Erneut hat der EuGH mit einem weiteren Urteil zur sog. „Cookie-Richtlinie“ Websitebetreiber in die Pflicht genommen, die eigenen Datenschutzhinweise zu überprüfen und ggf. zu erweitern. Unternehmen müssen sich daher erneut die Frage stellen, welche Informationen, in welchem Detailgrad, zu welchem Zeitpunkt mitgeteilt werden müssen.
––– Update nach Urteil des BGH vom 28. Mai 2020 –––
Der Bundesgerichtshof entschied in seinem Urteil vom 28. Mai 2020, dass der Einsatz von Cookies zu Werbezwecken auf Internetseiten, der aktiven Zustimmung des Nutzers (Opt-In) bedarf.
Um sich dem Thema Cookies in einem ersten Schritt zu nähern, sollten sich Websitebetreiber vor dem Hintergrund des Inhalts der Entscheidung des EuGH folgende Fragen stellen:
Kommen Cookies auf meiner Seite überhaupt zum Einsatz und wenn ja, welche Cookies werden verwendet?
Um die verwendeten Cookies auszulesen, gibt es viele Tools, die sich z.B. als Browserplugin installieren lassen. Über diese Tools lassen sich die Cookies einzeln auslesen und übersichtlich auflisten. Daneben kann man insbesondere erfahren, wie die Cookies konkret eingesetzt werden uns insbesondere welche Daten sie erheben. Alternativ gibt natürlich auch gerne die Agentur Ihres Vertrauens Auskunft.
Was sagen mir die ausgelesenen Cookies?
Cookies lassen sich grundsätzlich in unterschiedliche Klassen aufteilen. Die meistgenutzten Cookies gehören der Klasse der sog. „technischen Cookies” an. Diese Cookies sind für die Funktion der Website - reibungslose Navigation und Nutzung - wichtig. “Personalisierende Cookies” entstammen einer weiteren Klasse und speichern Daten von wiederkehrenden Besuchern. “Statistik-Cookies” werden beispielsweise von Drittanbietern wie etracker oder Google Analytics eingesetzt. Statistik-Cookies helfen den Webseitenbetreibern zu verstehen, wie Besucher mit Webseiten interagieren, indem sie Informationen zu dem Surfverhalten der Nutzer sammeln. Daneben gibt es auch weitere, eher unbedeutende Cookie-Klassen.
Nach den Vorgaben der einschlägigen Datenschutzgesetze ist dann für den Webseitenbetreiber im Ergebnis entscheidend, welche Cookies konkret eingesetzt, welche Daten konkret von den Cookies gesammelt und zu welchem Zweck die Daten von den Cookies erhoben werden sowie insbesondere auf welcher gesetzlichen Ermächtigungsgrundlage die Datenerhebung vollzogen werden kann, damit die gesetzlichen Vorgaben eingehalten werden.
Wie sollten die Cookies dargestellt werden?
Soweit die Datenerhebung durch den Cookie auf eine Ermächtigungsgrundlage gestützt werden kann, ist insbesondere die datenschutzrechtliche Informationspflicht gegenüber den Webseitenbesuchern zu erfüllen und ggf. eine Einwilligung einzuholen. Art und Umfang der vorgenannten Pflichten hängen dann davon ab, ob und welcher Cookie eingesetzt wird. Grundsätzlich gibt es folgende Möglichkeiten:
- Information: Der Kunde wird informiert, dass Cookies gesetzt werden -> Einwilligung mit “OK” durch den Nutzer.
- Ja oder Nein: Der Kunde wird gefragt, ob das Nutzen von Cookies gestattet ist -> Einwilligung oder Verneinung durch den Nutzer.
- Opt-Out: Der Kunde wird gefragt, ob und welche Cookies er zulassen will. Bis zu diesem Zeitpunkt, wird der Gebrauch von Cookies zugelassen.
- Opt-In: Der Kunde wird gefragt, ob und welche Cookies er zulassen will. Erst ab diesem Zeitpunkt und nur mit der Zustimmung des Nutzers, werden die ausgewählten Cookies zugelassen.
Warum stehen so viele Webseitenbetreiber dem Opt-In Verfahren skeptisch gegenüber?
Bei der Opt-In-Variante wird mit dem Aufruf der Seite zunächst kein Cookie gesetzt. Der Einsatz dieser Variante ist zwar aus datenschutzrechtlicher Sicht der sicherste Weg, um nicht endsprechende gesetzliche Vorgaben zu missachten. Aus Marketingsicht ist der Einsatz dieser Variante aber durchaus skeptisch zu betrachten, da im Ergebnis nur noch von den einwilligenden Usern endsprechende Daten verarbeitet werden können. Eine Optimierung der Website gestaltet sich dann in der Praxis durchaus schwierig, da deutlich weniger Daten vorliegen.
Was ist zu tun?
Zunächst sollte eine Übersicht der verwendeten Cookies erstellt werden. Die Cookies sollten in einem zweiten Schritt datenschutzrechtlich analysiert werden. Dabei ist es im Zweifel immer ratsam, einen Rechtsanwalt oder Datenschützer zu Rate zu ziehen und sich mit diesem über die verwendeten Cookies auszutauschen. Dieser sollte zudem “grünes Licht“ für die gewählte Lösung des Cookie-Hinweises, der Datenschutzerklärung und des Einwilligungstextes geben. Der User ist in jedem Fall transparent in Bezug auf jeden verwendeten Cookie nach dem Vorgaben der EuGH-Rechtsprechung aufzuklären. Zuletzt sollte die Cookie-Lösung bzgl. der Einwilligungsvorgabe so in die Seite integriert werden, dass sie dem User eindeutig die relevanten Informationen zur Verfügung stellt und eine Einwilligung vom User einholt. Die Opt-in Lösung stellt hier datenschutzkonform die sicherste Lösung dar, dass vor einem Einsatz der Cookies die Einwilligung nachweislich abgegeben wird.