Aktuelle Rechtslage zu Cookies
Es gibt kaum noch Webseiten, die keine Cookies verwenden. Rechtssicherheit ist daher besonders wichtig. Gefühlt hat sich die Rechtslage zu Cookies aber in der Vergangenheit fast täglich geändert. Mit dem aktuellen Urteil des BGH dürfte jetzt Ruhe einkehren, auch wenn ein Restrisiko bleibt. Anwendern ist dieser Beitrag empfohlen, um sich auf den neusten Stand zu bringen.
Lesedauer ca. 4 Minuten (860 Wörter)
Lesedauer ca. 4 Minuten (860 Wörter)
Die Verwendung von Cookies und anderen Tracking-Tools war für Anwender bisher immer mit einem rechtlichen Risiko verbunden. Denn lange Zeit war unklar, wie und welche Cookies rechtssicher auf Webseiten und in Apps eingebunden werden konnten. Klar war hingegen der Grund für die Verwirrung: Der Europäische Gerichtshof, der Bundesgerichtshof und die verschiedenen Datenschutzbehörden der Länder haben zum Teil widersprüchliche Anforderungen an den Einsatz von Cookies gestellt und veröffentlicht. Damit ist jetzt Schluss.
Der Bundesgerichtshof (BGH) hat sich in einem aktuellen Grundsatzurteil (sog. Cookie-Einwilligung-II-Urteil, Az: I ZR 7/16) dem ranghöheren Europäischen Gerichtshof (EuGH) angeschlossen und eine einfache wie eindeutige Regel aufgestellt: Nutzer müssen ihre aktive Einwilligung zu technisch nicht notwendigen Cookies erteilen. An die Vorgaben des Bundesgerichtshofes sind grundsätzlich auch die Landesdatenschutzbehörden gebunden. Daher kann von einer Vereinheitlichung der Rechtslage gesprochen werden. Interessant ist aber auch, welche Fragen der Bundesgerichtshof offengelassen hat und ob das Setzen von Cookies ohne Einwilligung zu einer Abmahnung führen kann.
Der Bundesgerichtshof (BGH) hat sich in einem aktuellen Grundsatzurteil (sog. Cookie-Einwilligung-II-Urteil, Az: I ZR 7/16) dem ranghöheren Europäischen Gerichtshof (EuGH) angeschlossen und eine einfache wie eindeutige Regel aufgestellt: Nutzer müssen ihre aktive Einwilligung zu technisch nicht notwendigen Cookies erteilen. An die Vorgaben des Bundesgerichtshofes sind grundsätzlich auch die Landesdatenschutzbehörden gebunden. Daher kann von einer Vereinheitlichung der Rechtslage gesprochen werden. Interessant ist aber auch, welche Fragen der Bundesgerichtshof offengelassen hat und ob das Setzen von Cookies ohne Einwilligung zu einer Abmahnung führen kann.
Cookie-Problem in Kürze
Die Verwendung von Cookies wird von verschiedenen Vorschriften geregelt. Besonders wichtig ist hier die ePrivacy-Richtlinie der Europäischen Union. Diese enthält eine spezielle Vorschrift für Cookies, da nämlich das Speichern und der Zugriff von Informationen “im Endgerät eines Teilnehmers oder Nutzers” geregelt wird. Weil Cookies in aller Regel auch personenbezogene Daten verarbeiten, kommt auch die Datenschutz-Grundverordnung (DS-GVO) ins Spiel. Das deutsche Telemediengesetz komplettiert die Runde.
Das Problem in Kürze: Die ePrivacy-Richtlinie der EU verlangt für alle technisch nicht notwendigen Cookies eine Einwilligung. Für alle technisch notwendigen Cookies ist eine Einwilligung des Nutzers nicht vorgeschrieben. Aus der Richtlinie ergibt sich allerdings nicht, in welcher Form die Einwilligung zu erfolgen hat. Diese könnte nämlich zum Beispiel durch aktives Setzen eines Kreuzchens, passives Akzeptieren voreingestellter Kreuzchen oder gar durch eine konkludente Nutzung der Webseite oder App geschehen. Im Gegensatz zur ePrivacy-Richtlinie regeln mit der DS-GVO und dem Telemediengesetz gleich zwei andere Vorschriftensammlungen die Einwilligung. Zudem stellen DS-GVO und Telemediengesetz jeweils ganz eigene Anforderungen an die Zulässigkeit von Cookies. Die Verwirrung ist damit vorprogrammiert.
Das Problem in Kürze: Die ePrivacy-Richtlinie der EU verlangt für alle technisch nicht notwendigen Cookies eine Einwilligung. Für alle technisch notwendigen Cookies ist eine Einwilligung des Nutzers nicht vorgeschrieben. Aus der Richtlinie ergibt sich allerdings nicht, in welcher Form die Einwilligung zu erfolgen hat. Diese könnte nämlich zum Beispiel durch aktives Setzen eines Kreuzchens, passives Akzeptieren voreingestellter Kreuzchen oder gar durch eine konkludente Nutzung der Webseite oder App geschehen. Im Gegensatz zur ePrivacy-Richtlinie regeln mit der DS-GVO und dem Telemediengesetz gleich zwei andere Vorschriftensammlungen die Einwilligung. Zudem stellen DS-GVO und Telemediengesetz jeweils ganz eigene Anforderungen an die Zulässigkeit von Cookies. Die Verwirrung ist damit vorprogrammiert.
BGH: "Das, was der EuGH sagt"
In dem Rechtsstreit zur Cookie-Einwilligung II im Jahr 2020 hatte sich der Bundesgerichtshof also folgerichtig damit zu befassen, wie eine wirksame Einwilligung bei Tracking-Tools auszusehen hat. Konkret ging es um die Frage, ob voreingestellte Kreuzchen ausreichen, um technisch nicht notwendige Cookies einsetzen zu dürfen (Opt-out-Verfahren). Dabei muss der Besucher einer Webseite die vorangekreuzten Kästchen erst abwählen, wenn er den Einsatz von Cookies nicht wünscht.
Der Bundesgerichtshof hat die Praktik des Opt-out ausdrücklich verneint. Für Experten stand dieses Ergebnis jedoch schon vor dem Urteil fest, da der Europäische Gerichtshof dies bereits 2019 im Planet49-Urteil verbindlich festgelegt hat. Zur Begründung sagte der Europäische Gerichtshof, dass die einschlägigen Vorschriften “klar auf ein aktives und nicht passives Verhalten hindeuten.” Damit steht fest, dass Besucher von Webseiten und Nutzer von Apps in die Verwendung von technisch nicht notwendigen Cookies aktiv einwilligen müssen, zum Beispiel durch Setzen eines Kreuzchens (Opt-in-Verfahren).
Der Bundesgerichtshof hat die Praktik des Opt-out ausdrücklich verneint. Für Experten stand dieses Ergebnis jedoch schon vor dem Urteil fest, da der Europäische Gerichtshof dies bereits 2019 im Planet49-Urteil verbindlich festgelegt hat. Zur Begründung sagte der Europäische Gerichtshof, dass die einschlägigen Vorschriften “klar auf ein aktives und nicht passives Verhalten hindeuten.” Damit steht fest, dass Besucher von Webseiten und Nutzer von Apps in die Verwendung von technisch nicht notwendigen Cookies aktiv einwilligen müssen, zum Beispiel durch Setzen eines Kreuzchens (Opt-in-Verfahren).
Was Anwender immer noch nicht wissen
Auch wenn die Einwilligung bei Cookies damit rechtssicher beantwortet ist, stehen Anwender immer noch vor vielen offenen Fragen. Zum Beispiel stellt sich vordergründig die Abgrenzungsfrage zwischen technisch notwendigen und technisch nicht notwendigen Cookies. Werbe-Tools zählen zwar zu den technisch nicht notwendigen Tools, und sind damit einwilligungsbedürftig. Aber welche Cookies darüber hinaus einwilligungsbedürftig bzw. einwilligungsfrei sind, bleibt vorerst eine Frage des Einzelfalls.
Darüber hinaus ist etwa unklar, ob eine aktive Einwilligung pro eingesetztes Cookie zu erteilen ist oder ob eine Generaleinwilligung ausreichen kann. Für die Praxis von Relevanz ist schließlich auch die Frage, ob Angaben zur Funktionsdauer und dazu, ob Dritte Zugriff auf die Cookies erhalten können, in die Datenschutzerklärung mit aufzunehmen sind. Je nach Webseite und App bleibt beim Einsatz von Cookies ein rechtliches Restrisiko.
Darüber hinaus ist etwa unklar, ob eine aktive Einwilligung pro eingesetztes Cookie zu erteilen ist oder ob eine Generaleinwilligung ausreichen kann. Für die Praxis von Relevanz ist schließlich auch die Frage, ob Angaben zur Funktionsdauer und dazu, ob Dritte Zugriff auf die Cookies erhalten können, in die Datenschutzerklärung mit aufzunehmen sind. Je nach Webseite und App bleibt beim Einsatz von Cookies ein rechtliches Restrisiko.
Abmahnung wegen Cookies ohne Einwilligung?
Wer im Internet surft, stößt – trotz der eindeutigen Rechtsprechung des Bundesgerichtshofes – auf Webseiten, die immer noch das Opt-out-Verfahren anwenden. Die Betreiber dieser Webseiten verstoßen gegen geltendes IT- und Datenschutzrecht und könnten eine Abmahnung kassieren. Diese Gefahr hat zumindest kürzlich das Landgericht Köln vorgezeichnet (Az: 31 O 194/20).
Gegenstand des Verfahrens war eine Webseite, bei der Cookies beim Besucher gesetzt wurden, ohne dass dieser vorher aktiv eingewilligt hatte. Das Landgericht sah hierin einen Verstoß gegen Wettbewerbsregeln, weshalb die einstweilige Verfügung Erfolg hatte. Wer also Cookies ohne die erforderliche Einwilligung setzt, läuft Gefahr, eine Abmahnung zu erhalten.
Gegenstand des Verfahrens war eine Webseite, bei der Cookies beim Besucher gesetzt wurden, ohne dass dieser vorher aktiv eingewilligt hatte. Das Landgericht sah hierin einen Verstoß gegen Wettbewerbsregeln, weshalb die einstweilige Verfügung Erfolg hatte. Wer also Cookies ohne die erforderliche Einwilligung setzt, läuft Gefahr, eine Abmahnung zu erhalten.
Fazit
Anwender erhalten durch das Grundsatzurteil des Bundesgerichtshofes ein Stück Rechtssicherheit im Umgang mit den Tracking-Tools zurück. Technisch nicht notwendige Cookies dürfen nur eingesetzt werden, wenn der Besucher der Webseite oder Nutzer der App zuvor aktiv eingewilligt hat (Opt-in-Verfahren). Damit steht außer Frage, dass das Opt-out-Verfahren nicht mehr zulässig ist (wenn es das jemals war).
Wer sich an diese klaren Vorgaben nicht hält, riskiert nicht nur eine Abmahnung, sondern ruft ggf. auch die zuständige Landesdatenschutzbehörde auf den Plan. Denn Cookies, die personenbezogene Daten verarbeiten, und ohne Einwilligung gesetzt werden, verstoßen neben dem Telemediengesetz auch gegen die DS-GVO.
Sie sind Betreiber einer Webseite oder Inhaber einer Webagentur und kommen aus Kiel oder Schleswig-Holstein? Oder kommen Sie aus dem übrigen Bundesland und haben Fragen zur rechtssicheren Verwendung von Tracking-Tools? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Dr. Oliver Daum, Anwalt im IT-Recht und Datenschutz
Auch interessant: Neues Anti-Abmahngesetz – Folgen für Impressum und Datenschutz
- 22.02.2021
- 10:00
Share on email
Share on whatsapp
Share on twitter
Share on xing