Ständige Cookies-Hinweise nerven, doch warum sind sie rechtlich notwendig?
Ein Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020 (Az. I ZR 7/16)[1] hat zu Verunsicherung bei Website-Betreibern im Hinblick auf die Nutzung von Cookies geführt. Bei diesem abgeschlossenen Prozess ging es unter anderem um folgende Frage: Kann der beklagte Anbieter von Online-Gewinnspielen durch ein vorab aktiviertes Ankreuzkästchen im Anmeldeformular eine wirksame Einverständniserklärung seiner Nutzer zum Einsatz von Cookies für Werbung erhalten?
Der BGH verneint dies im konkreten Fall und urteilt, “dass der Anbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.”
Webseiten-Besucher müssen Cookies-Nutzung zustimmen
Bedeutsam ist dabei, dass der BGH im Laufe des Verfahrens eine Reihe von Grundsatzfragen dem Gerichtshof der Europäischen Union (EuGH) zur Beurteilung vorgelegt hat und sich in seiner Urteilsbegründung dann auf die diesbezügliche Stellungnahme des EuGH dazu bezieht.
Auch wenn sich das Urteil selbst nur auf Werbezwecken dienende Cookies bezieht, ergibt sich aus den zitierten Urteilsgründen die in den meisten Kommentierungen geteilte Interpretation: Vor Verwendung jeglicher nicht zur Erbringung der gewünschten Dienstleistungen notwendigen Cookies ist eine wirksame Zustimmung durch aktives Setzen z.B. einer enstprechenden Checkbox seitens des Nutzers einzuholen.
Matomo lässt sich auch ohne Cookies verwenden
Eine wichtige Folge dieser Auslegung ist, dass jenseits aller werbebezogener Personalisierung damit auch für die Nutzung von Cookies für die Web-Analyse mit Tools wie Google Analytics oder Matomo eine aktive Einwilligung der Nutzer erforderlich ist.
Ein schlichter Hinweis auf die Cookie-Nutzung zum alternativlosen Wegklicken per “Ich bin einverstanden” reicht nicht mehr aus. Wer Matomo einsetzt kann an dieser Stelle in Betracht ziehen, die Analyse einfach ohne Cookies laufen zu lassen. Matomo lässt sich relativ einfach in der Hinsicht konfigurieren. Messwerte, die auf der Wiedererkennung rückkehrender Besucher beruhen, verlieren dabei tendenziell an Zuverlässigkeit, sind aber weiterhin verfügbar. Statt der Cookies werden anonyme “Fingerabdrücke” der Nutzer anhand bestimmter Systemeigenschaften zu Wiedererkennung benutzt.
Der Vollständigkeit halber sei erwähnt, dass einzelne Quellen davon ausgehen, dass rechtlich gesehen dieses “Fingerprinting” genauso einwilligungspflichtig ist, wie der Einsatz von Analyse-Cookies.[3] Eine gerichtliche Würdigung dieser Frage steht noch aus.
Im Gegensatz dazu wird verschiedentlich die Ansicht vertreten[4], dass beim ausschließlichen Einsatz technisch notwendiger Cookies und cookie-freier Matomo-Analyse ganz auf jede Cookie-Einwilligung verzichtet werden kann.
Wirksam eine Erlaubnis einholen, wenn darauf nicht zu verzichten ist:
Schnell hat sich um die Fragestellung der Cookie-Einwilligung ein regelrechter Markt gebildet, in dem diverse Anbieter die rechtssichere Abwicklung der User-Information und -Einverständniserklärung anbieten, wobei die dafür anfallenden Kosten stark differieren[5].
Auch an fertigen Plugin Lösungen für verbreitete Plattformen wie WordPress oder Contao gibt es reichlich Auswahl[6].
Das sichtbare Ergebnis entspricht bei allen Angeboten im Grunde dem folgenden Schemata:
Methode A: Pop-UP mit einer direkten Auswahl der Einstellungen
- Hinweistext,
- sichtbaren Checkboxen für die Arten der verwendeten Cookies – Zum Beispiel “Notwendig” (bzw. “Erforderlich”, “Essenziell), “Werbezwecke”, “Statistik”, wobei die “Notwendigen” vorausgewählt sind,
- Button “Auswahl akzeptieren”,
- Button “Alle akzeptieren” (meist optisch hervorgehoben),
- Links wie “Datenschutz”, “Impressum”, “weitere Informationen” etc.
Methode B: Pop-Up mit Detaileinstellungen im 2. Schritt
- Hinweistext,
- Button “Alle akzeptieren”,
- Button “Nur notwendige Cookies akzeptieren” (oder sinngemäß)
- Button “Einstellungen anpassen”, der auf mehr oder weniger kompliziert aufgebaute Einstellungsseiten verweist,
- Links wie “Datenschutz”, “Impressum”, “weitere Informationen” etc.
Methode C: Pop-Up mit gut versteckten Detaileinstellungen
- Hinweistext,
- Button “Alle akzeptieren”,
- Button “Einstellungen anpassen”, der auf mehr oder weniger kompliziert aufgebaute Einstellungsseiten verweist,
- Links wie “Datenschutz”, “Impressum”, “weitere Informationen” etc.
Dies ein Überblick der Lösungen, die sich im Netz verbreitet haben. Ob jede davon oder die eine oder andere im besonderen Maße geeignet ist, sei es durch Klick auf “Alle akzeptieren” oder sonstige Benutzung, wirksame Einwilligungen im Lichte des zugrundeliegenden BGH-Urteils zu erwirken, würde sich letztlich nur in einem konkreten juristischen Verfahren erweisen, das bisher aussteht.
Quellen
- [1] – https://www.heise.de/ct/artikel/Cookies-nur-mit-aktiver-Einwilligung-erlaubt-4783626.html
- [2] – https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=107623&pos=6&anz=672
- [3] – https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32002L0058&from=de
- [4] – https://usercentrics.com
- [5] – https://www.ccm19.de
- [6] – https://www.e-recht24.de/artikel/datenschutz/12119-bgh-urteil-cookies-einwilligung.html
- [7] – https://cookieinformation.com
- [8] – https://www.cookiebot.com
- [9] – https://www.content-iq.com/tracking-mit-matomo-ohne-cookies/
- [10] – https://www.it-recht-kanzlei.de/matomo-richtig-verwenden-dsgvo.html