Darf es noch ein Keks sein? – Welche Auswirkungen hat das neue BGH Urteil zum Setzen von Cookies für Webseitenbetreiber

Hinweis: Die Inhalte dieses Blogposts dienen lediglich dem unverbindlichen Informationszweck und stellen keine Rechtsberatung im eigentlichen Sinne dar. Alle hier enthaltenen Informationen verstehen sich ohne Gewähr auf Richtigkeit und Vollständigkeit und können keine individuelle und verbindliche Rechtsberatung ersetzen.

Wir kennen es alle: Wir besuchen eine Webseite und müssen uns – egal ob am PC oder über das Smartphone – zunächst einmal durch verschiedene Banner klicken und Hinweisen zum Setzen von Cookies zustimmen. Wer sich das Kleingedruckte wirklich durchließt, bleibt dabei fraglich. Die meisten Nutzer dürften stattdessen den einfachsten Weg gehen und auf „Alle auswählen“ klicken. Soweit so gut. Aber was passiert, wenn in einem Kästchen bereits ein Haken gesetzt ist? Im Fall des Webseitenbetreibers Planet49 war dies 2013 der Fall und führte zu einer Abmahnung und Klage durch den Bundesverband der Verbraucherzentralen und letztendlich zu einem langwierigen Rechtsstreit.

Dieser ist nun mit einem Urteil des BGHs vom 28. Mai 2020 abgeschlossen und sorgt für Klarheit in der undurchsichtigen – und teils widersprüchlichen – Rechtslage in Deutschland und Europa. Der BGH ist in seiner Entscheidung zum Setzen von Cookies einem Urteil des EuGHs aus dem Vorjahr im Wesentlichen gefolgt. Damit gilt ab sofort in Deutschland: Für das Setzen von nicht zwingend erforderlichen Cookies muss eine Zustimmung des Nutzers, also ein Opt-In, erfolgen. Was das konkret bedeutet und was Webseitenbetreiber ab sofort beachten müssen, stellen wir in diesem Blogpost in aller Kürze vor.

1. Das Urteil – Das BGH-Urteil vom 28. Mai 2020 besagt, dass das Speichern von Nutzerinformationen nur dann gestattet ist, wenn der Nutzer vorher freiwillig und informiert seine Einwilligung dazu gegeben hat. Damit löst die Entscheidung des BGHs das Telemediengesetz ab, das auch einen Opt-Out als zulässige Methode zum Setzen von Cookies eingestuft hat, und auf das sich bislang viele Werbetreibende berufen hatten.

2. Die Einwilligung – die Einwilligung des Nutzers muss „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,“ erfolgen. Das bedeutet im Umkehrschluss: Ein bereits voreingestelltes Ankreuzkästchen ist nicht länger zulässig. Auch reine Hinweis-Banner ohne Auswahlmöglichkeiten sind rechtswidrig.

3. Personenbezogen oder nicht: Einverständnis erforderlich – Die Notwendigkeit einer Zustimmung zum Setzen von Cookies bezieht sich laut des BGH-Urteils nicht nur auf Cookies, die personenbezogene Daten erfassen, sondern auf alle gespeicherten Informationen zum Nutzer.

4. Technisch notwendige Cookies sind weiterhin auch ohne Opt-In erlaubt – Eine Einwilligung ist dann entbehrlich, wenn die spezifischen Cookies unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. Dies gilt z.B. für technische Cookies – etwa Authentifizierungs-Cookies, Warenkorb-Cookies, Cookies zur Anpassung der Benutzeroberfläche, etc. – die das ordnungsgemäße Funktionieren eines Webshops garantieren.

5. Datenverarbeitung durch andere Tools bleibt unklar – Das BGH-Urteil bezieht sich lediglich auf den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Werbung oder Marktforschung. Zwar gelten auch hier die Regeln der DSGVO, eindeutige Richtlinien für andere Technologien, wie z.B. serverseitige Events und Beacons, gibt es jedoch nicht. Deren Nutzung bleibt eine rechtliche Grauzone.

6. Konsequenzen & Abmahnungen – Wer die Einwilligung zum Setzen von Cookies nicht an die Richtlinie anpasst, riskiert Abmahnungen. Diese können seitens eines Konkurrenten, von Webseitenbesuchern und Kunden oder auch durch die Datenschutzbehörde erfolgen. Mögliche Folgen sind Schadensersatzforderungen oder eine Geldstrafe laut DSGVO von bis zu 20 Mio. Euro oder 4% des gesamten weltweiten Jahresumsatzes des Vorjahres.

7. Blick in die Zukunft – Zwar ist mit dem BGH-Urteil eine eindeutige Rechtslage geschaffen worden, jedoch gibt es kein vom Gesetzgeber festgelegtes Datum, bis zu dem Webseitenbetreiber ihre Cookie-Einverständniserklärungen angepasst haben müssen. Wenn das Inkrafttreten der DSGVO vor zwei Jahren als Vergleichsbeispiel dient, ist eine Abmahnwelle aufgrund fehlender Ressourcen durch Datenschutzbehörden aber nicht zu erwarten. Man kann daher davon ausgehen, dass die Umstellung und Anpassung der gängigen Cookie-Banner über einen längeren Zeitraum hinweg erfolgen wird.

Im zweiten Teil des Blogposts liefern wir Ihnen praktische Tipps, wie Sie einen – aus Marketing-Sicht – erfolgreichen und gleichzeitig rechtskonformen Cookie-Banner erstellen und mit welchen Methoden Sie auch nach Inkrafttreten des neuen Gesetzes als Webseitenbetreiber sicher & erfolgreich agieren können.

P.S. Alle wichtigen Infos und weiteres Hintergrundwissen können Sie auch bequem in unserem Webinar zum Thema nachhören: Die neue Cookie-Entscheidung steht an.

Weiterführende Inhalte:

• Neues BGH Cookie-Urteil – So agieren Sie erfolgreich und rechtskonform [Teil 2]
• Was Sie über die DSGVO wissen sollten
• DSGVO: Weitere Antworten auf häufig gestellte Fragen zur Datenschutz-Grundverordnung