisen und überhaupt keine oder nur versteckt Auswahlmöglichkeiten für den Einsatz von Cookies bieten. Die bloße Weiternutzung der Website stellt in der Regel keine klare und zweifelsfreie Einwilligung betreffend das Setzen von Cookies dar. In diesem Kontext ist ferner wichtig, dass die Datenverarbeitung erst erfolgen darf, nachdem der Nutzer seine Einwilligung erteilt hat. Es verbietet sich also, bereits beim Aufruf der Website einwilligungsbedürftige Cookies zu laden. Erforderliche Cookies und ggf. auch funktionale Cookies dürfen hingegen sofort geladen werden.
Auswirkungen für den Einsatz von Cookie-Banner?
Durch das Urteil werden die Anforderungen an die rechtskonforme Ausgestaltung von Cookie‑Bannern für Betreiber von Websites erhöht. Jedoch herrscht nunmehr infolge der als mittlerweile gefestigten Rechtsprechung Rechtssicherheit. Wer umfangreich tracken möchte, der benötigt eine Einwilligung durch das sog. Opt‑in-Verfahren des Nutzers.
Cookie-Opt-in meint, dass Webseiten-Nutzer ihre ausdrückliche Zustimmung geben müssen, ehe die Webseite bestimmte Dateien („Cookies”) im Browser des Nutzers speichern darf. Das Gegenteil zu diesem Verfahren ist das Opt-out: Hier muss der Nutzer die Cookies aktiv ablehnen, wenn die Webseite diese nicht verwenden soll.
Für den Fall, dass ein Verstoß gegen das Opt-in-Verfahren sowie ein unzulässiges Cookie-Banner vorliegt, muss mit kostenpflichtigen Abmahnungen durch Verbraucherverbände bzw. Mitbewerber und empfindlichen Bußgeldern unter der Geltung der DSGVO gerechnet werden.
Gleichwohl verbleibt ein gewisser Spielraum: Sogenannte technisch notwendige Cookies dürfen auch ohne aktive Einwilligung verwendet werden – zumindest nach der Stellungnahme (abrufbar unter https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf) der Artikel‑29‑Datenschutzgruppe, dem Vorgänger des Europäischen Datenschutzausschusses (EDSA). Welche Cookies im Einzelnen als technisch notwendig einzustufen sind, muss im Einzelfall geprüft werden – Grenzfälle sind dabei durchaus möglich.
Lösung für den Umgang mit Cookies – Anpassung der Datenschutzhinweise
Empfehlenswert ist ein Cookie-Bannern (oder ähnlichen Ausgestaltungen), die dem Nutzer eine Auswahl anzeigen und bei denen sämtliche Felder für nicht technisch notwendige Cookies von vornherein nicht ausgewählt / deaktiviert sind. Eine grafische und nutzerunfreundlich Darstellung, insbesondere auf Smartphones oder sonstigen mobilen Endgeräten, muss hierbei gewährleistet werden.
Überdies ist es unabdingbar, dass die Datenschutzhinweise auf der Webseite überarbeitet werden müssen. Bei Cookies gelten hohe Anforderungen an die Transparenz. So müssen Angaben zur Lebensdauer und zur Weitergabe der Daten an Dritte gemacht werden und zudem sind alle weiteren Vorgaben des Art. 13 DSGVO zu beachten. Neben der technischen Arbeit auf der Website müssen daher die Datenschutzhinweise angepasst werden. Dort sind insbesondere die Rechtsgrundlagen und ggf. Opt-out Mechanismen zu aktualisieren. Bei einer guten Gestaltung greifen Consent-Management und Datenschutzhinweise ineinander und ergänzen sich.
Des Weiteren bedarf es auch der Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten. Dort ist insbesondere das Consent-Management als eigene Verarbeitungstätigkeit aufzunehmen und ggf. sind Speicherfristen zu ergänzen oder zu aktualisieren. Sofern Sie im Verzeichnis auch Rechtsgrundlagen dokumentiert haben, sind auch hier die entsprechenden Anpassungen vorzunehmen.
Für Fragen stehen wir Ihnen mit unserem kompetenten Team aus Rechtsanwälten und Steuerberatern unter der Telefonnr.: 0931/22222 zur Verfügung. Gerne können Sie uns Ihr Anliegen auch per E-Mail an info@steinbock-partner.de schildern.
