Mit dem heutigen Tag, den 25. Mai 2018, ist die europäische Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) in Kraft getreten. Ab dem heutigen Tage erscheinen auf noch deutlich mehr Corporate Websites und E-Commerce Shops (Shopware, WooCommerce, etc.) die Cookie-Hinweise und stören den Internetnutzer und damit auch potentiellen Kunden beim Surfen. "Wir machen dies, weil unsere Wettbewerber dies auch machen" und viele weitere Begründungen mag es dafür geben. Doch den wirklichen rechtlichen Hintergrund und die Anforderungen an die technische Umsetzung hinterfragen die meisten nicht genauer – wird schon passen und niemand genauer prüfen, könnte man meinen.
Genauso wie sich vermutlich die meisten Webseitenbetreiber nicht darüber im Klaren sind, dass Sie genau damit sogar ein Abmahnrisiko eingehen, dazu jedoch später mehr. In dem heutigen Fachartikel wollen wir darüber aufklären, ob ein Cookie-Hinweis im Sinne der EU-DSGVO wirklich notwendig ist, welche Ausnahmefälle es gibt und wie man dies, wenn dieser Ausnahmefall eintritt, wirklich rechtlich sauber implementiert.
So oder so ähnlich könnte man wohl die meisten dieser Cookie-Hinweise in Ihrem Nutzwert für die Einhaltung der EU-DSGVO amüsant beschreiben. Denn in der praktischen Umsetzung macht es häufig keinen Unterschied, ob der Nutzer nun auf „Okay“ klickt oder einfach weitersurft und sich bei jedem Seitenwechsel aufs Neue von dem Hinweis begrüßen lässt. Auch dürfte der IT-ferne durchschnittliche Internetnutzer mittlerweile gewissermaßen dafür sensibilisiert sein, dass die Definition von Cookies nicht immer auf ein zumeist kalorienreicheres Lebensmittel abzielt, sondern eine technische Grundlage im Web ist, um Logins, Warenkörbe und vieles mehr abzubilden. Dass es neben Cookies dann auch noch Sessions gibt, bleibt wohl weiterhin vermehrt ein offenes Geheimnis unter Webentwicklern bzw. IT-Verantwortlichen.
Halten wir fest: Texte, Bilder, Links, Videos aber auch Cookies und Sessions sowie vieles weitere sind ein fundamentaler Bestandteil, auf die heutige Internetseiten zurückgreifen.
Cookies werden nicht nur für die technische Bereitstellung von Warenkörben gebraucht oder um eingeloggte Nutzer wiederzuerkennen, sondern sie können insbesondere auch im Online-Marketing ein hilfreiches Mittel zum Ziel sein, ehemalige Webseitenbesucher mit Werbemitteln gezielt im Internet erneut anzusprechen (sog. Remarketing). Mittels dynamischen Remarketing können dabei sogar explizit von einem Nutzer angeschaute Produkte in einem Onlineshop in Werbemitteln erneut aufgegriffen und ausgespielt werden. Dem Werbetreibenden ist dabei im Regelfall jedoch nicht bekannt, um welche Person es sich im Einzelfall handelt. Er weiß lediglich, dass eine Person oder Personengruppe X ein Produkt Y und/oder Z angesehen hat.
Um den Umgang mit Cookies zu regeln wurde im November 2009 eine EU-Richtlinie (2009/136/EG) erlassen, welche eine Information über das Setzen von Cookies erfordert. Was genau eine klare Information darstellt, zu welchem Zeitpunkt dies stattfinden muss und wie eine Einwilligung einzuholen ist, überließ der europäische Gesetzgeber dabei weitestgehend den Mitgliedsstaaten selbst. In Erwägungsgrund Nr. 66 zur Richtlinie wird dabei angeführt, dass die Einwilligung unter Umständen auch über die Einstellungen des Browsers oder einer anderen Anwendung ausgedrückt werden kann. Weiterhin wird dort klar gesagt, dass die Vorgaben der Richtlinie nicht gelten, soweit eine Speicherung unverzichtbar ist, um die Nutzung eines Dienstes überhaupt erst zu ermöglichen.
Anders als EU-Verordnungen, die über der nationalen Gesetzgebung stehen und daher sofort für alle Mitgliedsstaaten gelten, müssen EU-Richtlinien in der nationalen Gesetzgebung umgesetzt werden. Der nicht ganz eindeutige Wortlaut der Richtlinie führte jedoch dazu, dass Länder wie Österreich, Frankreich, Dänemark und die Niederlande sich für eine strenge Opt-In Variante entschieden. Tschechien, Malta und Finnland wählten hingegen eine Opt-Out Lösung. In Deutschland selbst bestand offenbar keine Veranlassung die Richtlinie explizit in eine nationale Gesetzgebung zu gießen, was nach Auslauf der Umsetzungsfrist 2011 auch die Europäische Kommission zur Nachfrage anregte. Die Bundesregierung nahm daraufhin Stellung und erklärte die Richtlinie sei bereits durch das Telemediengesetz § 13 Abs. 1 S. 2 TMG und § 12 Abs. 1 TMG umgesetzt. Dazu gibt es stark kontroverse Diskussionen. Die einen meinen diese Regelungen im TMG würden deutlich über das Ziel der Richtlinie hinausschießen und somit wären Webseiten ohne Vorschaltweichenseite quasi nicht mehr realisierbar. Der Düsseldorfer Kreis, also das Gremium der Datenschutzbeauftragten des Bundes und der Länder, sieht hingegen in dem aktuellen TMG keine Umsetzung der Richtlinie und forderte die Bundesregierung daher bereits wiederholt zum Tätigwerden auf.
Hierbei zeigt sich, es ist alles andere als leicht auf Basis dieser unklaren Situation eine finale Implementierung für deutsche Unternehmen abzuleiten. Nicht verwunderlich ist auch, dass international agierende Konzerne wie Google sich auf dieses Geflecht von nationalen Einzelregelungen nicht einlassen wollten und so schrieb man seinen Publishern von Google AdSense (z.B. Verlagsseiten die Werbung von Google zur Monetarisierung ausspielen) per Richtlinie vor, entsprechende Cookie-Hinweise zu integrieren. Dies gilt jedoch nur für Webseitenbetreiber, die auch Werbung aus dem Adsense Network einspeisen. Für Werbetreibende die über Google Ads Werbeanzeigen (vormals Google AdWords) buchen, galt diese Vorgabe hingegen nicht. Sicherlich werden einige Internetseitenbetreiber aus den daraus resultierend zunehmenden Cookie-Hinweisen bei Verlagsseiten und sonstigen Publishern geschlossen haben, dass es Zeit wird selbst einen solchen Hinweis auf der Webseite zu integrieren.
Die Thematik mit den Cookies und der Einwilligung beschäftigt derzeit die Gerichte - unter anderem den EuGH, der vom BGH mit Beschluss vom 5.10.2017, Az.: I ZR 7/16 mit Fragen zur Auslegung des europäischen Rechts hierzu betraut wurde. Es gibt derzeit unserer Meinung und der vieler weiterer (z.B. TrustedShops Rechtsexperten) weder eine klare Vorgabe für den Cookie-Hinweis noch ist in Deutschland klar geregelt, ob es diesen überhaupt braucht und wenn ja in welcher Form die Einwilligung praktiziert werden muss.
Die kurze Antwort lautet relativ wenig bis gar nichts, denn wie der Einsatz von Cookies denn nun genau stattfinden muss, sollte eigentlich durch die gleichzeitig in Kraft tretende ePrivacy-Verordnung definiert werden. Auf Grund dessen, dass hier noch kein Konsens absehbar ist, weil einige zunächst angedachte Regelungen auch dramatische wirtschaftliche Konsequenzen nach sich ziehen würden. Hier wird man nun vermutlich bis Ende 2020 abwarten können und es ist auch nicht verkehrt, dass man sich bei solchen erwarteten Auswirkungen nicht zu einem Schnellschuss seitens der Politik verleiten lässt.
Aber wenn man nun einmal mit gesunden Menschenverstand an die Thematik herangeht und hierbei auch den Datenschutz ernst nimmt gibt es nach Artikel 4 Ziffer 1 DSGVO die Definition, was personenbezogene Daten sind und nur hier ist die EU-DSGVO anzuwenden. Art. 6 DSGVO definiert einheitlich, wann man von einer rechtmäßigen Verarbeitung dieser personenbezogenen Daten sprechen kann.
Wenn also in einem Cookie wirklich personenbezogene Daten gespeichert werden und dies beispielsweise für Marketing und Werbung genutzt werden soll sowie kein Erlaubnistatbestand nach Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrages) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) vorliegt, dann muss ein Erlaubnistatbestand nach Art. 6 Abs. 1 lit. a DSGVO vorliegen, indem der Nutzer klar in diese spezifische Datenverarbeitung eingewilligt hat (eine Definition zur rechtsgültigen Einwilligung ergibt sich aus Erwägungsgrund 32 der DSGVO). Hier reicht kein obligatorischer Cookie-Hinweis für alles aus, der keine Konsequenzen nach sich zieht, sondern diese Cookies dürften nur gesetzt werden, wenn der Nutzer klar in die Setzung eben dieser eingewilligt hat und hierzu informiert wurde. Diese Einwilligung darf darüber hinaus nicht für den Abschluss einer Bestellung oder ähnliches eingefordert werden, da dies nach Art. 7 Abs. 4 DSGVO ein unzulässiger Kopplungsvorgang wäre.
Es gibt aus unserer Sicht derzeit in Deutschland keine klare Rechtsgrundlage und Urteile dafür, pauschale Cookie-Hinweise zu setzen, im Gegenteil verlautbaren Urteile der Landesgerichte und Oberlandesgerichte anderes. Die Cookie-Hinweise, wie sie häufig in der aktuellen Praxis implementiert werden, könnten sogar geradezu eine Abmahngefahr bergen. Beispielswiese wenn Sie wichtige Informationen wie den Link zur Datenschutzseite oder Impressum verdecken. Denn nach § 5 TMG muss das Impressum „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ sein. Strenger gilt dies sogar noch für die Datenschutzbestimmungen nach § 13 Absatz 1, Satz 1 TMG. Darüber hinaus regen sie als gedachte Universallösung geradezu an gegen Art. 7 Abs. 4 DSGVO (Kopplungsverbot) oder die explizite Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO zu verstoßen. Wenn man als Unternehmen den Datenschutz seiner Kunden ernst nimmt, sollte man sich mit den Datenverarbeitungsvorgängen sowie die Rechtsgrundlagen im Einzelfall beschäftigen und zumindest skeptisch sein, wenn die nächste Universallösung für alles durch die Manege getrieben wird. Liegt beispielsweise ein Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f (berechtigtes Interesse / Interessenabwägung) vor, besteht für Cookie-Banner keine Notwendigkeit, zumindest solang die ePrivacy-Verordnung oder Rechtsprechung in Zukunft keine andere Definition vorgibt.
Sie wollen mehr über die EU-DSGVO erfahren? Die Internetagentur Webcellent bietet einen kostenlosen EU-DSGVO Leitfaden an, der Ihnen kompakt auf 22 Seiten an Hand von praktischen Beispielen aufzeigt, was es für die Einhaltung der EU-DSGVO zu beachten gilt. Ebenso wird ein kostenpflichtiger DSGVO-Website- und Onlineshop-Check angeboten, falls Sie sich nicht selbst zum DSGVO-Experten weiterbilden wollen.
Sie möchten uns persönlich kennen lernen und mehr über die EU-DSGVO erfahren? Auf Einladung der Wirtschaftsförderungsgesellschaft Paderborn in Folge vieler Nachfragen von Unternehmen, referieren die Gründer Dennis Löwen und Dominik Bödger von der Webcellent am 13.06.2018 um 18 Uhr im Technologiepark 13 in Paderborn über die EU-DSGVO und berichten aus der Praxis über die wichtigsten Maßnahmen zur Einhaltung der Datenschutzgrundverordnung. Darüber hinaus soll im Rahmen dieser Veranstaltung auch ein offener Austausch unter Unternehmen ermöglicht werden, wo offene Fragen gemeinsam geklärt werden können. Die Teilnahme ist kostenlos. Melden Sie sich einfach über folgendes Anmeldeformular an. Bis bald!
Update: Die Veranstaltung ist wenige Stunden nach der Ankündigung bereits komplett ausgebucht. Vielen Dank für das Interesse!
In den kommenden Tagen finden Sie in unserem Webcellent Blog weitere spannende Fachartikel zum Thema EU-DSGVO. Werden Sie Fan unserer Facebook Seite und Sie werden mit Erscheinen der kommenden Artikel schnell informiert.
Update 08.06.2020: Inzwischen hat der EuGH und BGH ein Urteil gefällt. Sehen Sie sich unseren aktuellen Beitrag an: BGH Cookie-Urteil – Bedeutung für Google Analytics, Ads, Maps, YouTube und Amazon Pay.
Disclaimer: Die hier bereitgestellten Informationen stellen keine individuelle Rechtsberatung dar. Auch wenn sie umfassend recherchiert und abgesichert wurden, können wir für Schlussfolgerungen, die Sie aus diesen Informationen ziehen, keine Haftung übernehmen. Wir raten dazu, sich mit den der Interpretation zu Grunde gelegten Rechtsgrundlagen und Erwägungsgründen zu beschäftigen, um zu bewerten, ob die jeweiligen exemplarischen Aussagen für Ihren individuellen Anwendungsfall greifbar sind. Sollten Sie hier offene Fragen haben, schildern Sie uns Ihr Anliegen gerne über das Kontaktformular und unser geschultes Team hilft Ihnen gerne weiter.
BGH Urteil: Einwilligung in die Speicherung von Cookies Die Internetbranche lebt von einer „gewissen Dynamik“, somit haben Unternehmen aktuell nicht nur dafür zu sorgen, dass die Warenwirtschafts- und/oder Shopsysteme ab kommenden Juli die richtigen Mehrwertsteuersätze berechnen, sondern mit dem BGH Cookie-Urteil I ZR 7/16 (Einwilligung in die Speicherung von Cookies) vom 28. Mai 2020, kommt […]
Weiterlesen
Weiter geht es in unserer EU-DSGVO Artikelreihe. Nachdem wir zuletzt den Cookie-Hinweis sowie Google Analytics im Hinblick auf die Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) beleuchtet haben, widmen wir uns in dem heutigen Beitrag den Kontaktformularen und klären mit der Frage auf, ob sich aus der EU-DSGVO die Pflicht ergibt, Kontaktformulare mit einer Datenschutz-Checkbox auszustatten.
Weiterlesen
Nachdem die Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) nun in Kraft getreten ist, haben uns in Bezug auf das DSK-Positionspapier vom 26. April 2018 einige Geschäftspartner gefragt, ob der Einsatz von Google Analytics nun ausschließlich noch nach der Opt-In Methode (vorherige freiwillige Einwilligung) erlaubt sei. Diese Fragestellung wird in dem heutigen Beitrag unserer EU-DSGVO-Artikelreihe behandelt.
Weiterlesen
Gepostet von Mark
28.05.2018 — 8:22Ok. Wichtiger Beitrag.
Die zentrale Frage aber lautet nach wie vor – vor allem für einfache Webseiten-Betreiber: Wer soll/darf wie „abmahnen“? Wie sollte das Abmahnverfahren genau ablaufen? Jemand schreibt einen Brief, weil der Cookie-Hinweis fehlt oder das Impressum verdeckt und droht mit 5000,- Euro Geldstrafe? Und dann? Dann nehme ich den Briefe und ab mit ihm in den Altpapier-Container.
Ich möchte bitte die erste saftige und erfolgreiche Abmahnung wegen solcher Lapalien (im Hinblick auf den Datenschutz) sehen, um kurz danach meine Geschäftstätigkeit einzustellen oder ins Ausland zu verlagern.
Gepostet von Dominik
30.05.2018 — 0:06Hallo Mark,
wir bemühen uns in unserer Artikelreihe zur EU-DSGVO darum Unternehmen Orientierung zu geben, was in Verbindung mit Webseiten und der EU-DSGVO zu berücksichtigen ist, damit es erst gar nicht zu Abmahnungen kommt, geltendes Recht eingehalten werden kann und trotzdem keine Conversionrateverluste drohen, weil man jeden Hysterievorschlag „zur Sicherheit“ aufgreift, der wie wir hier gesehen haben auch noch Abmahnungen begründen kann.
Neben betroffenen Personen und Aufsichtsbehörden können in Deutschland z.B. auch Wettbewerber oder Verbände wie die Verbraucherzentralen Verstöße unter den entsprechenden Voraussetzungen abmahnen, die sich primär aus UKlaG oder UWG ergeben dürften. Wir möchten an dieser Stelle jedoch keine Anleitungen für pot. Abmahner verbreiten und beschränken uns daher auf die obige Zielsetzung – auch wenn du offenkundig keiner davon bist :).
Gepostet von meisterleise
22.12.2018 — 13:24Vielen Dank für diesen unaufgeregten Artikel. Dass die Cookiehinweis-Pest sich so erfolgreich etablieren konnte liegt, wie schon im Artikel beschrieben, sicherlich daran, dass es der eine dem anderen nachmacht, aber darüber hinaus auch daran, dass es zu wenige Artikel dieser Art gibt zu viele mit erhobenen Zeigefinger von Anwälten und Co.
p.s.: Falls eure Artikel zu wenig kommentiert werden, könnte das auch daran liegen, dass sich die Kommentarfunktion so weit unten befindet, dass man kaum noch mit ihr rechnet. ;-P
Gepostet von Dominik
22.12.2018 — 18:06Hallo, vielen Dank für das tolle Feedback! Die neue Website erstrahlt erst seit kurzem im neuen Gewand und auch vor dieser Elementpositionierung begnügten sich die meisten Leser in Stille. Daher die neue Anordnung :). Schöne Weihnachtsfeiertage!