Die Schrems-II Entscheidung des EuGH

DatenschutzrechtDie Schrems-II Entscheidung des EuGH

Die Schrems-II Entscheidung des EuGH zu Privacy-Shield und Stadardvertragsklauseln als Rechtsgrundlage zum Datentransfer in Drittstaaten

der Cookie-Banner gehört mittlerweile zum Standard einer jeden Website. Entgegen der noch vor einiger Zeit eher sporadischen Verwendung erscheinen sie heute beim erstmaligen Besuch in verschiedenen Formen und Ausführungen. Sie informieren über die verwendeten Cookies und bieten die Möglichkeit, für die Verarbeitung personenbezogener Daten einzuwilligen, bevor die Verarbeitung beginnt.

Der Umstand, dass heute auf fast allen Websites Cookie-Banner vorfinden sind, ist nicht zuletzt der Entscheidung des Bundesgerichtshofs vom 28.05.2020 (I ZR 7/16 – Cookie-Einwilligung II) geschuldet. Denn seither müssen Betreiber einer Website einen Cookie-Banner verwenden, der eine Vielzahl an rechtlichen Anforderungen zu erfüllen hat. Man sieht aber auch heute noch Cookie-Banner die diese Voraussetzungen des BGH nicht erfüllen. Das kann in vielerlei Hinsicht problematisch werden, da Abmahnungen und Strafen der Aufsichtsbehörden drohen.

Warum Websites einen Cookie-Banner brauchen

Cookies stellen kleine Textdateien dar, die lokal auf der Festplatte der Websitebesucher gespeichert werden. Sie stellen einen fast unverzichtbaren Bestandteil des komfortablen Surfens dar. So müssen zB Zugangsdaten nicht bei jedem Besuch neu eingeben werden oder der Inhalt des Warenkorbs bleibt erhalten.

Cookies können aber auch dazu verwendet werden, detaillierte Nutzerprofile zu erstellen um dem User personalisierte Werbung anzuzeigen. Deshalb hat der BGH in der vorerwähnten Entscheidung ausgeführt, dass das Verwenden von Cookies, die für den Betrieb einer Website nicht zwingend erforderlich sind, nur nach einer Einwilligung des Users zulässig ist.

Die Opt-in-Pflicht für Werbe- und Marketing-Cookies

Die weitläufig als Opt-In bezeichnete Einwilligung des Users muss nach der Vorschrift der DSGVO zahlreiche Voraussetzungen erfüllen. Gem. Art. 7 DSGVO muss die Einwilligung freiwillig und vor Beginn der Verarbeitung erfolgen. Nur wenn der User ausreichend informiert ist, kann eine Einwilligung regelkonform erfolgen. Zudem müssen User ihre Einwilligung jederzeit und in gleicher Form, wie die Einwilligung erteilt wurde, diese widerrufen können.

Was bei der Verwendung von Cookies nun zu beachten ist

  1. Die rechtlichen Vorgaben des BGH müssen nun umgesetzt werden. Website-Betreiber müssen überprüfen ob der Banner den rechtlichen Voraussetzungen entspricht und gegebenenfalls technisch überarbeitet werden.
  2. Einfache Cookie-Hinweise, die lediglich über das Setzen von Cookies informieren oder gar die Aussage enthalten, dass beim weiteren Surfen von einer Zustimmung ausgegangen wird, erfüllen keine wirksame Einwilligung im Sinne der DSGVO.

Vielmehr müssen User aktiv in die Datenerhebung einwilligen können.

  1. Das Setzen von Cookies ist jedoch nicht in jedem Fall nur nach erteilter Einwilligung möglich. Unbedingt erforderliche und technisch notwendige Cookies können auch ohne  Einwilligung gesetzt werden. Die notwendigen Cookies, die den Besuch auf der Website erst ermöglichen (Sprachauswahl, Login, Warenkorb), brauchen nicht als Einwilligungsoption angezeigt werden, wohl aber muss über deren Verwendung informiert werden.

Im Gegensatz dazu muss über Tracking-Cookies und Werbe-Cookies informiert werden und es ist eine Einwilligung des Users vor der Nutzung dieser Tools erforderlich. Diese Cookies dürfen keinesfalls schon eingeschaltet sein, wenn der User die Website aufruft.

Ein Consent-Manager, der vielfach angeboten wird, hilft, die Einwilligung zur Datenverarbeitung einzuholen, zu verwalten und nach den Kriterien der DSGVO zu dokumentieren.

  1. Der Cookie Banner darf keineswegs den Link zum Impressum oder der Datenschutzerklärung verdecken. § 5 Abs. 1 TMG verpflichtet, ein Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten. Das gilt auch für die Datenschutzerklärung. Der Cookie-Banner muss daher so gestaltet werden, dass die Links zu den Pflichtangaben nicht verdeckt sind.
  2. Ebenso muss die Widerrufsmöglichkeit der Einwilligung gem. Art. 7 Abs. 3 S. 4 DSGVO so einfach wie die Erteilung der Einwilligung gestaltet sein.

Erfolgt ein Widerruf der Einwilligung, müssen dies dokumentiert werden und darauf geachtet werden, dass die einzelnen abgelehnten Cookies ab diesem Zeitpunkt funktionslos sind.

Bitte sprechen Sie mich an, wenn Fragen zu diesem Thema bestehen oder wir gemeinsam einen neuen Cookie-Banner erarbeiten sollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.