Skip to content

ePrivacy: Opt-In-Pflicht für Werbe- und Marketing-Cookies

Umsetzung der EU-Cookie-Richtlinie in Deutschland – Der ewige Kampf um die Kekse

Nahezu jede Internetpräsenz eines Unternehmens arbeitet heutzutage mit den sogenannten Cookies, welche zum Zwecke der Marktforschung sowie auch Werbung und auch der individuellen bedarfsgerechten Telemediengestaltung Nutzerprofile der Besucher erstellen. Diese Cookies sind nicht gänzlich unumstritten, sodass sich der Bundesgerichtshof jüngst mit dieser Thematik beschäftigen musste. Die Entscheidung des BGH (28.05.2020 Aktenzeichen I ZR 7/16 „planet49“) fiel dabei sehr eindeutig aus. Für die Nutzung der Cookies ist eine vorherige Einwilligung des Webseitenbesuchers erforderlich. Diese Einwilligung wird technisch betrachtet als sogenanntes „Opt-In“ bezeichnet.

Eines muss an dieser Stelle sehr deutlich betont werden: Auch wenn das Urteil des Bundesgerichtshofs recht eindeutig ausgefallen ist, so gibt es dennoch im Zusammenhang mit den Cookies sehr viele Unstimmigkeiten zwischen den Unternehmen sowie den Datenschutzaufsichtsbehörden. Die wichtigste Thematik ist dabei, dass es aktuell seitens des Bundesgerichtshofs noch keine umfassende Urteilsbegründung vorliegt. Dementsprechend gibt es noch Unklarheiten im Zusammenhang mit der rechtlichen Zukunft der Cookies.

E-Privacy EU
(Symbolfoto: Von rawf8/Shutterstock.com)

Der EuGH hatte in der Vergangenheit bereits ein Urteil gesprochen

Im Hinblick auf die Nutzung von Cookies und die Opt-In-Pflicht gab es bereits in der Vergangenheit ein Urteil des EuGH. Dieses Urteil beruhte dabei auf einer Richtlinie, welche die Opt-In-Pflicht begründete. Problematisch war lediglich der Umstand, dass diese Richtlinie in der Bundesrepublik Deutschland auf der Basis des § 15 TMG (Telemediengesetz) unterschiedlich ausgelegt und dementsprechend auch unterschiedlich von den Webseitenbetreibern umgesetzt werden konnte.

Der besagte § 15 TMG spricht eindeutig davon, dem Diensteanbieter zum Zwecke der

  • Marktforschung
  • Werbung
  • bedarfsgerechter Telemediengestaltung

erlaubt ist, entsprechende Nutzungsprofile mittels Cookies anzulegen.

Cookie-Richtline
(Symbolfoto: Von gotphotos/Shutterstock.com)

Diese Erlaubnis gilt jedoch ausdrücklich unter dem Vorbehalt, dass der Webseitenbesucher der Nutzung von Cookies nicht widerspricht. Dementsprechend hat der § 15 TMG ausdrücklich keine Einwilligungspflicht für die Nutzung von Cookies vorgesehen. Weiterhin war bislang auch sehr unklar, wie mit einem Widerspruch umgegangen werden sollte.

Die Datenschutzbehörden hatten mit dem § 15 Absatz 3 Telemediengesetz ohnehin so ihre Probleme, da sie ihn praktisch nicht für anwendbar halten. Der Grund liegt in dem Umstand, dass der Paragraf die EU-Cookievorgaben nicht umsetzt oder Cookies nicht als pseudonym angesehen werden können. Aus diesem Grund vertreten die Datenschutzbehörden auch die Ansicht, dass die Frage der Cookies auf der Grundlage der DSGVO geregelt werden kann. Die DSGVO kennt in diesem Zusammenhang auch die Opt-Out-Lösung. Die Opt-Out-Lösung ist allerdings nur dann für Unternehmen auf ihren Internetpräsenzen möglich, wenn der Webseitenbesucher aus Vernunftgründen heraus mit einem Cookie-Profiling rechnen muss. Verneint der Webseitenbesucher diese Lösung beispielsweise bei Onlinemarketing-Tools, so bedarf die Nutzung von Cookies ausdrücklich einer Einwilligung des Nutzers.

Die Entscheidung des BGH ging in eine vollständig andere Richtung, da der Bundesgerichtshof weder den Argumenten der Datenschutzbehörden noch der Argumentation der Werbewirtschaft mit seinem Urteil wirklich folgte. Laut Ansicht des BGH ist der Passus „wenn der Webseitennutzer der Nutzung von Cookies nicht widerspricht“ unter Berücksichtigung der Rechtsprechung des EuGH gleichzusetzen ist mit der Ansicht „sofern der Webseitennutzer einwilligt“.

Auf der Basis dieser Grundlage muss seitens der Webseitenbetreiber für die Nutzung derjenigen Cookies, welche

  • der Nutzerprofilerstellung
  • für Webe- bzw. Marktforschungszwecke
  • einer bedarfsgerechten Telemediendarstellung

dienen, zuvor die Webseitennutzereinwilligung zwingend eingeholt werden.

Webanalytics
Webanalytics zur Auswertung der Webseitennutzung, wie zum Beispiel, Google-Analytics stehen im Focus der Diskussionen – (Symbolfoto: Von BIGANDT.COM/Shutterstock.com)

Der BGH folgte in dieser Hinsicht der Ansicht des EuGH und entschied auch, dass die in der gängigen Praxis genutzten Einwilligungsbanner nicht als ausreichend angesehen werden können. Viele Webseitenbetreiber nutzen derartige Einwilligungsbanner mit dem Wortlaut, dass der Webseitennutzer im Fall der Weiternutzung der Webseite automatisch auch sein Einverständnis für die Cookie-Nutzung seitens des Webseitenbetreibers erklärt.

Eine alleinige Weiternutzung der Internetpräsenz ist nicht gleichzusetzen mit der ausdrücklichen und klaren sowie zweifelsfreien Nutzereinwilligung in die Verwendung von Cookies.

Die Rechtsprechung des EuGH, welcher auch der BGH folgte, gilt jedoch nicht für alle Cookies auf einer Internetpräsenz. Diejenigen Cookies, deren Einsatz essenziell wichtig bzw. notwendig für den Betrieb der Internetpräsenz sind, bedürfen nicht der Einwilligung des Webseitennutzers. In der gängigen Praxis stellt sich jedoch das Problem dar, dass diesbezüglich kaum eine Abgrenzung erfolgen kann, da es keinerlei verbindliche Kataloge im Zusammenhang mit zwingend notwendigen Cookies gibt.

Auch die ePrivacy-RL gibt in dem Artikel 5 Absatz 3 keinerlei Anhaltspunkte. Es gibt jedoch durchaus Cookies, die vernünftigerweise als zwingend notwendig für den Betrieb einer Internetpräsenz angesehen werden müssen.

Hierzu zählen:

  • die sogenannten Warenkorb-Cookies bei einem Online-Shop
  • der Status „Login“ bei einer Internetpräsenz-Community
  • bei internationalen Webseiten die Cookies für die Sprachauswahl des Webseitennutzers
  • diejenigen Cookies, welche für die Speicherung der Cookie-Einwilligung eines Webseitennutzers zuständig sind
  • Load-Balancing-Cookies

Die Cookie-Urteile des EuGH bzw. BGH beziehen sich ausschließlich auf die nicht zwingend erforderlichen Cookies.

Für Webseitenbetreiber stellt sich jetzt die Frage, ob auch die sogenannten Webanalyse- sowie Komfort-Cookies bzw. die A/B Testing Cookies betroffen sind. Obgleich es diesbezüglich keinerlei festgelegte Grenzen gibt, sollte stets bei der Betrachtung der Webseite die Sichtweise des Webseitennutzers angenommen werden.

Der Status kann dementsprechend so aussehen

  • Komfort-Cookies dürften gut vertretbar sein, da es sich in der Regel um sogenannte „Session-Cookies“ handelt
  • Marketing-Cookies dürften aus der Sicht des Webseitennutzers nicht zwingend erforderlich sein
  • A/B Testing Cookings sind eine Grauzone, über welche herzlich gestritten werden darf

Aus der Sicht zahlreicher Juristen geht das Urteil des BGH erheblich weiter und wird dabei nicht ausschließlich auf Cookies begrenzt. Vielmehr dürften damit sämtliche Technologien betroffen sein, welche die Gerätedaten der Webseitennutzer auslesen und auch speichern können. Dementsprechend sind auch Fingerprints sowie Web-Beacons nebst Tags und Pixels im erweiterten Sinne von der Rechtsprechung des EuGH sowie BGH betroffen. Wie es jedoch so häufig in der juristischen Praxis der Fall ist gehen die Meinungen der Juristen dabei auseinander und es werden in der Zukunft mit Sicherheit noch einige gerichtliche Urteile zur Klärung dieser Frage folgen. Der BGH hat jedoch bereits bestätigt, dass ePrivacy-RL ebenfalls für die anonymen Daten gilt.

Hierbei sind die sogenannten Schattenprofile gemeint. Zwar mag Anonymität in Verbindung mit Tracking als Widerspruch erscheinen, allerdings lässt sich das Besuchsverhalten durchaus auswerten. Laut Ansicht des BGH ist dann jedoch ein Personenbezug vorhanden, der die vorherige Einwilligung des Nutzers erfordert.

Wie lässt sich eine rechtlich wirksame Cookie-Einwilligung von dem Webseitennutzer einholen?

Um der Rechtsprechung des EuGH sowie des BGH gerecht zu werden ist es zwingend erforderlich, dass Cookie-Opt-In-Banner bzw. Cookie-Management-Tools wie das Tool von Matomo zum Einsatz kommen. Auch ein Registrierungsverfahren eines Webseitennutzers in Verbindung mit Consent-Bannern wäre eine wirksame Methodik, um rechtlich zulässige Cookie-Einwilligungen von Webseitenbenutzern einzuholen.

Cookie Einwilligung - Opt-in Consens Banner
(Symbolfoto: Von Datenschutz-Stockfoto/Shutterstock.com)

Eine derartige Einwilligung muss jedoch zwingend in jedem Fall mittels eines Klicks auf eine Checkbox oder eine Schaltfläche erfolgen. Die sogenannte Opt-Out-Lösung ist gem. der Rechtsprechung des EuGH sowie auch des BGH nicht zulässig, da der Webseitennutzer die bereits beim Betreten der Webseite aktiven Cookies hinterher erst deaktivieren muss. Gleichermaßen verhält es sich auch mit den sogenannten vorangehakten Kontrollkästchen, welche im Rahmen des Registrierungsvorganges von dem Nutzer erst durch Klick entfernt werden muss, ist laut EuGH unzulässig.

In Anbetracht des Umstandes, dass Webseitenbetreiber sich stets mit der Gefahr von Abmahnungen bei Verstößen gegen die Datenschutzversordnung bzw. dem Telemediengesetz konfrontiert sehen, sollte auf jeden Fall im Bereich des Cookie-Managements nachgebessert werden. Eine Abmahnung kann sowohl von dem Webseitennutzer als auch von anderen Webseitenbetreibern, die in Konkurrenz zu dem Dienstleistungsanbieter bzw. Webseitenbetreiber stehen, erfolgen. Nicht selten sind Abmahnungen mit durchaus merklichen Geldbeträgen verbunden. Dementsprechend dürften die Webseitenbetreiber alleinig schon aus dem Eigeninteresse heraus die eigene Webseite jetzt erst einmal genauer unter die Lupe nehmen und die Vereinbarkeit mit der aktuellen Rechtsprechung des EuGH sowie des BGH überprüfen. Natürlich ist es auch ein Faktum, dass bei Weitem nicht jeder Webseitenbetreiber aus reiner Eigenregie heraus diese Überprüfung durchführen kann. Das hierfür erforderliche technische Verständnis sowie auch das juristische Fachwissen ist schlicht und ergreifend bei vielen Unternehmen oder auch Webseitenbetreibern nicht vorhanden. Dies rührt auch daher, dass sehr viele Dienstleistungsanbieter lediglich auf ihr Kerngeschäft fokussiert sind und die Internetpräsenz sozusagen „nebenher“ als Projekt zur Umsatzgenerierung betreiben.

Große Unternehmen oder auch Dienstleistungsanbieter erstellen überdies in der gängigen Praxis die eigene Webseite nicht selbst. Es gibt jedoch auch Unternehmer, die als Startup gerade erst frisch auf den Markt kommen und die eigene Internetpräsenz noch selbst erstellen. Dies kann jedoch zu sehr vielen Fehlern führen, welche den Start auf den Markt im Fall einer Abmahnung durchaus erschweren. Es empfiehlt sich daher auf jeden Fall, die geplante Internetpräsenz von einem rechtlichen Experten mit entsprechenden technischen Kenntnissen vor dem Launch genauer überprüfen zu lassen. Von dem Cookie-Management ist auf jeden Fall jede Internetpräsenz betroffen, sodass letztlich kein Webseitenbetreiber um die Überprüfung der eigenen Internetpräsenz herumkommt. In Deutschland gilt diesbezüglich die rechtliche Maxime, dass Unwissenheit vor Strafe nicht schützt. Dementsprechend wird sich auch kein Webseitenbetreiber damit herausreden können, dass keinerlei Kenntnis im Hinblick auf die Rechtsprechung des EuGH sowie des BGH vorhanden war.

Hinweis: Informationen in unserem Internetangebot dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können eine individuelle rechtliche Beratung auch nicht ersetzen, welche die Besonderheiten des jeweiligen Einzelfalles berücksichtigt. Ebenso kann sich die aktuelle Rechtslage durch aktuelle Urteile und Gesetze zwischenzeitlich geändert haben. Benötigen Sie eine rechtssichere Auskunft oder eine persönliche Rechtsberatung, kontaktieren Sie uns bitte.

Unsere Hilfe im Internetrecht

Wir sind Ihr Ansprechpartner in Sachen Internetrecht und Medienrecht. Wir beraten und vertreten Unternehmen, Selbständige und Privatpersonen bundesweit in allen rechtlichen Angelegenheiten rund um das Internet.

Rechtsanwälte Kotz - Kreuztal

Urteile und Rechtstipps aus dem Internetrecht

Unsere Kontaktinformationen

Rechtsanwälte Kotz GbR

Siegener Str. 104 – 106
D-57223 Kreuztal – Buschhütten
(Kreis Siegen – Wittgenstein)

Telefon: 02732 791079
(Tel. Auskünfte sind unverbindlich!)
Telefax: 02732 791078

E-Mail Anfragen:
info@ra-kotz.de
ra-kotz@web.de

Rechtsanwalt Hans Jürgen Kotz
Fachanwalt für Arbeitsrecht

Rechtsanwalt und Notar Dr. Christian Kotz
Fachanwalt für Verkehrsrecht
Fachanwalt für Versicherungsrecht
Notar mit Amtssitz in Kreuztal

Bürozeiten:
MO-FR: 8:00-18:00 Uhr
SA & außerhalb der Bürozeiten:
nach Vereinbarung

Für Besprechungen bitten wir Sie um eine Terminvereinbarung!