Dass man keine Kekse klauen soll, sagen einem üblicherweise bereits die Eltern. Dass man, jedenfalls ungefragt, auch keine Kekse verschenken soll, sagt einem der Bundesgerichtshof. Jedenfalls dann, wenn man eine Webseite betreibt.

Urteil vom 28. Mai 2020 zur Cookie-Einwilligung

Mit seinem Urteil vom 28. Mai 2020 (Az. I ZR 7/16 – „Cookie-Einwilligung II“) hat der Bundesgerichtshof die aufsehenerregende Entscheidung „Planet 49“ des Europäischen Gerichtshofs aus dem Herbst 2019 nun auch für Deutschland höchstrichterlich bestätigt. Danach ist es Webseitenbetreibern untersagt, sogenannte Tracking- oder Marketing-Cookies auf den Endgeräten der Webseitenbesucher zu platzieren, ohne zuvor deren aktives Einverständnis einzuholen. Das Urteil zieht damit einen vorläufigen Schlussstrich und beseitigt eine jahrelange Unsicherheit. Während die Entscheidung von Verbraucherschützern gefeiert wird, üben Branchenverbände zum Teil heftige Kritik und sprechen von einer Mehrbelastung der Webseitenbetreiber, die nur dazu diene, die Internetnutzer zu nerven.

Also, worum geht es?

Was sind Cookies?

Bei Cookies handelt es sich um kleine Textdateien, die im Browser auf dem Endgerät des Betrachters jeweils zu einer besuchten Website gespeichert werden können. Der Webserver, von welchem aus die besuchte Webseite betrieben wird, kann beim Navigieren zwischen den Einzelseiten oder bei späteren, erneuten Besuchen der Webseite die gespeicherten Cookie-Informationen direkt auslesen oder die Cookie-Informationen an den Server übertragen. Je nachdem, ob die Cookies nur vorübergehend für den Besuch der Webseite gespeichert und in der Regel beim Schließen des Browsers gelöscht werden, oder ob diese auch nach dem Besuch auf der Webseite im Browser gespeichert bleiben, spricht man von Session-Cookies oder dauerhaften Cookies. Letztere werden erst bei Ablauf der voreingestellten Lebensdauer oder beim manuellen Entfernen der Cookies aus dem Browser gelöscht. Die Internetnutzer merken hiervon in aller Regel – nichts.

Wofür werden Cookies genutzt?

Die Einsatzbereiche für Cookies sind vielfältig. So werden diese beispielsweise in Onlineshops eingesetzt, damit die in den Warenkorb gelegten Artikel gespeichert und im Anschluss bezahlt werden können. Ebenso kommen Cookies zum Einsatz, wenn die Nutzer Webseiteninhalte personalisieren oder Passwörter hinterlegen. Viele Webseiten würden ohne Cookies überhaupt nicht oder nur sehr eingeschränkt funktionieren. Cookies dieser Art werden denn auch als funktionale Cookies bezeichnet – nach den höchstrichterlichen Entscheidungen könnte man auch sagen, die „guten“ Cookies. Ein weiterer Anwendungsbereich von Cookies ist das sogenannte Tracking des Nutzerverhaltens. Hierbei werden anhand von Cookie-Informationen Nutzerprofile erstellt, etwa um das Surfverhalten zu messen und dem Nutzer die „passende“ Werbung anbieten zu können. Dabei greift häufig nicht nur der Webserver der besuchten Seite auf die Informationen zu, die auf ebendieser Seite generiert werden. Vielmehr können Tracking-Cookies das Nutzerverhalten über eine Vielzahl von Webseiten verfolgen. Dienste wie Google Analytics, Matomo oder Hotjar setzen ebenso standardmäßig Cookies ein wie eine große Zahl von Social Media Diensten. Derartige Tracking- oder Marketing Cookies kann man nunmehr als die „bösen“ Cookies einordnen.

Setzen von Cookies nur mit aktiver Einwilligung des Nutzers zulässig

Und um eben diese bösen Cookies geht es. Wie bereits der Europäische Gerichtshof geht nunmehr auch der Bundesgerichtshof davon aus, dass das Setzen von Tracking- oder Marketing-Cookies nur mit aktiver Einwilligung des Nutzers zulässig ist. Die bislang für Deutschland noch für möglich erachtete Argumentation, § 15 Telemediengesetz lasse als deutsche Umsetzung der ePrivacy-Richtlinie auch das einwilligungslose Setzen von Cookies zu, ist damit nicht mehr haltbar. Es genügt damit weder, im Rahmen der Datenschutzerklärung auf den Einsatz von Cookies hinzuweisen, noch reicht es aus, dem Nutzer eine Opt Out-Möglichkeit anzubieten, etwa durch das Anklicken eines bereits angekreuzten Kontrollkästchens. Auch die klassischen Cookie-Banner, die lediglich über den Einsatz von Cookies informieren und mit einem „OK“ quittiert werden können (oder eben auch nicht), genügen nicht mehr. Vielmehr dürfen nicht-funktionale Cookies nur noch dann gesetzt werden, wenn zuvor eine ausdrückliche Einwilligung im Sinne eines Opt In eingeholt wurde. Da es ausnahmsweise auch einmal nicht um die Datenschutz-Grundverordnung geht, hilft es auch nicht weiter, wenn die Cookie-Daten pseudonymisiert werden. Auch die aus dem Datenschutzrecht bekannte Ersetzung der Einwilligung durch berechtigte Interessen des Webseitenbetreibers scheidet angesichts dessen aus.

Fazit

Sind damit Analysedienste und Social Media Werbung am Ende? Nicht zwingend. Mit einem ordnungsgemäßen Cookie-Banner, über den die aktive Zustimmung eingeholt wird, können auch weiterhin nicht-funktionale Cookies platziert werden. Sicherlich werden Cookie-Banner in Zukunft noch häufiger und noch aufdringlicher werden. Indes ist anzunehmen, dass für viele Internetnutzer das Akzeptieren von Cookie-Bannern noch mehr als bislang zum reinen Automatismus wird. Wer hat schon Zeit und Lust, sich für jede besuchte Webseite durch längere Dialoge zu klicken, um seine Cookie-Präferenzen einzustellen. Das Urteil des Bundesgerichtshofs besagt insoweit nicht, dass die Nutzer die Möglichkeit haben müssen, eine Webseite besuchen zu können und dabei sämtliche Cookies mit einem Klick abzulehnen (oder erst gar nicht von einem Cookie-Banner behelligt zu werden). Dies wird zwar von Datenschutzbehörden so vertreten, so dass eine entsprechende Umsetzung des Cookie-Banners derzeit die sicherste Lösung darstellen dürfte. Außer für lebenswichtige oder marktbeherrschende Internetangebote dürfte es aber richtigerweise sogar zulässig sein, die Inhalte einer Webseite überhaupt nur dann anzubieten, wenn der Nutzer zunächst seine aktive Einwilligung erklärt. Das mag man zwar schnell Erpressung nennen. Letztlich ist es aber nichts anderes als eine neue Form des Bezahlens mit Daten. Wer im Supermarkt die klassischen analogen Kekse haben möchte, der darf sich auch nicht darüber beschweren, dass der Verkäufer diese nur herausgibt, wenn der Kunde den Kaufpreis bezahlt. Weshalb sollte es mit neumodischen digitalen Keksen anders sein?

Zum Autor:

Dr. Anno Haberer berät im Kartellrecht und gewerblichen Rechtsschutz, im allgemeinen Wirtschaftsrecht sowie im IT- und Datenschutzrecht. Er steht Ihnen bei Fragen rund um das Thema Datenschutz gerne zur Verfügung.