Seit dem 28.05.2020 haben wir (in Deutschland) nun ein ein Urteil vom BGH zu dem Umgang mit Cookies bevor wir überhaupt ein passendes Gesetz haben. Das Urteil besagt: „Ein aktives Ja zu Cookies muss sein“. Damit haben wir Webseitenbetreiber dann auch de facto Rahmen, wie wir damit umzugehen haben, nun sollte gehandelt werden. Dies sind die Gründe:
1. Es besteht die Gefahr einer Abmahnung mit verbundenen Kosten von 1000-2500 Euro
Die zwei Abmahnungen, die ich in diesem Zusammenhang bereits gesehen habe, zielen meist auf eine Verletzung der Persönlichkeitsrechte und damit auf eine Verletzung des DSGVO ab. Damit ist der potentielle Streitwert bzw. das Bußgeld gesetzt: 20 Millionen Euro – In den meisten Fällen und nach meiner persönlichen Meinung: Absoluter Bullshit. Eine Klage – egal wie sie ausgeht und ob es dazu kommt – kostet aber ein Vielfaches der Abmahnkosten.
2. Mach es doch richtig mit einem Consent-Manager oder Cookie-Hinweis in der Datenschutzerklärung
Bevor nun irgendwann die ePrivacy-Verordnung aussagt, was wie konkret zu handhaben ist, lasse ich den Nutzer entscheiden. Natürlich kann man auch auf nicht technisch notwendige Cookies verzichten. Für mich gibt es zwei brauchbare Vorgehen:
Cookie Consent Tool
Du verwendest Google Analytics oder ein anderes Tracking-Tool? Eine Newsletter-, Youtube oder andere Social-Media-Integration? Du willst nicht darauf verzichten? Dann solltest Du ein Cookie-Consent-Tool einsetzen.
Eine solche Lösung speichert die Entscheidung der Webseiten-Besucher und handhabt bestenfalls die Cookie-Erstellung von den einzelnen Integrationen.
Wir haben mit den Lösungen von Usercentrics und Borlabs Cookie gute Erfahrungen gemacht. Diese halten die Einwilligungen datenschutzkonform fest. Die Preise für eine solche Lösung belaufen sich auf ca. 40-96 Euro im Jahr.
Datenschutzerklärung mit Cookie-Hinweis
Du verwendest nur technisch notwendige Cookies? Sehr gut! Dann erkläre diese kurz in den Cookie-Hinweisen der Datenschutzerklärung und Du hast nichts zu befürchten.
3. Du hast keine Ahnung und machst deswegen nichts?
Fahrlässig und absolut nicht notwendig!
Ich prüfe Dir deine Seite kostenfrei und (rechts-)unverbindlich nach bestem Wissen und Gewissen. Schreib mir eine E-Mail.
Als Partneragentur von eRecht24 kann ich Dir Rabatte für die jeweilige Lösung weitergeben, wenn ich sie implementiere.
Fazit zu Cookie-Hinweisen auf Webseiten
Zum Glück rückt das Thema in die Rechtssprechung und wird umgesetzt und gelebt. Das Recht auf informationelle Selbstbestimmung sorgt längst nicht jeden aber auch Du hängt die Gehaltsabrechnung nicht ans Schwarze Brett – warum also digital?
Privacy by Design und Privacy by Default stehen in Konkurrenz zur Auswertung und marktwirtschaftlichen Herangehensweisen. Es ist kein triviales Thema und genau in dem Punkt können wir (Webentwickler) unterstützen.
Wie gehst du mit dem Thema um? Gibt es Fragen?
Hintergrund zum Urteil Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung
Für alle, die es bis hierhin geschafft haben: Hintergrund zu dem Urteil des BGH ist ein Vorfall im Jahr 2013. Hier gab es noch keine Novellierung des Datenschutzes, noch einen Gedanken an eine ePrivacy-Verordnung und auch eine europäische Cookie Law gibt es erst seit 2011 und hat formaljuristisch IMHO hierzulande bis heute keine Rechtsverbindlichkeit, da es noch nicht in Bundesrecht umgewandelt worden ist. Daher wurde dieses Urteil auch vom EUGH geprüft.
Für die Teilnahme an einem Gewinnspiel sollte der Nutzer einen Dialog bestätigen in dem eine Checkbox vorausgefüllt war (das für die Cookies). Dem Gericht fehlt – vereinfacht ausgedrückt – die wirksame Einwilligung in telefonische Werbung, das sog. Opt-In. Die Opt-Out-Lösung (also eine Checkbox, die abgewählt werden kann), die implementiert war, stellt lt. BGH eine unangemessene Benachteiligung des Nutzers dar. Die Cookies, die man natürlich hätte jederzeit löschen können, hätten mit einem dem Nutzer zugeordneten ID, Werbeprofile für personalisierte Werbung erlaubt.
Nur das aktive Setzen des Hakens wäre aber für personalisierte Werbung zulässig gewesen. Alles in allem aber aufgrund der „Rechtslücke“ die die fehlende ePrivacy-VO schließen soll, ist sehr viel Interpretation unserer geltenden Gesetze notwendig um rechtsverbindlich ein Urteil zu fällen.
Nun kann man hier unser TMG und BGB filetieren und behaupten, dass bspw. ein Google Analytics keine personalisierten Profile erstellt und damit auch ein Opt-Out reichen sollte, wenn ich aber den „Grundgedanken“ des Urteils nehme, dann sollte der Nutzer zu allem zustimmen, was nicht mit der Kern-Intention des Nutzers zusammenhängt. Am Beispiel Webseitenbesuch: Ich möchte auf eine Webseite um, mir den Inhalt anzusehen und durchzulesen, ich möchte aber diese Information nicht an Google, Facebook, oder sonst wen teilen. Ich will also aktiv einwilligen, falls diese Informationen geteilt werden sollen.
