Startseite » Blog » Warum die nervenden Cookie Hinweise?

Warum die nervenden Cookie Hinweise?

Inhalt
    Add a header to begin generating the table of contents

    Das Urteil

    Ein Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020 (Az. I ZR 7/16)[1] hat zu Verunsicherung bei Website-Betreibern im Hinblick auf die Nutzung von Cookies geführt. In mit diesem Urteil abgeschlossenen Prozess ging es unter anderem um die Frage, ob der beklagte Anbieter von Online-Gewinnspielen durch ein vorab aktiviertes Ankreuzkästchen im Anmeldeformular eine wirksame Einverständniserklärung seiner Nutzer zum Einsatz von Cookies für Werbezwecke erhalten konnte.
    Der BGH verneint dies im konkreten Fall und urteilt, "dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht."

    Bedeutsam ist dabei, dass der BGH im Laufe des Verfahrens eine Reihe von Grundsatzfragen dem Gerichtshof der Europäischen Union (EuGH) zur Beurteilung vorgelegt hat und sich in seiner Urteilsbegründung dann auf die diesbezügliche Stellungnahme des EuGH dazu bezieht.

    Der EuGH stützt seine Entscheidung wesentlich auf Art. 5 Abs. 3 der "Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)"[2] und führt aus dass die Nutzung von Cookies generell eine wirksame Einwilligung voraussetzt, was sich nur dann erübrigt, "wenn der alleinige Zweck die Durchführung der Nachrichtenübertragung über ein elektronisches Kommunikationsnetz ist oder wenn Speicherung oder Zugang erforderlich sind, um dem Nutzer den von ihm ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."

    Auch wenn sich das Urteil selbst nur auf Werbezwecken dienende Cookies bezieht, ergibt sich aus den zitierten Urteilsgründen die in den meisten Kommentierungen geteilte Interpretation: Vor Verwendung jeglicher nicht zur Erbringung der gewünschten Dienstleistungen notwendigen Cookies ist eine wirksame Einwilligung durch aktives Setzen z.B. einer enstprechenden Checkbox seitens des Nutzers einzuholen.

    Statistik-Cookies

    Eine wichtige Folge dieser Auslegung ist, dass jenseits aller werbebezogener Personalisierung damit auch für die Nutzung von Cookies für die Web-Analyse mit Tools wie Google Analytics oder Matomo eine aktive Einwilligung der Nutzer erforderlich ist.
    Ein schlichter Hinweis auf die Cookie-Nutzung zum alternativlosen Wegklicken per "Ich bin einverstanden" reicht nicht mehr aus.

    Wer Matomo einsetzt kann an dieser Stelle in Betracht ziehen, die Analyse einfach ohne Cookies laufen zu lassen. Matomo lässt sich relativ einfach in der Hinsicht konfigurieren. Messwerte, die auf der Wiedererkennung rückkehrender Besucher beruhen, verlieren dabei tendenziell an Zuverlässigkeit, sind aber weiterhin verfügbar. Statt der Cookies werden anonyme "Fingerabdrücke" der Nutzer anhand bestimmter Systemeigenschaften zu Wiedererkennung benutzt.
    Der Vollständigkeit halber sei erwähnt, dass einzelne Quellen davon ausgehen, dass rechtlich gesehen dieses "Fingerprinting" genauso einwilligungspflichtig ist, wie der Einsatz von Analyse-Cookies.[3] Eine gerichtliche Würdigung dieser Fragestellung steht einstweilen aus.
    Im Gegensatz dazu wird verschiedentlich die Ansicht vertreten[4], dass beim ausschließlichen Einsatz technisch notwendiger Cookies und cookie-freier Matomo-Analyse ganz auf jede Cookie-Einwilligung verzichtet werden kann.

    Wirksam Einwilligungen einholen wenn darauf nicht zu verzichten ist:

    Schnell hat sich um die Fragestellung der Cookie-Einwilligung ein regelrechter Markt gebildet, in dem diverse Anbieter die rechtssichere Abwicklung der User-Information und -Einverständniserklärung anbieten, wobei die dafür anfallenden Kosten stark differieren[5].
    Auch an fertigen Plugin Lösungen für verbreitete Plattformen wie WordPress oder Contao gibt es reichlich Auswahl[6].

    Das sichtbare Ergebnis entspricht bei allen Angeboten im Wesentlichen einem der folgenden Schemata:

    Methode A: Pop-UP mit einer direkten Auswahl der Einstellungen

    • Hinweistext,
    • sichtbaren Checkboxen für die Arten der verwendeten Cookies - Zum Beispiel "Notwendig" (bzw. "Erforderlich", "Essenziell), "Werbezwecke", "Statistik", wobei die "Notwendigen" vorausgewählt sind,
    • Button "Auswahl akzeptieren",
    • Button "Alle akzeptieren" (meist optisch hervorgehoben),
    • zusätzlichen Links wie "Datenschutz", "Impressum", "weitere Informationen" etc.

    Methode B: Pop-Up mit Detaileinstellungen im 2. Schritt

    • Hinweistext,
    • Button "Alle akzeptieren",
    • Button "Nur notwendige Cookies akzeptieren" (oder sinngemäß)
    • Button "Einstellungen anpassen", der auf mehr oder weniger kompliziert aufgebaute Einstellungsseiten verweist,
    • zusätzlichen Links wie "Datenschutz", "Impressum", "weitere Informationen" etc.

    Methode C: Pop-Up mit gut versteckten Detaileinstellungen

    • Hinweistext,
    • Button "Alle akzeptieren",
    • Button "Einstellungen anpassen", der auf mehr oder weniger kompliziert aufgebaute Einstellungsseiten verweist,
    • zusätzlichen Links wie "Datenschutz", "Impressum", "weitere Informationen" etc.

    Das sind schematisch dargestellt die Lösungen, die sich im Netz verbreitet haben. Ob jede davon oder die eine oder andere im besonderen Maße geeignet ist, sei es durch Klick auf "Alle akzeptieren" oder sonstige Benutzung, wirksame Einwilligungen im Lichte des zugrundeliegenden BGH-Urteils zu erwirken, würde sich letztlich nur in einem konkreten juristischen Verfahren erweisen, das bisher aussteht.

    Die BGH-Entscheidung sagt nichts dazu, wie eine rechtssichere Lösung konkret beschaffen sein müsste. Sie besagt lediglich, dass ein voreingestelltes und nicht aktiv abgewähltes Ankreuzkästchen eben keine wirksame Einwilligung bedeutet, sondern es sei "unter Einwilligung jede Willensbekundung zu verstehen, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden."

    Quellen

    Scroll to Top