BGH-Urteil zur Einwilligung in die Speicherung von Cookies
von Sandra Hoffmann (Kommentare: 1)
Für manchen Webdienstleister oder Webseitenbetreiber lag die Hoffnung auf dem Urteil, das der BGH letzte Woche gefällt hat, um die Einwilligungspflicht bei der Nutzung von Cookies doch noch umgehen zu können. Anwälte und Datenschützer waren sich jedoch einig, dass der Bundesgerichtshof dem Urteil des EuGH vom Juli 2019 folgen würde.
Cookies nur mit Einwilligung des Nutzers
Wer sich bisher nicht vom EuGH-Urteil zur Einwilligungspflicht beim Setzen von Cookies auf Webseiten beeindrucken lassen wollte und auf das Urteil aus Karlsruhe gehofft hatte, wird feststellen, dass der BGH mit seinem Urteil vom 28.05.2020 dem EuGH gefolgt ist.
Webseitenbetreiber, sind verpflichtet, bei der Nutzung von sogenannten Session-Cookies (technisch notwendige Cookies) über diese zu informieren und bei allen weitern Arten von Cookies (z. B. Analyse-Cookies von Google Analytics) vorab die Einwilligung des Nutzers einzuholen. Hierbei ist zu beachten, dass nicht nur eine Weitergabe von personenbezogenen Daten durch das Setzen von Cookies erfolgt, sondern auch durch externe Skripte, Dritt-Anfragen, PlugIns und weitere Tools, für die es eine Einwilligung des Nutzers bedarf.
Cookie-Banner
Diese Einwilligung kann mittels Cookie-Banner abgefragt werden. Hierbei ist darauf zu achten, dass der Nutzer proaktiv seine Einwilligung erteilt, die Haken somit vorab nicht gesetzt sind und kein eingebundenes Tool aktiv ist, bevor der Nutzer dieses bestätigt.
Zudem muss der Nutzer die Möglichkeit haben, über das Cookie-Banner auf die Datenschutzerklärung und das Impressum zugreifen zu können, ohne zuvor eine Cookie-Auswahl zu treffen. Ergo darf er/sie auf der jeweiligen Seite ebenfalls nicht getrackt werden. Denn der Webseitenbesucher muss die Möglichkeit haben, sich sowohl über das Unternehmen (Impressum), dessen Seite er besucht, als auch über die auf der Seite genutzten Tools (Datenschutzerklärung) zu informieren, bevor er/sie sich für die jeweiligen Cookies entscheidet. Hierbei ist zu beachten, dass auf den beiden Seiten das Cookie-Banner die Informationen nicht "überblendet", sodass der Nutzer zur Akzeptanz gezwungen wird.
Nicht vergessen werden sollte, dass der Webseitenbesucher jederzeit das Recht hat, seine Einwilligung zur Datenverarbeitung zu widerrufen. Somit muss die Möglicheit gegeben sein, die Einwilligung auf dem gleichen, simplen Weg zurückzunehmen. Die Umsetzung ist am einfachsten über das Opt-Out im Cookie-Banner zu realisieren.
Cookies, Dritt-Anfragen, externe Skripte, PlugIns & weitere Tools
Schon im Sommer 2019 haben wir uns ausführlich mit der Thematik beschäftigt und informierten zusätzlich am 14.11.2019 über die Pressemitteilung des BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit), dass personenbezogenes Webtracking nur mit Einwilligung durchgeführt werden darf.
Weiters Hintergundwissen können Sie in unserer 3-teiligen Serie „Cookies und andere gefährliche Angelegenheiten“ nachlesen. Bereits in unserem ersten Blog-Artikel vom 1. August 2019 hatten wir erklärt
- Was sind personenbezogene Daten?
- Was sind Cookies?
- Was sind technisch notwendige Cookies (Session-Cookies)?
- Was sind Marketing Cookies?
- Wozu benötigt man ein Cookie Banner?
- Cookies von Marketing- und Analyse-Tools
und sind in unserem zweiten Blogartikel darauf eingegangen, dass eine Datenverarbeitung ausschließlich mit einer Rechtsgrundlage erfolgen darf.
Hier haben wir die mögliche Nutzung von Cookies im Rahmen
- des berechtigten Interesses (Art. 6 Abs. 1 f) DSGVO) und auf Basis
- der Einwilligung (Art. 6 Abs. 1 a) DSGVO)
erläutert.
Wir sind auch auf das EuGH Urteil im „Fashion-ID“ Fall vom 29.07.2019 hinsichtlich es Facebook-Like-Buttons, dem der BGH am 28.05.2020 gefolgt ist, eingegangen. In diesem Zusammenhang sind wir auf die Differenzierung der Verantwortlichkeiten mit personenbezogenen Daten in eigenverantwortlicher Regie oder als Auftragsverarbeiter eingegangen.
Zusammenfassend hatten wir, wie die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe festgestellt, dass eine Einwilligung mittels Cookie-Abfrage jeweils vor dem aktiven Zugriff eines Dritt-Anbieter- oder Analyse-Tools erfolgen muss.
Im dritten Teil unserer Serie, der Ende August 2019 erschienen ist, sind wir auf die technischen Informationen zu Cookie-Banner eingegangen und welche Varianten es gibt. Zudem haben wir erläutert, wie eine datenschutzkonforme Einwilligung aussieht und dass diese auch immer die Möglichkeit eines Widerrufs bieten muss. Ernüchternd kam hinzu, dass der Widerruf so einfach wie er erteilt wurde umzusetzen ist. Dies ist, unter Umständen, für Webseitenbetreiber eine zusätzliche Herausforderung.
Spätestens jetzt: Webseiten-Update
Ihre Webseite ist nicht nur Ihre positive Außendarstellung für Ihre Kunden, sie ist auch ein möglicher Angriffspunkt für Externe, die Ihnen nicht wohlgesonnen sind. Aus diesem Grund sollten Sie hier sicher aufgestellt sein. Denn bereits auf der Herbstkonferenz des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. 2019 hatten sowohl der Baden-Württembergische als auch der bayrische Landesdatenschutzbeauftrage erklärt, dass eine inkorrekte Einbindung des Cookie-Banners einen Datenschutzverstoß darstellt. Nach dem Urteil des BGH ist aktives Handeln geboten, da Sie rechtlich keine "Ausrede" mehr finden werden.
Die dacuro GmbH prüft bei all ihren Kunden obligatorisch die Webseite auf Datenschutzkonformität. Denn bei Webseiten ist aktuell nicht nur auf das Cookie-Banner zu achten, es gibt mehrere Stolperfallen, die Ihnen zum Verhängnis werden können. Diese Dienstleistung können Sie auch bei uns anfragen, wenn Sie keinen Datenschutzbeauftragten benötigen. Gerne beraten wir auch Webdienstleister bei der Umsetzung von datenschutzkonformen Webseiten. Sprechen Sie uns an, wir freuen uns.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben
Kommentar von Udo |
Das Urteil bezog sich doch eigentlich auf Cookies zum Zweck von Marktforschung und Werbung.
Eine Aussage zu Cookies für Webanalyse/ Reichweitenmessung finde ich dort nicht.
Wieso schlussfolgern Sie, dass auch für die Webanalyse ein Opt-In erforderlich ist? Damit macht man ja weder Marktforschung noch Werbung.
Antwort von Sandra Hoffmann
Lieber Udo,
vielen Dank für Ihren Kommentar!
In der Tat war vielleicht aus den Schlagzeilen zum Urteil nicht ersichtlich, was genau das Urteil für Webanalysen bedeutet. Dies lässt sich aber aus dem Urteil durchaus ablesen. In § 22 konstatiert der BGH, dass personenbezogene Daten auf Webseiten nur verarbeitet werden dürfen, wenn dies gesetzlich vorgeschrieben ist, oder der Nutzer eingewilligt hat.
Da auch die Webanalyse nicht vorgeschrieben ist, kann es sich auch hier nur um die Einwilligung als Grundlage handeln. Auch der BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hat in seiner Pressemitteilung vom 14.11.2019 (Link im Blog-Beitrag) nochmals verdeutlicht, dass personenbezogenes Webtracking nur mit Einwilligung erlaubt ist. Und hier ist der Kern des Urteils; nämlich, dass eine Einwilligung nicht vorausgesetzt werden darf („durch Nutzung der Webseite …“), und nicht durch voreingestellte Boxen eingeholt werden kann, sondern eine aktive Handlung des Nutzers voraussetzt (wie der EUGH im "Planet 49"-Urteil vorgegeben hat). Der BGH klärt also allgemeine Regeln auf, die, auch wenn Sie im Streitfall auf Werbung angewendet wurden, für die Webanalyse genauso gelten, soweit diese Cookies oder Dritt-Anfragen erfordert.
Sollten Sie hier Fragen bezüglich Ihrer eigenen Webseite und Nutzung von Reichweitenmessung haben, so beantworten wir gerne spezifische Fragen. Gerne besprechen wir unsere Konditionen mit Ihnen, wenn Sie uns eine E-Mail an kontakt@dacuro.de dazu senden.
Viele Grüße,
Ihr dacuro Team