Am 28.05.2020 hat der Bundesgerichtshof (BGH) im „Planet49“-Verfahren (das jetzt „Cookie-Einwilligung II“ genannt wird) ein grundlegendes Urteil über den Einsatz von Werbe-Cookies gefällt und damit einen Schlussstrich unter eine langjährige Streitfrage gezogen. Websitebetreiber, App-Anbieter und Agenturen müssen dieses Urteil kennen. Vorausgegangen war das Urteil des Europäischen Gerichtshofs (EuGH) über welches wir in einem früheren Beitrag berichtet haben. Wir warten noch auf die Urteilsbegründung und kennen bislang nur die Pressemitteilung des BGH. Es lassen sich aber bereits wichtige Erkenntnisse gewinnen, wie Webauftritte, Apps und Online-Marketing ab jetzt gestaltet werden müssen. Dieser Beitrag liefert einen Überblick und zeigt auf, was jetzt zu tun ist.
Was hat der BGH entschieden?
Der BGH hat in seinem Urteil vom 28.05.2020 entschieden, dass eine Einwilligung (Opt-In) der Websitebesucher jedenfalls dann zwingend eingeholt werden muss, wenn der Einsatz von Cookies für Zwecke der Werbung oder Marktforschung erfolgt und hierbei Nutzerprofile erstellt werden. Eine Einwilligung des Nutzers im Wege eines voreingestellten Ankreuzkästchens steht im Ergebnis nicht im Einklang mit dem geltenden Recht und ist daher unwirksam.
Der BGH kommt zu diesem Ergebnis, indem er den insoweit einschlägigen § 15 Abs. 3 TMG europarechtskonform auslegt. Das ist durchaus ein juristisches Kunststück, weil es nach dem Wortlaut der Norm um eine Widerspruchslösung geht, also um ein Opt Out:
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Der BGH setzt „nicht widerspricht“ nun gleich mit „einwilligt“.
Die Entscheidung bringt endlich Klarheit darüber, welche Anforderungen in Deutschland an eine rechtmäßige Verwendung von Cookies (und vergleichbaren Technologien, sofern durch diese Informationen im Endgerät eines Nutzers gespeichert werden oder ein Zugriff auf solche Informationen erfolgt) zu stellen sind. Das Urteil zieht damit einen Schlussstrich unter eine seit Jahren geführte Debatte.
Dabei erteilt der BGH der Ansicht, dass die ePrivacy-Richtlinie in Deutschland bisher nicht wirksam umgesetzt worden sei, eine klare Absage. Diese Auffassung wurde jüngst insbesondere durch die deutschen Aufsichtsbehörden vertreten. Als Konsequenz lehnten die Datenschützer die Anwendbarkeit des § 15 Abs. 3 TMG ab und maßen bisher den Einsatz von Cookies bloß an den Vorgaben der DSGVO.
Gilt jetzt TMG oder DSGVO?
Nach der Entscheidung bildet nunmehr wieder § 15 Abs. 3 Satz 1 TMG die zentrale Vorschrift zur rechtlichen Bewertung von Cookies. Nach der europarechtkonformen Auslegung des BGH ist eine Einwilligung der Websitebesucher nach dieser Regelung immer dann erforderlich, wenn die zwei folgenden Voraussetzungen gegeben sind:
- Der Einsatz von Cookies erfolgt für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Websites oder Apps, und
- es werden hierbei Nutzungsprofile erstellt.
Es ist zu erwarten, dass Reichweite und Auslegung dieser Voraussetzungen die Gerichte weiterhin beschäftigen werden. So ist insbesondere offen, was unter dem Begriff „Nutzungsprofile“ genau zu verstehen ist und wann der Einsatz einer „bedarfsgerechten Gestaltung“ dient.
Der BGH hat klargestellt, dass der § 15 Abs. 3 TMG eine Umsetzung der ePrivacy-Richtlinie ist. Dazu muss man wissen, dass die Datenschutz-Regelungen der §§ 11 ff TMG, die auf der ePrivacy-Richtlinie fußen, gemäß Art. 95 DSGVO als speziellere Regelungen der DSGVO vorgehen.
Bei Datenverarbeitungen auf Websites muss daher ab jetzt eine zweistufige Prüfung erfolgen. Auf der ersten Stufe wird geprüft, ob der Anwendungsbereich der Datenschutznormen des § 15 Abs. 3 TMG eröffnet ist. Wenn das der Fall ist, sind die üblichen Rechtsgrundlagen des Art. 6 DSGVO gesperrt – insbesondere ist dann keine Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO möglich. Nur außerhalb dieser Sperrwirkung sind auf der zweiten Stufe die Rechtsgrundlagen des Art. 6 DSGVO anwendbar. Werden Cookies also zu anderen Zwecken gesetzt (zu denken ist z.B. an Betrugsprävention oder Funktionalität einer Website), richten sich die Anforderungen an deren Einsatz weiterhin nach den Bestimmungen der DSGVO.
Welche Cookies dürfen gesetzt werden?
Das Urteil des BGH sollte zum Anlass genommen werden, sich einen gründlichen Überblick über die auf der Website eingesetzten Cookies und Dienste zu verschaffen. Für jede dieser Datenverarbeitungen muss geprüft werden, ob eine Einwilligung des Websitebesuchers eingeholt werden muss, oder ob sie sich auf anderem Wege rechtfertigen lässt. Die Bewertung erfolgt anhand von Merkmalen wie dem Zweck für die Verarbeitung, der Erforderlichkeit für gewisse Funktionen und der Intensität.
Die verschiedenen Cookies und Dienste lassen sich sodann zu Gruppen zusammenfassen. Es gibt keine starre Klassifizierung, aber folgende Aufteilung kann zur Orientierung dienen:
Unbedingt erforderlich
Cookies dürfen nur dann ohne Einwilligung des Nutzers gesetzt und ausgelesen werden, wenn sie unbedingt erforderlich sind, um dem Nutzer den gewünschten Dienst zur Verfügung zu stellen. Das ergibt sich aus Art. 5 Abs. 3 ePrivacy-Richtlinie, wie der EuGH bereits im Oktober 2019 entschieden hat. Ob ein Cookie unbedingt erforderlich ist, muss im Einzelfall festgestellt werden. Klare Abgrenzungen gibt es noch nicht, aber als Beispiele werden regelmäßig (Session-)Cookies für Warenkorb, Login, Sprachauswahl oder die Website-Sicherheit genannt. Auch die Speicherung der vom User gewählten Einstellung des Consent-Managements und Opt-out Cookies dürften als erforderlich gewertet werden. Es geht also weniger um besondere Features der Website, sondern eher um nüchterne technisch erforderliche Vorgänge.
Cookies und ähnliche Technologien dieser Art sind also unabhängig von der Einwilligung des Nutzers zulässig und können schon mit dem Laden der Website gesetzt/ausgelesen werden. Eine An- oder Abwahl über das Consent-Management ist regelmäßig nicht vorzusehen. Formal steht dem Nutzer zwar auch hier ein Widerspruchsrecht zu, dieses stützt sich aber auf Art. 21 Abs. 1 DSGVO und greift daher nur aus Gründen, die sich aus der besonderen Situation des Nutzers ergeben.
Marketing
Werbe-Cookies sind nicht unbedingt erforderlich und dürfen daher nur mit Einwilligung des Nutzers auf dem Endgerät des Nutzers gespeichert bzw. abgerufen werden. Darunter fallen Cookies für Marketing, Tracking, Targeting, Profiling, Conversion-Messung etc. Es ist dabei unerheblich, ob mithilfe der Cookies personenbezogene Daten verarbeitet werden oder nicht.
Google Analytics fällt jedenfalls dann in diese Kategorie, wenn eine Verknüpfung mit dem Google-Werbekonto besteht oder wenn Universal Analytics genutzt oder Analytics Audiences gebildet werden. Aber auch in anderer Einsatzweise ist Google Analytics ein Streitthema mit den Aufsichtsbehörden, weshalb hier eine Einzelfallbetrachtung mit individueller Risikoeinschätzung geboten ist.
Werbe-Cookies müssen solange „die Füße stillhalten“, bis der Nutzer seine Einwilligung erteilt hat. Beim Laden der Website müssen diese Cookie-Arten also inaktiv bleiben, bis sie über das Consent-Management aktiviert werden. Da Einwilligungen in die Datenverarbeitung jederzeit widerrufbar sind, muss auch der Widerruf gesteuert werden. Widerruft der Nutzer seine Einwilligung, sind Werbe-Cookies unmittelbar zu deaktivieren.
Funktionen und Präferenzen
Cookies für die Steuerung von Funktionen und Präferenzen sind weiterhin ohne Einwilligung erlaubt, wenn sie sich auf eine Interessenabwägung gemäß Art. 6 Abs. 1 Buchst. f DSGVO stützen lassen. Denkbar sind Cookies für Spracheinstellungen, Schriften, Videoqualität, Chats etc. Eine pauschale Bewertung verbietet sich auch hier, weil gewisse funktionale Dienste von Drittanbietern neben der reinen Funktion die Daten für die Bildung oder Anreicherung eigener Nutzungsprofile verwenden – dies öffnet dann wieder die Tür zu § 15 Abs. 3 TMG mit der entsprechenden Einwilligungspflicht.
So oder so ist der Anwendungsbereich der Interessenabwägung massiv geschrumpft, wurde diese Rechtsgrundlage doch in den Anfangstagen der DSGVO noch als „Supernorm“ geradezu verehrt. Vor dem Hintergrund des erhöhten Abmahn- und Bußgeldrisikos raten wir dazu, die Interessenabwägung gründlich durchzuführen und zu dokumentieren.
Beachten Sie zudem, dass Nutzer ein Widerrufsrecht haben, wenn die Verarbeitung auf eine Interessenabwägung gestützt wird. Dieses Opt-out ist dem Widerruf der Einwilligung technisch ähnlich und kann über eine Consent-Management Lösung gesteuert werden.
Reichweiten- und Nutzungsanalyse
Reichweiten- und Nutzungsanalyse, bei der Nutzungsprofile angelegt werden, fallen unter § 15 Abs. 3 TMG und bedürfen einer Einwilligung. Dies gilt auch für selbst gehostete Lösungen, wie z.B. Matomo. Anderslautende Empfehlungen der Aufsichtsbehörden dürften mit dem Urteil des BGH überholt sein.
Unsicherheit besteht bei Reichweiten- und Nutzungsanalyse, wenn dabei keine Nutzungsprofile angelegt werden. Hier wird vereinzelt vertreten, dass dies heutzutage als unbedingt erforderliche Maßnahme gewertet werden kann, um Besucherströme zu messen und die Website zu testen (A/B-Testing). Die Verarbeitung müsste dann auf eine Interessenabwägung gemäß Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden. Hier empfehlen wir eine Prüfung im Einzelfall.
Wie wird die Einwilligung eingeholt?
Der BGH hat klargestellt, dass die Bestätigung eines Hinweistextes durch vorangekreuzte Felder keine wirksame Einwilligung darstellt. Dies ist keine Überraschung, weil Art. 4 Nr. 11 DSGVO, Art. 7 DSGVO bereits eine eindeutig bestätigende Handlung fordert. Vorangekreuzte Kästchen sind daher unzulässig.
Unzureichend sind auch bloße Cookie-Hinweisbanner ohne technische Funktion. Die bloße Weiternutzung der Website stellt nämlich regelmäßig keine klare und zweifelsfreie Einwilligung in das Setzen von Cookies dar.
Wichtig ist, dass die Datenverarbeitung (also das Setzen oder Auslesen des Cookies) erst erfolgt, nachdem der Nutzer seine Einwilligung erteilt hat. Es verbietet sich also, bereits beim Aufruf der Website einwilligungsbedürftige Cookie zu laden. Erforderliche Cookies und ggf. auch funktionale Cookies dürfen hingegen sofort geladen werden.
In den letzten Monaten haben sich verschiedene Consent-Management Tools am Markt positioniert. Solche Tools ermöglichen eine strukturierte Einholung und Verwaltung von Opt-ins und Opt-outs. Technisch und visuell gibt es viele Unterschiede, weshalb wir keine Präferenzen aussprechen können. Wir beraten Sie aber gerne dabei, die für Sie richtige Lösung zu identifizieren und unterstützen Sie beim rechtlich sauberen Setup.
Wenn ausschließlich erforderliche Cookies gesetzt werden, kann auf ein Consent-Management verzichtet werden.
Datenschutzhinweise überarbeiten
Bei Cookies gelten hohe Anforderungen an die Transparenz. So müssen Angaben zur Lebensdauer und zur Weitergabe der Daten an Dritte gemacht werden und zudem sind alle weiteren Vorgaben des Art. 13 DSGVO zu beachten. Neben der technischen Arbeit auf der Website müssen daher die Datenschutzhinweise angepasst werden. Dort sind insbesondere die Rechtsgrundlagen und ggf. Opt-out Mechanismen zu aktualisieren. Bei einer guten Gestaltung greifen Consent-Management und Datenschutzhinweise ineinander und ergänzen sich.
Verzeichnis von Verarbeitungstätigkeiten aktualisieren
Vergessen Sie nicht, das Verzeichnis von Verarbeitungstätigkeiten zu überarbeiten. Dort ist insbesondere das Consent-Management als eigene Verarbeitungstätigkeit aufzunehmen und ggf. sind Speicherfristen zu ergänzen oder zu aktualisieren. Sofern Sie im Verzeichnis auch Rechtsgrundlagen dokumentiert haben, sind auch hier die entsprechenden Anpassungen vorzunehmen.
Risiken in den Griff bekommen
Wir raten dringend zu einer zügigen Prüfung aller Websites und ggf. zur Umsetzung der gesetzlichen Vorgaben. Es ist zu erwarten, dass die Aufsichtsbehörden ihre Kontrolltätigkeit in diesem Feld verstärken werden. Neben Untersagungsverfügungen muss hier auch mit der exemplarischen Verhängung von Bußgeldern gerechnet werden. Besonders kritisch stellt sich nach unserer Auffassung der Einsatz von Google Analytics dar. Denn die Behörden haben in verschiedenen jüngeren Veröffentlichungen deutlich gemacht, dass dieser Dienst nach ihrer Auffassung nur auf der Grundlage einer wirksamen Einwilligung eingesetzt werden darf. Zudem ist damit zu rechnen, dass Verbraucherschutzverbände und auch Website-Besucher gegen einzelne Seitenbetreiber vorgehen.
Zur Minimierung rechtlicher Risiken sollten Sie als Websitebetreiber (bzw. App-Anbieter) zeitnah die folgenden Maßnahmen ergreifen:
- Sie müssen prüfen, inwieweit über Ihre Website Cookies gesetzt und/oder ausgelesen werden und ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
- Sofern eine Einwilligung der betroffenen Nutzer erforderlich ist, muss diese in wirksamer Weise eingeholt werden. Hierzu sind verschiedene technische Lösungen in Form sog. Consent-Banner auf dem Markt erhältlich. Werden solche Lösungen bereits verwendet oder sollen sie implementiert werden, muss der Websitebetreiber genau prüfen, ob sie den datenschutzrechtlichen Vorgaben gerecht werden.
- Die auf der Website bereitgestellten Datenschutzhinweise oder das bereits bestehende Consent-Management-Tool müssen dahingehend überprüft werden, ob sie hinsichtlich der verwendeten Cookies alle Angaben gemäß Art. 13 DSGVO und insbesondere Angaben zur Funktionsdauer und zu Zugriffsmöglichkeiten Dritter enthalten. Fehlen diese Angaben, kann keine wirksame Einwilligung eingeholt werden.
Individuelle Beratung für Ihre Website
Jede Website oder App, jedes Unternehmen und jede Branche sind anders und bringen eigene Anforderungen mit. Bei der Beratung zur Cookie-Strategie müssen das individuelle Risiko, mögliche Conversion-Optimierungen und das technische Setup berücksichtigt werden. Gerne unterstützen wir Sie dabei, Ihre passende Lösung zu entwickeln und aufzusetzen. Hier geht´s zum Kontaktformular.
Sebastian Herting ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter. Er unterstützt Unternehmen mit lösungsorientierter Beratung zu Daten, Technologie, KI und Marketing.