Nach der letzten Entscheidung des BGH zu Cookies ist klar, dass nicht unbedingt funktionsnotwendige Cookies einer datenschutzrechtlichen Einwilligung bedürfen. Nahezu alle Website-Betreiber werden daraufhin ihre Cookie-Banner anzupassen haben, wenn sie nicht Gefahr laufen wollen, Bußgelder oder kostenpflichtige Abmahnungen zu kassieren.
Ausgangslage
Personenbezogene Daten (z. B. Name, Adresse, Telefonnummer, aber auch IP-Adresse) dürfen nur verarbeitet werden, wenn ein Erlaubnistatbestand vorliegt. Dies ist beispielsweise bei der Verarbeitung von Daten zur Vertragserfüllung oder bei einer Einwilligung der Fall (Art. 6 DSGVO).
Über jede Datenverarbeitung ist der Betroffene zu informieren. Eine Datenschutzerklärung ist daher absolute Pflicht; bei einer Einwilligungskonstellation muss sogar besonders intensiv über Umfang und Reichweite der Datenverarbeitung informiert werden.
Cookies
Cookies sind Website-Bausteine, die unterschiedlichste Funktionen übernehmen können. In der Regel dienen sie dazu, den Nutzer einer Website wiederzuerkennen. Zusätzlich können hiermit Werbe- oder Analysezwecke verfolgt werden. Daher unterscheidet man zwischen Cookies, die nur die Funktionalität der Website betreffen (z. B. Speicherung von Login-Daten), und Cookies, die Daten an Dritte, bspw. Marketing- oder Analyseunternehmen, weitergeben (z. B. Google Analytics).
Die erstgenannten technisch-funktionalen Cookies müssen zwar in der Datenschutzerklärung erläutert werden (generelle Verwendung, Zweck, Umfang), es bedarf nach aktueller Rechtslage jedoch keines Banners oder einer Einwilligung, denn die Verarbeitung beruht auf der Bereitstellungsleistung und dem besonderen Interesse des Seiten-Betreibers.
Bei Marketing- oder Analyse-Cookies (insb. „Third-Party-Cookies“) bedarf es nach der neuesten Entscheidung des BGH vom 28.05.2020 einer sog. „informativen Einwilligung“. Der Nutzer muss also nicht nur aktiv jeder einzelnen und bestimmbaren Datenverarbeitung zustimmen, sondern u. a. auch über Empfänger, Umfang und Art der Datenverarbeitung informiert werden. Dies ist mit den meisten aktuell bekannten Cookie-Bannern nicht zu gewährleisten.
Anpassung des Einwilligungs-Banners
Daher muss die Cookie-Einwilligung so ausgestaltet werden, dass der Nutzer umfassend über die Folgen seiner Einwilligung informiert wird, er aber auch aktiv und gesondert jeder Analyse- oder Marketing-Maßnahme zustimmen muss. Eine Vorauswahl oder eine einseitige, farbige Hervorhebung der Einwilligungsmöglichkeit dürfte daher rechtswidrig sein.
In der Konsequenz muss die Website so programmiert sein, dass Cookies erst „gesetzt“ werden, nachdem die jeweilige Einwilligung erteilt wurde. Dies gilt nicht für funktionsnotwendige Cookies. Außerdem muss ein Widerruf der Einwilligung möglich sein. Einige IT-Hersteller bieten bereits gut verwendbare Systeme an.
Unabdingbar ist daneben das Einfügen einer umfassenden Datenschutzerklärung, da der Website-Betreiber beim Betrieb einer Website einer ständigen Informationspflicht unterliegt.
Abmahnbarkeit von Datenschutzverstößen
Noch nicht vollständig geklärt ist, ob Datenschutzverstöße kostenpflichtig abgemahnt werden können. Zwar kann der betroffene Nutzer Verstöße rügen und Kosten ersetzt verlangen; wesentlich riskanter wäre jedoch das Szenario, dass Mitbewerber Datenschutzverstöße abmahnen könnten. Hierdurch wären teure Abmahnwellen im Hinblick auf kleinste Datenschutzverstöße – wie fehlende Cookie-Einwilligungen – zu befürchten.
Aktuell ist die Rechtsprechung der Oberlandesgerichte hierzu höchst unterschiedlich. Die Gerichte in Hamburg, Naumburg, Stuttgart und Berlin bejahen eine Abmahnfähigkeit von Datenschutzverstößen, während andere Landgerichte diese eher ablehnen. Eine für ganz Deutschland einheitliche geltende Entscheidung des Bundesgerichtshofs wird mit Spannung erwartet. Allerdings sollten bereits jetzt – auch zur Vermeidung von Datenschutz-Bußgeldern – alle Anstrengungen unternommen werden, Datenschutzvorgaben einzuhalten. Überdies scheinen die Stimmen in Rechtsprechung und Literatur eher für eine durchaus brisante Abmahnfähigkeit von Datenschutzverstößen zu sprechen.
Empfehlung für die Praxis
Die Datenschutz-Folgenabschätzung, die nicht selten von den Datenschutzbehörden eingesehen wird, stellt ein recht komplexes Instrument dar, um die bei einer Datenverarbeitung betroffenen Interessen gegeneinander abzuwägen. Entscheidend ist, dass eine solche Abwägung vor der Verarbeitung durchgeführt und schriftlich dokumentiert worden ist. Anderenfalls drohen Bußgelder.
Wir unterstützen Sie gerne bei der ordnungsgemäßen Gestaltung Ihrer Website. Dies kann neben der Überprüfung Ihrer Website auf datenschutz- aber auch wettbewerbsrechtliche Abmahngründe auch die Bereitstellung der erforderlichen Rechtstexte oder die Verteidigung gegen Ansprüche Dritter sein. Sprechen Sie uns gerne an.