Cookies speichern beim Surfen im Internet Daten über das Surfverhalten (wie z.B. die Verweildauer, die aufgerufenen Unterseiten oder die Eingabe eines Suchbegriffs) in Form von Textdateien auf dem Endgerät des Nutzers. Bei der Verwendung von Cookies werden personenbezogene Daten, wie etwa die IP-Adresse, verarbeitet.
Verwaltet werden Cookies über den Browser, mit dem man die Webseite aufruft (zum Beispiel Internet Explorer, Chrome, Firefox, Safari). Bei einem späteren Besuch der Website werden mit ihrer Hilfe die Nutzer und ihre Einstellungen wiedererkannt (z.B. Login-Daten). Nicht für jeden Anlass braucht es Cookies, aber sie verbessern den „Surfkomfort“.
Cookies werden auch dazu verwendet, Verbrauchern individuelle Werbung zu präsentieren. Der Einsatz von Analyse- und Marketing-Cookies ist für die meisten Seitenbetreiber von großer Bedeutung. Sie dienen also Webseitenbetreibenden und Usern gleichermaßen. Oft werden Cookies beim erstmaligen Aufruf der Websites automatisch gesetzt.
Der europäische Datenschutzausschuss (EDSA) hat am 5. Mai 2020 aktualisierte „Leitlinien zur Einwilligung in die Nutzung von Internetseiten“ veröffentlicht. Bereits im Vorwort werden zwei Trends bei der Cookie-Verwendung kritisiert, nämlich der Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sog. „Cookie-Walls“ gegeben wird sowie die Einwilligung durch Scrollen auf einer Website. Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können.
Ausgangslage und Hintergrund der neuesten BGH-Entscheidung
Ein besonderes Augenmerk legt der EDSA auf die Frage, wann eine Einwilligung als „freiwillig“ angesehen werden kann. Dabei verfolgt der EDSA ein sehr restriktives Verständnis. Jeder unangemessene Einfluss auf betroffene Personen bei der Abgabe der Einwilligung sei unzulässig. Folglich darf der Zugang zu einem Web-Service nicht von der Erlaubnis in das Setzen von Cookies abhängig gemacht werden darf.
Viele Seitenbetreiber haben bisher hiergegen verstoßen, indem sie Cookie-Banner so konfigurieren, dass der Nutzer allen gesetzten Cookies mit einem Klick zustimmen kann. Gerade in Deutschland ist diese Praxis stark verbreitet, weil die Bundesregierung die im TMG definierten Anforderungen als ausreichend erachtet hat. Der Bundesverband der Verbraucherzentralen hatte gegen einen Anbieter von Onlinegewinnspielen (planet49) geklagt, der auf seiner Website bereits voreingestellt hatte, dass Cookies erlaubt sind. Der in diesem Fall angerufene Europäische Gerichtshof (EuGH) hatte bereits im Oktober 2019 geurteilt, dass die Speicherung von Cookies eine aktive Zustimmung voraussetzt und das automatische Setzen technisch nicht notwendiger nicht zulässig ist. Der Fall ging an den BGH zurück, der nun nach den Vorgaben des EuGH urteilte. Begründet wird dies mit einer richtlinienkonformen Anwendung des § 15 Abs. 3 Telemediengesetz (TMG). Die Entscheidung des BGH (Urteil vom 28. Mai 2020, AZ I ZR 7/16 – Cookie-Einwilligung II, Pressemitteilung abrufbar auf der Seite des BGH) sorgte für viel Unruhe, da sie aktuell im Widerspruch zur Auffassung der deutschen Datenschutz-Aufsichtsbehörden steht (vgl. Orientierungshilfe für Anbieter von Telemedien). Danach sind die datenschutzrechtlichen Regelungen des TMG nicht mehr anwendbar.
Was beutet die Entscheidung des BGH? Gilt nun eine Pflicht zur Einwilligung bei allen Arten von Cookies?
Dem BGH-Urteil zufolge benachteiligt ein voreingestellter Haken im Feld zur Cookie-Einwilligung Nutzerinnen unangemessen. In das Setzen solcher Cookies müssen Nutzer aktiv einwilligen. Wer dies missachtet, riskiert kostspielige Abmahnungen und Bußgelder. Darüber hinaus hat bereits der EuGH festgestellt, dass in einem Opt-In Cookie-Banner keine Vorbelegung der technisch nicht notwendigen Cookies erfolgen darf. Eine Cookie-Wall verhält sich ähnlich wie ein Türsteher. Beim ersten Aufruf der Website ist sie vorgeschaltet und verlangt vom Nutzer eine Entscheidung dahingehend, welche Cookies gesetzt werden sollen. Viele solcher Konstrukte werden den geltenden Datenschutzbestimmungen der DSGVO jedoch nicht gerecht. Häufig sind sie intransparent oder sie „nötigen“ dazu, dem Setzen von Cookies zuzustimmen. Einige Seitenbetreiber unterstellen ihren Nutzern, dass diese ihre Cookie-Einwilligung erteilen, indem sie einen oben platzierten Cookie-Hinweis zur Kenntnis nehmen und dann auf der Seite nach unten scrollen. Ein solches Nutzerverhalten ist jedoch keine eindeutige Handlung, welche die Einwilligung bestätigt.
Wenn ein Nutzer eine Website über den Browser lädt und sich auf dieser „bewegt“, kann also eine wirksame Einwilligung noch nicht vorliegen. Folglich dürfen technisch nicht notwendige Cookies (noch) nicht gesetzt werden. Das automatische Setzen ist nur gestattet, sofern Cookies für die Nutzung einer Website aus technischer Sicht notwendig sind. Angenommen ein Unternehmen betreibt einen Online-Shop, so darf das Cookie gesetzt werden, welches die Funktionalität des Warenkorbs sicherstellt. Dies betrifft jedoch vergleichsweise wenige Verwendungen. Cookies, die z.B. der Webanalyse dienen, gelten nicht als technisch notwendig. Somit dürfen sie auch nicht automatisch gesetzt werden. Dies gilt im Übrigen auch für solche Cookies, die keine personenbezogenen Daten erfassen oder verarbeiten. Stattdessen muss eine aktive Einwilligung des Nutzers erfolgen. Das Aktivieren solcher Cookies ist somit nur zulässig, wenn der Nutzer die entsprechenden Haken auf dem Cookie-Banner selbst setzt. Viele Nutzer hingegen sind wegen der zahlreichen Pop-ups beim erstmaligen Aufruf einer Webseite verärgert oder ignorieren die Flut an gesetzlich erzwungenen Informationen.
Reaktionen auf EDSA-Leitlinien und das BGH-Urteil
Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber die aktuellen Leitlinien:
„Es gibt immer noch Internetseiten, die durch ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten“.
Zu einer ganz anderen Einschätzung gelangt die Wirtschaft. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder kommentiert entsprechend:
„Das Urteil des Bundesgerichtshofs trifft die Webseitenbetreiber schwer und es nervt viele Internetnutzer. Neben den hohen Auflagen der DSGVO müssen die Betreiber von Webseiten jetzt zusätzliche Prozesse und Formulare für ihre Web-Angebote einführen, um Cookies auch künftig nutzen zu dürfen. Alle Cookies, die als nicht unbedingt erforderlichen gelten, dürfen jetzt nur noch mit aktiver Einwilligung gesetzt werden. Welche Cookies damit gemeint sind, bleibt jedoch unklar. Dieser Unsicherheit wird für alle Seiten zu höheren Aufwänden führen.“
Was ist zu tun?
Die Rechtslage ist auch nach dem BGH-Urteil undurchsichtig. Eine mögliche Klärung durch die geplante ePrivacy-Verordnung der EU ist nicht absehbar. Im TMG ist lediglich eine Opt-out Lösung vorgesehen. Die vom EuGH herangezogene Cookie-Richtlinie ist strenger formuliert und sieht eine Opt-in Lösung vor. Das Bundeswirtschaftsministerium will das TMG entsprechend anpassen. Für Anbieter heißt das im Zweifel, dass sie ihre Prozesse in den kommenden Monaten mehrfach überarbeiten müssen.
Zunächst sollten Webseitenbetreiber eine Analyse der Ist-Situation vornehmen:
- Es ist zu prüfen, ob und welche Cookies zum Einsatz gelangen. Anschließend wird ermittelt, wann diese gesetzt werden und ob sie als technisch notwendig gelten oder eine Einwilligung des Nutzers erfordern.
- Befindet sich ein Cookie-Banner im Einsatz, ist zu prüfen, ob dieses den datenschutzrechtlichen Anforderungen gerecht wird, indem u.a. keine unzulässige Vorbelegung stattfindet. Ein simples Cookie-Banner genügt selten, im Regelfall führt am Einsatz eines Consent-Tools kein Weg vorbei.
- Im nächsten Schritt sind technische Maßnahmen zu ergreifen, damit ein datenschutzkonformes Setzen der Cookies erfolgt. Darüber hinaus kann die Notwendigkeit bestehen, die Datenschutzerklärung der Website anzupassen.
Fazit
Die Entscheidungen von EuGH und BGH wie auch die aktuelle Leitlinie des EDSA bringen nochmals Klarheit in die Gestaltung von Cookie-Bannern. Sie betreffen so gut wie alle Unternehmen, Behörden, Kommunen, da sie in der Regel Websites betreiben und diese von außerhalb überprüfbar sind. Nutzer, Verbraucherschützer, Aufsichtsbehörden und Mitbewerber können leicht ermitteln, ob ein Seitenbetreiber die geltenden Cookie-Regeln einhält. Nach wie vor sind viele Cookie-Banner mit Einwilligungslösungen datenschutzrechtlich unzulässig.
Die Aktualisierung der Leitlinien zur Einwilligung in die Nutzung von Internetseiten ist nicht nur ein Signal an die Betreiber von Websites, sondern ebenso an die zuständigen Aufsichtsbehörden, deren Aufsichts- und Kontrolltätigkeit sich bis ins Jahr 2019 auf die Beratung und Unterstützung der Verantwortlichen konzentrierte. Damit wird aber 2020 Schluss sein: Die höchsten Datenschützer Europas haben verständlich gemacht, dass ihnen einige der gegenwärtigen Praktiken rund um die Cookie-Einwilligung ernsthafte Sorgen bereiten bzw. sie diese nicht hinnehmen. Damit erhöht sich die Wahrscheinlichkeit, dass die zuständigen Behörden in Zukunft einen stärkeren Fokus auf dieses Thema setzen. So hat z.B. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz am 5. Mai 2020 sein Konzept zur effektiven Durchsetzung des Datenschutzes und seinen Aktionsplan für das Jahr 2020 vorgestellt und verstärkte stichprobenweise Prüfungen und Untersuchungen von Webseiten angekündigt. Andere Bundesländer dürften nachziehen.
Bewusste Verstöße gegen den Datenschutz stellen somit keine Option (mehr) dar. Für zahlreiche Seitenbetreiber entsteht damit akuter Handlungsbedarf, für Internetnutzer hingegen weiterer Komfortverlust: Sie müssen häufiger Banner wegklicken oder Häkchen setzen, bevor sie die gewünschten Inhalte sehen.