Cookies & Einwilligungspflicht: Ratgeber nach BGH-Urteil – mit Whitepaper

Bereits 2019 traf der EuGH ein weitreichendes Urteil zur Nutzung von Cookies – und am 28. Mai 2020 folgte ein weiterer Paukenschlag durch den BGH. Wie sieht die jetzige Rechtslage aus? Welche aktuellen Ratschläge gibt es? Und was können wir für die Zukunft erwarten? Das beantwortet dieser aktuelle Ratgeber – inklusive kostenlosem Whitepaper zur Nutzung von Cookies!

Urteile von EuGH, BGH und Position der DSK

Was urteilte der EuGH?

Der Europäische Gerichtshof (EuGH) ist 2019 mit seinem Urteil zur Rechtssache „Planet49“ (Az.: C-673/17) im Wesentlichen den Schlussanträgen des Generalanwalts Szpunar gefolgt und entschied: Auch bei Cookies ist Opt-out für eine Einwilligung unzulässig, stattdessen ist ein echtes Opt-in erforderlich. Jedoch urteilte das Gericht nicht darüber, ob die Nutzung von Cookies in Deutschland immer auf eine Einwilligung gestützt werden muss. Dies blieb zu dem Zeitpunkt offen, weil bestimmte Regelungen der ePrivacy-Richtlinie bisher nicht im deutschen Telemediengesetz (TMG) umgesetzt wurden. Gleichwohl machte der EuGH deutlich, dass er bei richtiger Umsetzung der ePrivacy-Richtlinie von einer Einwilligungspflicht ausgehen würde.

Welche Aussagen trafen die Aufsichtsbehörden?

Die deutschen Datenschutzbehörden veröffentlichten März 2019 im Rahmen ihrer gemeinsamen Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter von Telemedien, in der sie sich intensiv mit der Nutzung von Cookies auseinandersetzten und ihre Ansicht zum Verhältnis zwischen der DSGVO und dem TMG erläuterten. Darin führten sie aus, dass insbesondere Art. 5 Abs. 3 der ePrivacy-Richtlinie weder in § 12 und § 15 Abs. 1 TMG noch in § 15 Abs. 3 TMG richtig umgesetzt worden sei. Außerdem komme weder eine richtlinienkonforme Auslegung des § 15 Abs. 3 TMG noch eine unmittelbare Anwendung der Richtlinie in Betracht.

Daraus folgerten die Aufsichtsbehörden, dass (nur) die DSGVO für die Nutzung von Cookies mit Personenbezug Anwendung finde. Hierbei machten die Datenschutzbehörden deutlich, dass sie insbesondere bei Tracking regelmäßig eine Einwilligung für erforderlich halten. Im November 2019 schärften viele Behörden zudem erneut ihre Position und erklärten, dass sie die Verwendung von Google Analytics ebenfalls nur mit Einwilligung als zulässig erachten. Einwilligungsfrei blieben ihrer Ansicht nach vorrangig Cookies und Tools, die für den Betrieb der Seite erforderlich seien – sie folgten damit der Intention der ePrivacy-Richtlinie.

Was urteilte der BGH?

Nach dem Urteil des EuGH hat nun der Bundesgerichtshof (BGH) eine Grundsatzentscheidung zu Cookies getroffen. Er hat verbindliche Regelungen zur künftigen Nutzung von Cookies in Deutschland und der Notwendigkeit einer Einwilligung getroffen: Seinem Vorlagebeschluss vom 05.10.2017 (Az.: I ZR 7/16, Rn. 13) folgend entschied der BGH am 28. Mai 2020, dass § 15 Abs. 3 TMG richtlinienkonform auszulegen sei und auch seit Geltung der DSGVO für Cookies Anwendung findet.

Demzufolge sei eine Einwilligung (Opt-in) zur Nutzung von Cookies notwendig, wenn diese Nutzungsprofile mithilfe eines Pseudonyms (etwa einer ID) erstellen und dem Zweck der Werbung oder Marktforschung dienen. Diese Einwilligungspflicht gilt unabhängig davon, ob mithilfe der Cookies personenbezogene Daten verarbeitet werden. Die Voraussetzungen und Anforderungen einer wirksamen Einwilligung sind dieselben wie nach Art. 4 Nr. 11 DSGVO. Vorangekreuzte Kästchen sind damit unzulässig.

Folge dieser Entscheidung ist, dass damit insbesondere für Nutzungsanalyse zum Zwecke der Werbung, wie etwa bei Google Analytics, sowie für personalisierte Werbung immer eine Einwilligung eingeholt werden muss.

Was ist eine Einwilligung?

Eine Einwilligung ist gemäß Art. 4 Nr. 11, Art. 7 DSGVO eine eindeutig bestätigende Handlung, die freiwillig, bestimmt, informiert und unmissverständlich die Zustimmung der betroffenen Person zur Datenverarbeitung zum Ausdruck bringt. Sie muss widerrufbar sein und nachgewiesen werden können.

Aufgrund dieser gesetzlichen Anforderungen schlussfolgerte der EuGH – im Einklang mit der Ansicht der Datenschutzbehörden –, dass nur ein aktives Handeln (Auswahl eines Ankreuzkästchens, Klick auf einen Button) eine Einwilligung darstelle. Die vielfach gebräuchliche Formulierung in Cookie-Bannern „Mit dem Weitersurfen stimmen Sie zu“ ist deshalb spätestens seit dem EuGH-Urteil hinfällig. Der BGH bestätigte diese Auffassung in seinem Urteil vom 28. Mai 2020.

Ratschläge und Empfehlungen

Welche Cookies und Tools werden genutzt?

Für die juristische Bewertung von Cookies und vergleichbaren Tools kommt es stets auf die konkrete Datenverarbeitung, die Speicherdauer der Cookies und die Weitergabe der Daten an Dritte an. Es empfiehlt sich eine Bestandsaufnahme der auf der Website eingesetzten Cookies und Tools, um sie anschließend nach ihrer Notwendigkeit, der Art und der Intensität ihrer Datenverarbeitung einzuteilen. Überwiegend findet man so – neben notwendigen Cookies – eine Unterteilung der Cookies in Präferenzen, Statistik/Analyse und Marketing vor.

Wird immer eine Einwilligung benötigt?

Eine Einwilligung ist erforderlich, wenn die Voraussetzungen des § 15 Abs. 3 S. 1 TMG erfüllt sind und/oder die mithilfe von Cookies stattfindende Verarbeitung personenbezogener Daten nicht zur Wahrung der berechtigten Interessen erforderlich ist, weil die Art und der Umfang der Datenverarbeitung zu eingriffsintensiv sind. Der Anwendungsbereich des berechtigten Interesses erstreckt sich seit dem BGH-Urteil wohl nur noch auf notwendige Cookies sowie ggf. auf Cookies für Präferenzen (z. B. Schriftart, Design, Videoqualität) oder auf datenschutzfreundliche Reichweitenanalyse ohne Weitergabe der Daten an Dritte (wie z. B. mit den richtigen Datenschutzeinstellungen bei Matomo).

Die Aufsichtsbehörden sehen den Anwendungsbereich des berechtigten Interesses dabei, wie oben aufgeführt, sehr eingeschränkt. Da sie jedoch letztendlich diejenigen sind, die im Zweifel Verfahren gegen Websitebetreiber eröffnen und ggf. Bußgelder verhängen können, muss ihre Ansicht im Zuge einer Risikobewertung besonders berücksichtigt werden. Auch wenn man sich darüber streiten kann, wann ein berechtigtes Interesse für die Nutzung von Cookies mit Personenbezug vorliegt, bleiben bei einem risikoarmen Ansatz wohl nur die notwendigen Cookies einwilligungsfrei. Stützt man sich (außerhalb des Anwendungsbereichs des § 15 Abs. 3 S. 1 TMG) auf berechtigte Interessen, ist es empfehlenswert, sich eingehender mit den von den Datenschutzbehörden aufgestellten Kriterien aus der oben erwähnten Orientierungshilfe für die Interessenabwägung zu befassen. Dabei ist jedoch fraglich, ob die Erwägungen der Orientierungshilfe seit dem BGH-Urteil noch der Ansicht der Aufsichtsbehörden entsprechen bzw. in Gänze weiterhin Bestand haben.

Letztendlich bleibt die Cookie-Thematik damit vorerst – abseits der eindeutigen Einwilligungspflicht aus § 15 Abs. 3 S. 1 TMG – auch weiterhin eine Abwägungsfrage.

Ist ein Cookie-Banner notwendig und wie gestaltet man es?

Inzwischen kann man eindeutig sagen: Ein Cookie-Banner wird immer gebraucht, wenn Cookies verarbeitet werden und § 15 Abs. 3 S. 1 TMG einschlägig ist oder wenn nicht lediglich notwendige Cookies verwendet werden. Gleichwohl kann man auch ein solches Banner, auch wenn darüber eine Einwilligung eingeholt werden soll, durchaus marketingtauglich ausgestalten, um weiterhin Daten zur Optimierung der Website und zur Personalisierung der Angebote zu erhalten. Wie ein Banner praxisgerecht gestaltet werden kann, welche Informationspflichten erfüllt werden müssen und wie man die technischen und juristischen Anforderungen einhält, zeigen wir in unserem kostenfreien Whitepaper.

Zukunft und Ausblick

Passende Werbung ohne Cookies und Einwilligung: semantisches Targeting

Bestimmte Browser blockieren bereits standardmäßig verschiedene Arten von Cookies und Tools, die insbesondere für personalisierte Werbung eingesetzt werden. Auch angesichts dieser Tatsache beginnen Werbeunternehmen über Technologien für das Targeting ohne Cookies nachzudenken, damit auch im Falle einer fehlenden Einwilligung relevante Werbeinhalte angeboten werden können. Hierbei könnte das sogenannte semantische Targeting eine alternative Lösung sein. Dieses versucht Werbeumfeld und Werbeinhalt thematisch aufeinander abzustimmen.

Dabei wird das Thema einer Seite durch Erfassung des gesamten Inhalts bestimmt, wobei die im Text enthaltenen Wörter zusammenhängend analysiert werden. Hierzu werden Bedeutungszusammenhänge und linguistische Beziehungen hergestellt sowie der Inhalt einem bestimmten Kontext zugeordnet. Mithilfe dieses Verfahrens können die Werbetreibenden dem Nutzer genau die passende Werbung anzeigen, die dem jeweiligen Thema entspricht, mit dem er sich gerade beschäftigt – ohne dass es einer Einwilligung oder des Einsatzes von Cookies bedarf.

Weil keine personenbezogenen Daten verarbeitet werden, ist diese Lösung bestmöglich mit der DSGVO vereinbar – denn semantisches Targeting fällt gar nicht erst in deren Anwendungsbereich. Zudem werden keine Nutzungsprofile erzeugt, weshalb § 15 Abs. 3 S. 1 TMG nicht anwendbar ist. Auch fehlplatzierte Werbeanzeigen werden durch die ganzheitliche semantische Auswertung verhindert. Könnte semantisches Targeting damit eine echte Alternative für die Werbebranche sein? Das wird die Zukunft zeigen.

Künftige rechtliche Entwicklungen für Cookies

Der deutsche Gesetzgeber möchte eine Gesetzesänderung des TMG vornehmen, um es (doch noch) den Anforderungen der ePrivacy-Richtlinie anpassen. Dabei ist zu erwarten, dass nach dieser Änderung eine Einwilligungspflicht für alle nicht notwendigen Cookies gesetzlich normiert wird, wie sie in der ePrivacy-Richtlinie vorgesehen ist. Zunächst wurde ein Entwurf der Gesetzesänderung noch für Herbst 2019 angekündigt. Bisher ist davon aber noch nichts Handfestes an die Öffentlichkeit gelangt. Vermutlich wollte der Gesetzgeber noch das Urteil des BGH abwarten.

Daneben ringen die Mitgliedsländer der Europäischen Union seit Jahren mit der neuen ePrivacy-Verordnung, die eigentlich zeitgleich mit der DSGVO den europäischen Rechtsrahmen festlegen sollte. Bisher konnten sich die Mitgliedsländer im Europäischen Rat aber nicht auf eine gemeinsame Position einigen. So wird damit gerechnet, dass die ePrivacy-Verordnung nicht vor 2023/2024 zur Anwendung kommt. Zuvor wird also der deutsche Gesetzgeber für die Nutzung von Cookies auf nationaler Ebene den gesetzlichen Rahmen festlegen.

Wir halten Sie an dieser Stelle fortlaufend auf dem aktuellen Stand und werden Sie informieren, wenn sich die Rechtslage zur Nutzung von Cookies ändert.

Individuelle Beratung zur Nutzung von Cookies

Gerne beraten wir Ihr Unternehmen bei der Verwendung von Cookies und ähnlichen Technologien. Wir zeigen Ihnen verschiedene Lösungsmöglichkeiten basierend auf einer auf Sie zugeschnittenen Risikoabwägung. Zusammen mit Ihnen besprechen wir die konkrete Umsetzung eines Cookie-Banners auf Grundlage einer Einwilligung und klären, welche Informationen Sie über Cookies und ähnliche Technologien mitteilen müssen. Unsere Datenschutz-Experten unterstützen Sie dabei, die Nutzung von Cookies und ähnlichen Technologien praxistauglich in Ihr Geschäftsmodell zu integrieren.