von Tim Wybitul, Valentino Halim, Dr. Wolf-Tassilo Böhm

Der Bundesgerichtshof (BGH) hat in einem Grundsatzurteil vom 28. Mai 2020 (Cookie-Einwilligung II-Urteil) darüber entschieden, welche Anforderungen die an Einwilligungen von Website-Nutzern in den Einsatz von Cookies zu stellen sind. Danach dürfen Website-Betreiber für den Betrieb der Website nicht unbedingt erforderliche Cookies auf dem Endgerät eines Nutzers nur nach dessen vorheriger aktiver Einwilligung (sogenanntes Opt-in) setzen. Damit folgt der BGH einer Entscheidung des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2019 (Planet49-Urteil), dem er den Rechtsstreit zur Vorabentscheidung vorgelegt hatte. Der BGH hatte unter anderem über die Kernfrage zu entscheiden, auf welchem Wege Website-Betreiber Einwilligungen ihrer Nutzer in das Setzen und Auslesen von Cookies einholen müssen. Konkret stand in Streit, ob dies im Wege eines Opt-in erfolgen muss, oder ob auch das Nichtabwählen eines voragekreuzten Kästchens eine wirksame Einwilligung darstellt (sogenanntes Opt-out).

Die Pressemitteilung zum Urteil mit weiteren Einzelheiten finden Sie hier.

Höheres Risiko von DSGVO-Bußgeldern, Schadensersatzforderungen, Unterlassungsklagen und sonstigen Nachteilen

Das Cookie-Einwilligung II-Urteil des BGH liegt zwar noch nicht im Volltext vor. Es dürfte aber das Risiko von Bußgeldern nach der EU-Datenschutz-Grundverordnung (DSGVO), Schadensersatzforderungen, Unterlassungsklagen und sonstigen Nachteilen weiter erhöhen. Website-Betreiber sollten daher die in Kürze zu erwartende Urteilsbegründung des Cookie II-Urteils aufmerksam verfolgen. Zwischenzeitlich ist Website-Betreibern zu empfehlen, die von Ihnen derzeit praktizierte Verwendung von Cookies zu überprüfen und erforderlichenfalls an die neuen Anforderungen anzupassen. Zudem kann es sinnvoll sein, eine Verteidigungsstrategie gegen mögliche Bußgelder, Schadensersatz- und Unterlassungsansprüche sowie sonstige Datenschutzrisiken vorzubereiten.

Praktische Folgen und Handlungsempfehlungen für Website-Betreiber

  • Erfordernis einer Nutzer-Einwilligung in das Setzen von Cookies

Website-Betreiber sind gehalten, eine Einwilligung des Website-Nutzers einzuholen, wenn sie nicht unbedingt erforderliche, d.h. nicht essentielle Cookies einsetzen möchten. Bei technisch unbedingt erforderlichen Cookies ist dagegen für das Setzen auf dem Endgerät und den späteren Zugriff auf dortige Informationen keine Einwilligung notwendig.

Zu den nicht unbedingt erforderlichen Cookies zählen ausweislich des Cookie-Einwilligung II-Urteils zumindest solche Cookies, die websiteübergreifend Informationen über das Surfverhalten des Nutzers sammeln, um basierend auf dem so gebildeten Nutzerprofil interessengerechte Werbung an den Nutzer auszuspielen. Jedenfalls Cookies dieser Art sind nach dem Urteil als nicht essentiell zu werten. Das Setzen und Auslesen solcher Cookies erfordert deshalb eine vorherige Einwilligung.

  • Anforderungen an das Einholen einer wirksamen Einwilligung

Nach dem Urteil erfüllt nur eine aktiv erteilte Einwilligung (Opt-in) die gesetzlichen Anforderungen an eine rechtswirksame Einwilligung in den Cookie-Einsatz. Bevor der Nutzer seine Einwilligung erteilt hat, darf die Website keine nicht essentiellen Cookies auf dem Endgerät des Nutzers setzen, aktivieren oder Informationen mit Hilfe dieser Cookies vom Endgerät abrufen.

Um eine wirksame Einwilligung einzuholen, kann der Website-Betreiber den Nutzer beispielsweise mittels eines Cookie-Banners auffordern, ein Ankreuzkästchen anzuklicken, einen Schalter zu aktivieren oder anderweitig aktiv eine Auswahl zu treffen. Das Kreuz oder die sonstige Opt-in-Möglichkeit darf nicht bereits als Voreinstellung aktiviert sein. Zudem muss das Cookie-Banner mit Opt-in-Möglichkeit gleich beim ersten Aufruf der Website auf der Startseite oder sonstigen Seite erscheinen.

Eine Einwilligung darf sich auch nicht pauschal auf den Einsatz nicht essentieller Cookies jeder Art beziehen. Der Nutzer muss zumindest die Wahl haben, ob und ggf. welchen einzelnen nicht unbedingt erforderlichen Cookies oder zumindest Kategorien solcher Cookies er zustimmt. Die Einwilligung muss ausreichend „granular“ möglich sein.

In der Praxis können z.B. Cookie-Management-Systeme professioneller Anbieter Website-Betreibern dabei helfen, die erhöhten rechtlichen Anforderungen und wirtschaftliche Interessen an den Einsatz von Cookies möglichst in Einklang zu bringen. Zudem ermöglichen solche Lösungen auf die Situation des Website-Betreibers zugeschnittene Ansätze bei der Umsetzung der neuen Anforderungen an Cookies.

  • Informationsanforderungen für Website-Betreiber

Nach dem Planet49-Urteil des EuGH muss der Website-Betreiber dem Nutzer bei der Einholung seiner Einwilligung bestimmte Mindestinformationen über die Cookies zur Verfügung stellen, die zum Einsatz kommen sollen. Dazu zählen die „Funktionsdauer“ der Cookies, insbesondere wenn abzusehen ist, dass die gesammelten Informationen zum Nutzungsverhalten für einen langen oder unbegrenzten Zeitraum gespeichert werden. Ebenso muss der Nutzer erfahren, ob Dritte Zugriff auf seine Daten erhalten können, die mittels der betreffenden Cookies gesammelt werden.

Da mit dem Einsatz von Cookies regelmäßig auch eine Verarbeitung personenbezogener Daten der Nutzer einhergeht, müssen diese auch nach allgemeinen datenschutzrechtlichen Vorschriften Informationen zur Datenverarbeitung erhalten. Website-Betreiber sollten diese Informationen z.B. in der Datenschutzerklärung für die Website oder einer gesonderten Cookie-Erklärung abbilden.

Ein Urteil – zahlreiche offene Fragen und rechtliche Risiken für Website-Betreiber

Nach dem Grundsatzurteil des BGH steht nunmehr fest, dass die Rechtsprechung im Wege eines Opt-out-Modells eingeholte Cookie-Einwilligungen für technisch nicht notwendige Cookies künftig nicht mehr als rechtskonform bewerten wird. Dennoch zieht die Entscheidung keinen Schlussstrich unter die jahrelange Debatte um die Anforderungen an den rechtlich zulässigen Einsatz von Cookies. Sie lässt eine Reihe von Fragen ungeklärt. Daraus folgen rechtliche Risiken, aber gegebenenfalls auch Gestaltungsspielräume für Website-Betreiber.

Eine ausführliche Analyse des Urteils, seiner rechtlichen Implikationen und Folgen für die Praxis finden Sie hier.