Constant cookie notices are annoying, but why are they legally necessary?
A ruling of the Federal Court of Justice (BGH) of 28.05.2020 (Case No. I ZR 7/16)[1] has led to uncertainty among website operators with regard to the use of cookies. Among other things, this concluded case dealt with the following question: Can the defendant provider of online sweepstakes obtain an effective declaration of consent from its users for the use of cookies for advertising by activating a checkbox in the registration form in advance?
Der BGH verneint dies im konkreten Fall und urteilt, “dass der Anbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.”
Website visitors must agree to the use of cookies
It is significant that in the course of the proceedings, the BGH submitted a number of fundamental questions to the Court of Justice of the European Union (CJEU) for assessment and then referred to the CJEU's opinion in this regard in its reasons for the judgement.
Even if the ruling itself only refers to cookies used for advertising purposes, the reasons for the ruling cited result in the interpretation shared by most commentaries: Before using any cookies that are not necessary to provide the desired services, the user must obtain effective consent by actively setting a corresponding checkbox, for example.
Matomo can also be used without cookies
An important consequence of this interpretation is that beyond all advertising-related personalisation, the use of cookies for web analysis with tools such as Google Analytics or Matomo thus also requires the active consent of the user.
Ein schlichter Hinweis auf die Cookie-Nutzung zum alternativlosen Wegklicken per “Ich bin einverstanden” reicht nicht mehr aus. Wer Matomo einsetzt kann an dieser Stelle in Betracht ziehen, die Analyse einfach ohne Cookies laufen zu lassen. Matomo lässt sich relativ einfach in der Hinsicht konfigurieren. Messwerte, die auf der Wiedererkennung rückkehrender Besucher beruhen, verlieren dabei tendenziell an Zuverlässigkeit, sind aber weiterhin verfügbar. Statt der Cookies werden anonyme “Fingerabdrücke” der Nutzer anhand bestimmter Systemeigenschaften zu Wiedererkennung benutzt.
Der Vollständigkeit halber sei erwähnt, dass einzelne Quellen davon ausgehen, dass rechtlich gesehen dieses “Fingerprinting” genauso einwilligungspflichtig ist, wie der Einsatz von Analyse-Cookies.[3] Eine gerichtliche Würdigung dieser Frage is still pending.
In contrast, there are various opinions[4] that the exclusive use of technically necessary cookies and cookie-free Matomo analysis can completely dispense with any cookie consent.
Effectively obtain permission if it cannot be waived:
A real market has quickly developed around the issue of cookie consent, in which various providers offer legally compliant processing of user information and consent, whereby the costs incurred differ greatly[5].
There is also a wide range of ready-made plug-in solutions for popular platforms such as WordPress or Contao[6].
The visible result basically corresponds to the following scheme for all offers:
Method A: Pop-UP with a direct selection of settings
- Note text,
- sichtbaren Checkboxen für die Arten der verwendeten Cookies – Zum Beispiel “Notwendig” (bzw. “Erforderlich”, “Essenziell), “Werbezwecke”, “Statistik”, wobei die “Notwendigen” vorausgewählt sind,
- Button “Auswahl akzeptieren”,
- Button “Alle akzeptieren” (meist optisch hervorgehoben),
- Links wie “Datenschutz”, “Impressum”, “weitere Informationen” etc.
Method B: Pop-up with detailed settings in the 2nd step
- Note text,
- Button “Alle akzeptieren”,
- Button “Nur notwendige Cookies akzeptieren” (oder sinngemäß)
- Button “Einstellungen anpassen”, der auf mehr oder weniger kompliziert aufgebaute Einstellungsseiten verweist,
- Links wie “Datenschutz”, “Impressum”, “weitere Informationen” etc.
Method C: Pop-up with well-hidden detailed settings
- Note text,
- Button “Alle akzeptieren”,
- Button “Einstellungen anpassen”, der auf mehr oder weniger kompliziert aufgebaute Einstellungsseiten verweist,
- Links wie “Datenschutz”, “Impressum”, “weitere Informationen” etc.
Dies ein Überblick der Lösungen, die sich im Netz verbreitet haben. Ob jede davon oder die eine oder andere im besonderen Maße geeignet ist, sei es durch Klick auf “Alle akzeptieren” oder sonstige Benutzung, wirksame Einwilligungen im Lichte des zugrundeliegenden BGH-Urteils zu erwirken, würde sich letztlich nur in einem konkreten juristischen Verfahren erweisen, das bisher aussteht.
Sources
- [1] - https://www.heise.de/ct/artikel/Cookies-nur-mit-aktiver-Einwilligung-erlaubt-4783626.html
- [2] - https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=107623&pos=6&anz=672
- [3] - https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32002L0058&from=de
- [4] - https://usercentrics.com
- [5] - https://www.ccm19.de
- [6] - https://www.e-recht24.de/artikel/datenschutz/12119-bgh-urteil-cookies-einwilligung.html
- [7] - https://cookieinformation.com
- [8] - https://www.cookiebot.com
- [9] - https://www.content-iq.com/tracking-mit-matomo-ohne-cookies/
- [10] - https://www.it-recht-kanzlei.de/matomo-richtig-verwenden-dsgvo.html