BGH-Urteil: Einwilligung für Cookies erforderlich
- Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden Sie hier. Was sie beim Datenschutz auf Ihrer Webseite beachten müssen, lesen Sie hier.
- Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet. Die niedersächsische Landesdatenschutzbeauftragte hat einen Katalog veröffentlicht, nach dem Unternehmen überprüft werden. Sehr aufschlussreicht!
- Bei weiteren Fragen können Sie mich gerne in meiner Funktion als externen Datenschutzbeauftragten (TÜV) kontaktieren.
Der BGH hat in einem aktuellen Urteil die Rechtsauffassung des EuGH bestätigt: Selbstständige und Freiberufler brauchen für nicht notwendige Cookies auf ihrer Webseite jetzt eine aktive Einwilligung. Ein sogenanntes Opt-out, bei dem die Zustimmung über ein Kontrollkästen schon voreingestellt ist, ist unzulässig.
Der Bundesgerichtshof hat das deutsche Telemediengesetz nach den Vorgaben der seit 2018 geltenden EU-Datenschutzgrundverordnung ausgelegt. Dort heißt es:
§ 15 (3) 1Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
§ 15 Abs. 3 S. 1 Telemediengesetz
Für die Richter bedeutet dies im Umkehrschluss, dass eine Einwilligung erforderlich ist.
Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
BGH – Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II
Einwilligung erforderlich
Cookies dürfen deshalb erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich. Fraglich ist allerdings, für welche Cookies diese Erforderlichkeit gilt. Geklärt ist das nicht, es gibt auch keine White-List von möglichen Anwendungsfeldern. Die Webseite Datenschutzgenerator geht davon aus, dass Cookies zumindest in folgenden Fällen erforderlich sind:
- Warenkorb-Cookies eines E-Shops;
- der Login-Status einer Community;
- die Sprachauswahl auf einer internationalen Webseite:
- Cookies, die eine Cookie-Einwilligung speichern;
- Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen.
Umstritten hingegen ist die Notwendigkeit bei Cookies, die die Reichweite testen. Das betrifft zum Beispiel das beliebte Google-Analytics.
Streitpunkt Google Analytics
Tatsache ist, dass Google Analytics auch viele Informationen der Besucher sammelt, die weit über den vertretbaren Zweck der Webseitenoptimierung hinausgehen. In manchen Ländern kann dies unproblematisch sein. In Deutschland allerdings hat nun ein Gerichtsurteil festgestellt, dass Google Analytics nur verwendet werden darf, wenn die IP Anonymisierung eingeschaltet ist. Wenn die etwa das Plug-In Google Analytics Dashboard for WordPress (GADWP) verwenden, können Sie selbst schnell Abhilfe schaffen. Sie können die IP-Anonymisierung unter den erweiterten Einstellungen aktivieren.
Aufgepasst: Bei Google Analytics handelt es sich um eine Auftragsverarbeitung. Nach allgemeiner Auffassung sollten Sie bei Google den Zusatz zur Datenverarbeitung abschließen.
Cookie-Plugins nutzen
Webseitenbetreiber sollten also in Zukunft darüber nachdenken, sie Cookie-Plugins zu nutzen. Zu den bekanntesten zählen Borlabs-Cookie, Usercentrics und das kostenlose WordPress-Plugin Cookie-Notice.
Es reicht nicht aus, Nutzer über ein Cookie-Banner zu informieren, sondern sie müssen sich ausdrücklich „einverstanden“ oder „nicht einverstanden“ erklären. Diese Einwilligung muss freiwillig und informiert erfolgen. Das heißt, die Nutzer müssen erfahren, um welche Cookies es sich handelt, zu welchem Zweck sie benötigt werden, und sie müssen über ihre Rechte aufgeklärt werden. Zu diesen Zweck sollte auf die Datenschutzerklärung verlinkt werden. Zudem muss die Einwilligung jederzeit widerrufen werden können. Die Einwilligung darf auch nicht an die Nutzung der Webseite gebunden sein – der Besucher der Webseite darf also nicht ausgesperrt werden, wenn er nicht einwilligt.
Über den Autor Henning Zander
Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger