Jetzt ist wieder Cookie-Zeit

Ab und zu im Leben eines Verantwortlichen sollte / muss man sich mit dem Thema Internetrecht und im speziellen Cookie Handhabung beschäftigen. Immer öfter jedenfalls und jetzt ist es wieder soweit!

Das was nach der EuGH Entscheidung (EuGH, 1.10.2019 – C-673/17 “planet49”) sich schon angebahnt hat, ist nun mit der BGH Entscheidung (BGH, 28.05.2020 – I ZR 7/16 “planet49” – Pressemitteilung) eingetreten. Um es gleich zu sagen, eigentlich hat sich meiner Meinung nach praktisch nicht viel geändert, wir wisssen es jetzt nur ein wenig besser und wer ungerechtfertigter Weise gedacht hat, nun wären alle Fragen in diesem Zusammenhang geklärt, der wurde leider enttäuscht.

Kernaussage der BGH-Entscheidung ist:
„Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.“

Die Folge ist, dass für Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie bedarfsgerechten Gestaltung von Telemedien dienen, Einwilligungen der Nutzer eingeholt werden müssen.

Ich möchte im Folgenden die Dinge erwähnen, die Sie sich auf jeden Fall anschauen sollten. Wenn Sie es noch etwas genauer wissen möchten, können Sie sich mit den unten aufgeführen Quellen beschäftigten.

Vorab dies: Wenn Sie nur Cookies einsetzen, die aus Nutzersicht für ein Onlineangebot unbedingt erforderlich, also notwendig sind, benötigen Sie auch weiterhin keine Einwilligung hierfür. Ob ein Cookie jedoch als unbedingt erforderlich azusehen ist, kann auch im Einzelfall schon einmal schwierig zu beurteilen sein. Folgende Fallgruppen können hierunter fallen:

• Eindeutig notwendige Cookies:
  • Warenkorb-Cookies eines E-Shops,
  • der Login-Status einer Community,
  • die Sprachauswahl auf einer internationalen Webseite,
  • Cookies, die eine Cookie-Einwilligung speichern,
  • Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen.

Mehr oder weniger unwahrscheinlich (jedenfalls mit Risiken behaftet) ist dies für die folgenden Fallgruppen.

• Komfortfunktionen: (streitig)
• Reine Webanalyse mit eigenen Tools wie z.B. Matomo: (streitig bis unwahrscheinlich)

Bei der Gestaltung des Cookie-Banners kann man wohl auch nach der Entscheidung davon ausgehen, dass die Einwilligung in funktionell zusammengefasste Gruppen von Cookies ein, z. B. “Marketing”, “Webanalyse”, “Mediensteuerung”, etc. reicht, wenn zu jeder Gruppe Detailinformationen verfügbar sind. Der EuGH hat in der Planet 49 Entscheidung zwar ausgeführt, dass die einzelnen Dienste-Anbieter aufgeführt werden müssen, was jedoch nicht gleichzusetzen ist mit einer jeweils getrennten Einwilligung. Das die einzeln aufzuführen sind liegt daran, dass es um eine Einwilligung geht und nicht um eine Information im Sinne von Art. 13 DSGVO!

Bezüglich der Frage, wie man einen Cookie Banner denn zu gestalten hat, gibt es unterschiedliche Ansichten. es empfiehlt sich hier auf etablierte Produkte zu setzen, um das Risiko zu verringern. Wenn man alle Cookies gleichzeitig akzeptieren kann, muss jedenfalls gleichzeitig die Möglichkeit bestehen, die Auswahl individuell einzuschränken (mit Ausnahme der ggf. zwingend erforderlichen). Hinsichtlich Transparenz sind auf jeden Fall Cookie-Banner vorzugswürdig, die die auszuwählenden Kategorien von Cookies bereits in der Grundansicht zeigen. Auswahlfelder wie „nur notwendige Cookies akzeptieren“ und „Ausgewählte akzeptieren“ könnte dann z.B. als Auswahl vorgesehen werden. Wenn die Gruppen auf der Hauptseiten angezeigt werden, könnten man dann hier auch durch Anklicken eine individuelle Wahl treffen. Möglichkeiten dies zu gestalten gibt es vielen und nicht alle – auch von professionellen Anbietern – sind unbedingt optimal. Manchmal ist damit einfach die Hoffnung verbunden, mehr herauszuholen, als vielleicht sinnvoll ist.

Folgende Informationen sind den Nutzern im Zusammenhang  mit Cookies (und letztlich auch alternativen Tracking Variationen wie Fingerprints) zu liefern:

• Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden.ermitteln Sie hier, welche Daten dies genau sind und was das Unternehmen mit dem Daten tun.
• Lebensdauer von Cookies: Wenn Sie verschiedene Cookies einsetzen, müssen sie das für jedes Cookies ermitteln und aufführen.
• Identität der Dienstleister, die die Cookies verarbeiten: Wie bereits in der Datenschutzerklärung sollten Sie die eingesetzten Dienstleister angeben. Die Kategorien der Empfänger reichen hier nicht aus.  Für eine ausführliche Übersicht der Dienstleister sollten Sie  auf Ihre Datenschutzerklärung verlinken.

Wenn Sie Social Meda Inhalten eingebetett haben, wie z.B. Youtube, Vimeo, Facebook o.ä., die Ihrerseits auch wieder Cookies setzen (für mich auch neu), dann sollte Sie auch an die eingebetteten Cookies dieser Anbiebieter denken. Ggf. sind diese zu blocken. Vielleicht kann Ihr Cookie-Banner Anbieter damit umgehen.

Eigentlich selbstverständlich aber immer noch zu sehen. Ein  Cookie-Banner sollte den Footer mit der Datenschutzerklärung nicht verdecken.

Was die meisten Seiten vermutlich noch nicht haben: Nutzer müssen deren Cookie-Einstellungen auch ändern können, da es sich hier ja um widerrufliche Einwiligungen handelt.  Empfohlen wird daher die Möglichkeit, die Einstellungen in der Datenschutzerklärung und im Fußbereich Ihrer Webseite ändern zu können. Ein Hinweis im Cookie-Banner hierzu wäre dann sozusagen die Kür.

Denken Sie bitte auch, dass Ihr Cookie Banner (wie bei Newslettern!) die Möglichkeit enthält, erteile Einwillgungen nachweisen zu können. Gebräuchlich sind derzeit wohl Verfahren, die auf ein ausgeklügeltes ID-System setzen oder eine Opt-In-Cookie auf den Geräten der Nutzer bei dessen Zustimmung speichern. Nach Benedikt, PinG 2020, S. 224 ist die Speicherung der IP-Adresse hierzu jedenfalls ungeeignet und aufgrund Art. 11 DSGVO auch nicht erfoderlich, insofern möglicherweise auch ein Verstoß gegen den Grundsatz der Datenminimierung. Es reicht, wenn jederzeit nachgewiesen werden kann, dass beim Aufruff einer Webseite ein Einwilligungsbanner erscheint und keine einwilligungsbedürftige Verarbeitung beginnt, bevor der Nutzer seine Einwilligung hierzu erteilt hat. Ausreichend ist nach der Autorin hierfür, wenn beispielsweise der Quellcode der Webseite sowie der Einwilligungstext (jeder Version) historisiert gespeichert wird.

Wer sich tiefer mit der Materie Beschäfitgen möchte, dem empfehle ich die folgenden Seiten:

BGH Entscheidung (Pressemitteilung)
https://datenschutz-generator.de/bgh-cookies-opt-in-faq-checkliste/#Wie_sollte_der_Einleitungstext_in_einem_CookieBanner_aussehen
https://diercks-digital-recht.de/2020/05/eine-erste-einordnung-des-bgh-urteil-cookie-ii-i-zr-7-16-voreingestellte-einwilligungen-opt-outs-sind-unwirksam-und-das-gilt-grundsaetzlich-auch-fuer-cookies/

Interessant dazu auch: Datenschutz: Pseudonymes Tracking ohne Bußgeld-Androhung?