Liebe Kundinnen und Kunden,

wie Sie vielleicht gehört haben, hat der Europäische Gerichtshof am 1. Oktober 2019 (Az.: C-673-17) eine Entscheidung zum Setzen von Cookies getroffen, die wie ein Blitz eingeschlagen ist. Auch wenn zurzeit noch nicht ganz sicher ist, wie der Bundesgerichtshof die Entscheidung umsetzen wird, raten wir an, vorsichtshalber strengste Maßstäbe anzulegen und sowohl opt-ins für verschiedene Cookie- Arten anzubieten als auch umfangreicher zu diesen aufzuklären.

1. Nach Ansicht des EuGH schützen die EU-Datenschutzregeln vor jedem Eingriff in die Privatsphäre, daher ist die Frage, ob es sich um personenbezogene Daten handelt, wohl obsolet.

Erforderlich ist in jedem Einzelfall die aktive Einwilligung darin, dass Cookies auf der besuchten Webseite verwendet werden dürfen.Diensteanbieter müssen danach zudem gegenüber dem Nutzer Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter durch die Cookies machen.

Eine „Dauereinwilligung“ dürfte ebenfalls nicht zulässig sein, so dass Sie bei jedem Besuch ihrer Homepage eine aktive Zustimmung von Nutzern für den Einsatz von Cookies einholen müssen.

Denkbar ist nur, dass bei einer erstmaligen Registrierung auf der Seite eine wiederkehrende Abfrage obsolet wird. Betroffen vom Urteil sind insbesondere auch sogenannte Tracking Cookies, die verfolgen, welche Webseiten der Nutzer bereits besucht hat und damit Voraussetzung für das Schalten personalisierter Werbung sind.

2. Eigentlich sieht die Cookie-Richtlinie bereits seit 2009 das sogenannte Opt-In-Verfahren vor, also das Erfordernis einer aktiven Einwilligung von Nutzern in die Cookie-Nutzung. Deutschland hat diese bislang allerdings nicht umgesetzt, da die Bundesregierung der Ansicht war, die Cookie-Informationspflicht sei durch §15 des Telemediengesetzes (TMG) bereits EU-rechtskonform umgesetzt.

Dass dies nicht der Fall ist, hat nun das EuGH-Urteil klargestellt, da in §15 TMG lediglich eine Opt-Out-Lösung und somit kein Einwilligungserfordernis vorgesehen ist. In Reaktion auf das Urteil hat das Bundeswirtschaftsministerium nun aber eine Änderung des TMG angekündigt.

Nach dem EuGH ist es nun Sache des BGH, eine Bewertung im deutschen Recht vorzunehmen. Eine richtlinienkonforme Auslegung des §15 TMG ist nicht mehr möglich. Daher wird der BGH wohl Art.6 der Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage für nicht unbedingt erforderliche Cookies in Deutschland heranziehen. Vom europäischen Gesetzgeber ist die baldige Verabschiedung der ePrivacy- Verordnung wünschenswert, um die DSGVO grundlegend zu erweitern und Rechtsklarheit zu schaffen.

Hinweis

Betroffen von der Einwilligungspflicht sind insbesondere alle cookie-basierten Trackingund Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins.

Hierzu gehört neben der Bereitstellung der oben aufgelisteten notwendigen Informationen für die Nutzer auch die technische Implementierung einer Funktion, welche die aktive Erteilung von Cookie-Einwilligungen ermöglicht.

An folgenden Handlungsschritten können Sie sich als Betreiber einer Website orientieren:

1. Analyse: Zunächst sollten Sie analysieren, welche Cookies und zu welchem Zweck Sie auf Ihrer Webseite gesetzt haben.
2. Unterscheidung: Nachfolgend sollten Sie zwischen den sogenannten Session-Cookies und den Persistent-Cookies, welche nur eine gewisse Laufzeit haben, differenzieren.
3. Session-Cookies: Viele verwendete Session-Cookies sind heutzutage veraltet und werden für den Betrieb einer Website nicht mehr zwingend benötigt, sodass sie aussortiert werden können. Andere sind technisch unbedingt erforderlich und daher ohne Einwilligung verwendbar. Hierzu zählen etwa solche Session-Cookies für die Warenkorb-Steuerung oder „Remember- Me“-Cookies, mit deren Hilfe sich Nutzer sich nicht immer wieder neu einloggen müssen.
4. Persistent-Cookies: Auch bei den Persistent-Cookies existieren sowohl solche, die technisch unbedingt erforderlich sind, und solche, die einer Einwilligung bedürfen. Wird Ihre Website für Nutzer ohne Verwendung des jeweiligen Cookies fehlerfrei angezeigt, so ist dies ein eindeutiger Hinweis dafür, dass der entsprechende Cookie technisch nicht unbedingt erforderlich und eine Einwilligung vor seiner Aktivierung nötig ist. Funktioniert die Seite nicht fehlerfrei, ist der Cookie mit großer Wahrscheinlichkeit technisch unbedingt erforderlich und eine Einwilligung hierfür ist obsolet. Weiterhin unklar ist, ob Cookies, welche zur Finanzierung mit Werbung auf Websites eingesetzt werden, als unbedingt erforderlich gelten. Vorsichtshalber sollte auch für diese vorerst eine Einwilligung eingeholt werden.
5. Einwilligung: Für alle technisch nicht unbedingt erforderlichen Cookies muss vor ihrer Aktivierung eine Einwilligung von jedem Nutzer eingeholt werden. Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein. Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über einen „OK“- Button wegklicken lassen. In diesen Fällen fehlt es an der Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen. Vor der Einwilligung dürfen keine Cookies voraktiviert sein oder im Hintergrund laufen.
6. Informationen: Nutzer Ihrer Website müssen, wie oben ausführlich beschrieben, u.a. über die Empfänger der Daten und den Zweck der Cookies informiert werden. Dies kann auch in der Datenschutzerklärung geschehen.
7. Speicherung: Jede Einwilligung sollte protokolliert und gespeichert werden, um Ihrer einwilligungsbezogenen Nachweispflicht zu genügen. Hierfür reicht die sogenannte „indirekte Nutzeridentifikation“ aus, in deren Rahmen die Entscheidungen von Nutzern für oder gegen eine individuelle Einwilligung in die Cookie-Nutzung auf deren jeweiligen Endgeräten gespeichert wird. Diese Variante hat zudem den Vorteil, dass Nutzer das Banner oder Tool bei einem erneuten Seitenbesuch nicht erneut angezeigt wird.
8. Widerruf: Unbedingt sollten Sie eine „One-Klick“-Widerrufsmöglichkeit implementieren, mit der es Ihren Nutzern möglich ist, ihre einmal erteilte Einwilligung ebenso unkompliziert widerrufen zu können.
9. Datenschutzerklärung: Zuletzt sollten Sie noch den Inhalt Ihrer Datenschutzerklärung anpassen. Betroffen sind alle Klauseln über Anwendungen, die Informationen auf Cookie-Basis erheben, speichern, auslesen, auswerten oder übermitteln.