Am 28.5.2020 hat der Bundesgerichtshof (BHG) entschieden, dass für die Nutzung von Cookies eine aktive Einwilligung des Nutzers notwendig ist. Das gilt für alle technisch nicht-notwendigen Cookies, also insbesondere für Statistik- und Marketing-Cookies. Die Pressemitteilung des BGH finden Sie hier.
Bereits im Oktober 2019 hat der Europäische Gerichtshof ähnlich entschieden und die aktive Einwilligung (OptIn) als verpflichtend erachtet. Damit ist die OptOut-Lösung, die auf vielen Webseiten in Deutschland verwendet wird, nicht mehr rechtssicher.
Das bedeutet:
- Nur technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden.
- Alle anderen Cookies, also auch Cookies für Web-Analytics, dürfen nur mit Einwilligung eingesetzt werden.
- Eine Berufung auf ein berechtigtes Interesse für das Setzen von Cookies ist nicht mehr rechtssicher.
1. Informationen auf der Startseite („Consent-Banner“ bzw. „Consent-Bar“)
Für alle gewerblichen Webseitenbetreiber heißt das, dass sie auf der Startseite einen Hinweis anbringen müssen, der über die Verwendung von Cookies für den technischen Betrieb, Analyse- und Komfortfunktionen und Marketingzwecke informiert und Einwilligungen für das Setzen von technisch nicht erforderlichen Cookies einholt. Das erfolgt in der Regel durch sogenannte Consent-Banner bzw. Consent-Bars. Die können entweder selbst erstellt werden, oder der Webseitenbetreiber greift auf professionelle Plug-Ins zurück, zum Beispiel von Borlabs, Usercentrics oder Cookiebot.
Vor Erteilung der jeweiligen Einwilligung dürfen nur die technisch notwendigen Cookies gesetzt werden. Jede Einwilligung muss durch ein aktives Handeln des Users erfolgen, ein Vorbelegung von Checkboxen ist unzulässig. Erst wenn eine Einwilligung erteilt wurde, dürfen weitere Cookies gesetzt werden.
Der Besucher muss sich über die Cookies, die gesetzt werden, bei Bedarf tiefer informieren können. Dazu muss eine Liste der Cookies per Klick im Consent-Banner erreichbar sein. In dieser Liste muss der Besucher über die einzelnen Funktionen, deren Zweck und Speicherdauer informiert werden. Die Einwilligungen müssen gespeichert und können vom Besucher jederzeit widerrufen werden. Der Widerruf muss so einfach wie die Zustimmung sein.
2. Transparenz schaffen durch Informationen in der Datenschutzerklärung der Webseite
Gemäß DSGVO muss darüber informiert werden, welche Datenverarbeitungen stattfinden. Dazu zählen auch Datenverarbeitungen durch Cookies. Neben der Cookie-Liste aus der Einwilligung muss sich der Besucher informieren können, welche
- Funktionen auf der Webseite zum Einsatz kommen, mit denen personenbezogene Daten (Pseudonyme) verarbeitet werden
- Welcher Zweck damit verfolgt wird
- Welche Informationen damit an wen weitergegeben werden
- Wie lange diese Daten gespeichert werden (Cookie-Lebensdauer) bzw. wann diese wieder gelöscht werden.
Das heißt, dass zu jedem verwendeten Cookie – und damit jeder durchgeführten Verarbeitung – ein Abschnitt im Datenschutzbereich notwendig ist. Dort werden dann die Informationen zu dem Cookie gegeben. Idealerweise können die Informationstexte auch als Beschreibung der Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten verwendet werden. Das erspart Doppelarbeit.