DSGVO hat die Cookie-Regelungen am 28. Mai 2020 deutlich verschärft
Mittlerweile kennen wir es alle: Wir gehen auf eine Webseite und bevor wir uns auf den Inhalt einlassen können, stört uns eine Box im Bildschirm, die uns dazu auffordert, aktiv zu werden – der sogenannte Cookie-Banner! Dieser erscheint in den unterschiedlichsten Darstellungen und mit den verschiedensten Auswahlmöglichkeiten. Darüber hinaus herrscht zum Teil eine gewisse Unwissenheit bei Webseitenbetreibern darüber, dass es mit dem Urteil des BGH (Bundesgerichtshof) am 28. Mai diesen Jahres überhaupt eine Pflicht zur Darstellung des Cookie-Einwilligungs-Banners samt Detailinformationen geben muss. Wobei es auch hier Ausnahmen gibt. Erfahren Sie im folgenden Beitrag, was die rechtlichen Vorgaben für Cookie-Banner sind und worauf Sie bei der Umsetzung zu achten haben.
Was wurde am 28. Mai 2020 von dem BGH zur Thematik „Cookie-Speicherung“ entschieden?
Am 28.05.2020 hat der BGH in seinem Urteil zum Thema Cookie Management entschieden (BGH, Urteil vom 28.05.2020, Az. I ZR 7/16, „Cookie-Einwilligung II"), dass Webseiten- sowie Online-Shop-Betreiber nur nach expliziter Einwilligung der Besucher sogenannte „Tracking-Cookies“ setzen dürfen.
Bereits am 01. Oktober 2019 hatte der Europäische Gerichtshof (EuGH) das Grundsatzurteil ausgesprochen, dass Webseitenbetreiber ihre Webseite mit Cookie-Einwilligungs-Banner auszustatten haben. Dieser Grundsatzentscheidung ist nun im Mai 2020 der BGH gefolgt und bestätigt damit, dass mit der neuen Regelung Cookie-Einwilligungen ausdrücklich ausgesprochen werden müssen und die Nutzung von Cookies nur mit der aktiven Zustimmung bzw. Einverständniserklärung der Nutzer erfolgen darf.
Um dies für die Praxis einheitlich umsetzen zu können, haben sich die Datenschutzbehörden auf die „Opt In“ Lösung verständigt.
Im Klartext heißt dies, dass vorangehakte Cookie-Zustimmungen ab dem 28.05.2020 nicht mehr erlaubt sind! Der Besucher muss im Vorwege informiert werden und aktiv seine Zustimmung erteilen. Ohne diese explizite Zustimmung dürfen nun keine Tracking-Cookies mehr gesetzt werden. Das früher übliche "Opt out" ist somit nicht mehr gesetzeskonform.
Was sind Cookies und welche Funktionen üben diese aus?
Im Grunde sind Cookies kleine Textdateien, die auf dem Computer gespeichert werden, wenn man eine Webseite besucht. Darin werden Informationen über den Besuch auf einer Seite notiert – zum Beispiel sorgen Sie dafür, dass der Warenkorb auf einer Webseite von z.B. Saturn gespeichert wird, auch wenn man die Seite zwischenzeitlich geschlossen hat. Oder dass man bei Instagram eingeloggt bleibt und nicht bei jedem Besuch die Daten neu eingeben muss.
Cookies sind also wie Erinnerungszettel in Form von Post-its für die Webseiten und werden als Dateien lokal auf dem jeweiligen Computer gespeichert. Diese Merkzettel bleiben unterschiedlich lange im Browser gespeichert – sie haben quasi ein voreingestelltes Verfallsdatum. Einige Cookies werden nach ein paar Stunden, Tagen oder Wochen wieder gelöscht. Es gibt aber auch Cookies, die überhaupt kein Verfallsdatum haben und so lange gespeichert werden, bis der Nutzer sie aktiv löscht.
Hierbei lassen sich Cookies in zwei Gruppen unterteilen:
Die einen sind die sogenannten „Session-Cookies“. Diese sind technischer Bestandteil des modernen Internets, dass es uns unter anderem ermöglicht, das Word-Wide-Web überhaupt so komfortabel nutzen zu können. Man spricht hier auch von den „notwendigen“ Cookies, ohne die ein „Surfen“ im Netz nicht möglich wäre. Zu den notwendigen Cookies gehören: Warenkorb-, E-Shops-, Login-Status-, Sprachauswahl-Cookies wie auch Cookies, die eine Cookie-Einwilligung speichern.
Die Cookies, worum es im EuGH- wie auch im BGH-Urteil geht, sind dagegen die „Tracking-Cookies“, die beim Einsatz von Google Analytics, Google Ads, Facebook-Pixel etc. zum Einsatz kommen. Der zusätzliche Einsatz bzw. das Aktivieren von sogenannten Tracking-Cookies dient im besonderen Maße dazu, das Surf-Verhalten von Nutzern auszuspähen und so zielgerichtete Werbung an diese schalten zu können. Mithilfe dieser Cookies können so von Nutzern Profile angelegt werden, die auch mit den Social-Media-Accounts verknüpft werden können.
Tracking-Cookies können auch dazu dienen, den Nutzer und sein Surf-Verhalten (vollständig) zu durchleuchten. Dabei werden teilweise private Informationen gesammelt und können in der Folge auch in das Privatleben der Nutzer eingreifen.
Um diesen gezielten „Daten-Missbrauch“ zukünftig vorzubeugen bzw. zu unterbinden und somit die Privatsphäre der Nutzer besser schützen zu können, erweitert der EuGH wie auch der BGH mit den jüngsten Urteilen die Rechte der Verbraucher. Nutzer werden vor jedem Eingriff in ihrer Privatsphäre geschützt - unabhängig davon, ob es um personenbezogene Daten geht oder nicht.
Welche Besonderheiten ergeben sich beim Einsatz eines Online-Buchungssystems?
Vor der Einbindung einer Booking-Engine (z.B. Channelmanager) auf eine Hotel-Website, sollte sich der Unternehmer darüber informieren, ob das System Cookies nutzt. Falls ja, muss auch für das Buchungssystem sichergestellt werden, dass vor dem Speichern von nicht erforderlichen Cookies die Einwilligung des Nutzers eingeholt wird.
Für einen mehrstufigen Buchungsprozess können Cookies u.a. technisch notwendig sein, um die Buchungsdaten, wie etwa die ausgewählten Leistungen oder die Kontaktdaten des Gastes, über mehrere Schritte hinweg zu speichern. Oft werden zusätzlich Einstellungen wie Sprache oder Währung für den nächsten Besuch gespeichert, um den Bedienkomfort zu erhöhen. Darüber hinaus werden in vielen Fällen auch Statistik- oder Werbe-Cookies eingesetzt, z.B. um nachverfolgen zu können, ob der Gast über einen Meta-Suchdienst wie Trivago zur Hotel-Website gelangt ist oder um Remarketing über Google-Anzeigen zu ermöglichen. Auskunft über die bei den Online-Buchungen eingesetzten Cookies erteilt der jeweilige Software-Anbieter.
Was ist für Webseitenbetreiber zu tun, falls noch nicht geschehen?
Ab sofort sollten Website-Betreiber ihre Cookie-Einstellungen überprüfen. Nur die aktive Einwilligung zählt, Voreinstellungen sind nicht mehr ausreichend!
Nachstehend die wichtigsten Punkte in der Zusammenfassung:
- Nach der neuesten Rechtsprechung ist zwingend eine echte Einwilligung von den Nutzern beim Besuch einer Webseite für das Setzen von Cookies – vor allem für Cookies für Marketingzwecken oder für das Erstellen von Statistiken, erforderlich. In dem Fall muss der Nutzer aktiv zustimmen. Um Abmahnungen, Bußgelder und sonstige Konsequenzen zu vermeiden, sollen Webseitenbetreiber ihre Nutzer um einzelne Einwilligungen bitten.
-
Ein Cookie-Banner mit schon vorangekreuzter Checkbox ist rechtlich nicht mehr zulässig. Die bisherige Praxis eines Hinweises wie "Durch Weitersurfen akzeptieren Sie..." stellt keine rechtliche Grundlage mehr dar und erfüllt längst keine ausreichende Einwilligung mehr.
- Der Einsatz eines Cookie-Banners muss die Cookies zuverlässig blockieren können, bis der Nutzer individuell eingewilligt hat. Erst dann dürfen die „Tracking-Cookies“ gesetzt werden.
- Zudem müssen die Nutzer über Anbieter, Art, Funktionsweise und Speicherdauer von jeglichen Cookies informiert werden.
- Im Vorwege ist also darüber Klarheit zu gewinnen, welche Skripte welche Cookies auf der Webseite setzen, um darüber weiter entscheiden zu können, wie grundsätzlich mit den Skripten und Cookies umgegangen werden soll und welche gegebenenfalls noch zum Einsatz kommen sollen.
Nutzung von Consent Tools für Cookie-Einwilligungen auf Ihrer Website
Wenn Sie für Cookies und Tracking Tools auf Ihrer Webseite eine echte, rechtskonforme Einwilligung von Nutzern einholen möchten, ist der Einsatz von sogenannten Cookie Consent bzw. Consent Management Tools unumgänglich. Sie blockieren verlässlich Tracking-Cookies bis der Webseitenbesucher eine aktive Einwilligung, durch das Setzen von Häkchen, erteilt hat. Nur diese Art von Cookie-Technologie ist geeignet, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen zu können. Mittlerweile gibt es zahlreiche Anbieter, die auch zum Teil, je nach Größe der Webseite, kostenfreie Versionen zur Verfügung stellen. Die Bekanntesten auf dem deutschen Markt sind Cookiebot, Usercentrics und Consentmanager.
AUSNAHME:
Mittlerweile gibt es erste Auswertungen darüber, wie Nutzer im World-Wide-Web mit der aktiven Zustimmung beim Setzen von nicht notwendigen Cookies (Tracking-Cookies) umgehen. Demnach entscheiden sich ca. 98% gegen das Setzen von derartigen Cookies und lediglich 2% dafür.
Dies ist auch ein Grund dafür, warum sich immer mehr Unternehmer dazu entscheiden, auf bisherige Cookies, wie z.B. zur Messung von Kundenverhalten im Netz, ganz zu verzichten und sich nur noch auf die sogenannten Session-Cookies zu beschränken. Denn durch die überwiegende Nichtaktivierung dieser Cookies ist ein Auswerten der bisherigen Nutzerdaten so gut wie nicht mehr möglich und lässt hieraus auch keine messbaren Rückschlüsse mehr ziehen.
In dem Fall, dass die Webseite lediglich unbedingt (technisch) erforderliche Cookies verwendet (z. B. Session-Cookies, Warenkorb-Cookies, Login-Cookies), ist kein Cookie-Banner mit aktiver Zustimmung erforderlich. Hier empfiehlt es sich jedoch, die Nutzer künftig mit einem Hinweis-Banner darüber zu informieren, dass nur „notwendige“ bzw. „Session“ Cookies zum Einsatz kommen, ohne dass diese weitere, aktive Maßnahmen zu treffen haben.
Gleichwohl müssen aber auch in diesem Fall die Informationspflichten in der Datenschutzerklärung beachtet bzw. erfüllt werden.
Cookies und Cookie-Banner: Fazit
Für Werbetreibende, deren Umsätze stark an wirkungsvollen Zielgruppenwerbung und Remarketing-Kampagnen gebunden sind, wird durch das neueste Urteil von EuGH und BGH die Umsetzbarkeit ihrer Arbeit erheblich eingeschränkt. Jedoch auch für diejenigen, die mit Google Analytics und anderen Marketing-Tools versucht haben, ihre Zielgruppe zu analysieren, um daraus zielgerichtete Marketing- und Verkaufskampagnen ableiten zu können. Auf der anderen Seite werden mit den Urteilen die Grundrechte jedes Einzelnen gewahrt und geschützt, grundsätzlich selbst über die Preisgabe und Verwendung der personenbezogenen Daten bestimmen zu können.
Unabhängig davon, hat sich nach dem BGH-Urteil im Mai nun jedes Unternehmen mit eigener Website, das keine Abmahnung oder Schadenersatzklage riskieren will, wohl oder übel mit dem Thema Cookies intensiv auseinanderzusetzen. Für die Webseitennutzer dagegen heißt es, sich an die „Störenfriede“ Cookie-Banner auf unabsehbarere Zeit zu gewöhnen.
Mehr zur DSGVO und wie wir Ihnen helfen können erfahren Sie unter hier: DSGVO-Beratung.
Herzlichst,
Jan Schmidt-Gehring
Diskutieren Sie mit!
Hinterlassen Sie hier Ihren Kommentar!
Ihre E-Mail-Adresse wird nicht veröffentlicht, erforderliche Felder sind markiert *. Mit Ihrem Kommentar erklären Sie sich mit den Kommentarrichtlinien und den Datenschutz-Regeln einverstanden.