Nun ist es endgültig: Der einfache Cookie-Banner ist tot.

3plus
2 min.

Wer lediglich in seinem Cookie-Banner auf das Tracking des Nutzers hinweist, oder wer den Besucher darüber informiert, dass er „durch die Weiternutzung der Webseite seine Einwilligung zum Setzen von Analyse-Cookies erteilt“, muss spätestens jetzt seine Webseite anpassen!

Das Urteil des BGH v. 28.05.2020 („Cookie-Einwilligung II“) bestätigt das recht umstrittene Cookie-Urteil des EuGH v. 01.10.2020 und schafft nun endgültige Klarheit!

Ein Opt-out reicht nun nicht mehr für ein legales Tracking! Der Webseitenbesucher muss aktiv einwilligen!

Genau zwei Jahre nach Geltung der DSGVO entschied jetzt der BGH letztinstanzlich über die rechtswidrige Praxis von „Planet 49“, ein „Unterlassen“ des Webseitenbesuchers als eine Einwilligung im Sinne des Datenschutzrechts auszulegen.

Konkret ging es darum, dass der Webseitenbetreiber gerade nicht von einer Einwilligung des Webseitenbesuchers in ein Tracking ausgehen darf, wenn dieser dem Webtracking, bzw. der Webanalyse nicht aktiv widerspricht (z. B. durch ein Opt-out). Für eine legale Webanalyse bedarf es vielmehr eine aktive Einwilligung des Nutzers, in dem er z. B. ein Häkchen setzt oder einen Schalter bewegt, welches digital die Einwilligungserklärung des Nutzers in ein Tracking oder Profilbildung verkörpert bzw. manifestiert.

Dies ist für Webseitenbetreiber besonders bitter, die sich vor allem auf § 15 Abs. 3 Satz 1 Telemediengesetz (TMG) beriefen. Diese, im europäischen Rechtsraum einmalige Vorschrift besagt: „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile … erstellen, sofern der Nutzer nicht widerspricht.“, also vordergründig ein passives Verhalten des Webseitenbesuchers für das legale Tracking genügen lässt. Kritiker sahen in dieser Vorschrift seit jeher einen Verstoß gegen europäisches Recht, insb. gegen Art. 5 Abs. 3 der europäischen EPrivacy-Richtlinie, wonach „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines … Nutzers gespeichert sind [also insb. Cookies], nur gestattet ist, wenn der betreffende … Nutzer … seine Einwilligung gegeben hat.“.

Der BGH hat nun folgendes klargestellt:

Eine Einwilligung bedarf einer aktiven Handlung seitens des Einwilligenden. D. h. ein rein passives Verhalten kann nie als eine Einwilligung interpretiert werden.

Die deutsche (Sonder-)Vorschrift in § 15 Abs. 3 Satz 1 TMG ist „europarechtskonform“ auszulegen. D. h. Sie entspricht durchaus europäischen Recht, solange man diese entsprechend den übergeordneten Normen, insb. gemäß der Vorschrift aus Art. 5 Abs. 3 der EPrivacy-Richtlinie, auslegt. Daraus folgt wiederum, dass jeder, der zu Werbezwecken und zur Profilbildung umfangreich tracken will, ganz klar eine Einwilligung durch ein Opt-In des Besuchers benötigt.

Und daraus folgt aber auch, dass für Cookies, die notwendig sind, um den angefragten Dienst oder Funktionalität zu ermöglichen, weiterhin keine Einwilligung eingeholt werden müssen. Aber selbstverständlich muss der Besucher hierüber aufgeklärt werden!

Die europäische Aufsichtsbehörde für Datenschutz hat zumindest bei den folgenden Cookies eine regelmäßige Notwendigkeit bestätigt. D. h. für diese Cookies braucht es keine Einwilligung des Nutzers durch ein aktives Opt-In:

  • Unser-Input-Cookies
  • Authentifizierungscookies
  • Nutzerorientierte Sicherheitscookies
  • Mulitmedia-Player-Sitzungscookies
  • Lastverteilungssitzungscookies
  • Cookies zur Anpassung der Benutzeroberfläche

Wenngleich dies keine abschließende und auch keine verbindliche Liste über notwendige Cookies darstellt, so kann sie dem Webdesigner oder der Agentur doch eine gewisse Richtung aufzeigen, was noch ohne Einwilligung geht und was dann doch eine aktive Einwilligung erfordert.

So, wer es bis dahin geschafft hat, hat sich jetzt auf jeden Fall einen Keks verdient 🙂

Haben Sie gelungene Beispiele für eine gelungene Umsetzung von Cookie-Einwilligungen (gesehen)? Teilen Sie diese in den Kommentaren. So können wir als Community gegenseitig voneinander lernen.

Ihr Julius S. Schoor

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.