Der Bundesgerichtshof entschied in seinem Urteil vom 28. Mai 2020, dass der Einsatz von Cookies zu Werbezwecken auf Internetseiten, der aktiven Zustimmung des Nutzers (Opt-In) bedarf.
Um sich dem Thema Cookies in einem ersten Schritt zu nähern, sollten sich Websitebetreiber vor dem Hintergrund des Inhalts der Entscheidung des EuGH folgende Fragen stellen:
Um die verwendeten Cookies auszulesen, gibt es viele Tools, die sich z.B. als Browserplugin installieren lassen. Über diese Tools lassen sich die Cookies einzeln auslesen und übersichtlich auflisten. Daneben kann man insbesondere erfahren, wie die Cookies konkret eingesetzt werden uns insbesondere welche Daten sie erheben. Alternativ gibt natürlich auch gerne die Agentur Ihres Vertrauens Auskunft.
Cookies lassen sich grundsätzlich in unterschiedliche Klassen aufteilen. Die meistgenutzten Cookies gehören der Klasse der sog. „technischen Cookies” an. Diese Cookies sind für die Funktion der Website - reibungslose Navigation und Nutzung - wichtig. “Personalisierende Cookies” entstammen einer weiteren Klasse und speichern Daten von wiederkehrenden Besuchern. “Statistik-Cookies” werden beispielsweise von Drittanbietern wie etracker oder Google Analytics eingesetzt. Statistik-Cookies helfen den Webseitenbetreibern zu verstehen, wie Besucher mit Webseiten interagieren, indem sie Informationen zu dem Surfverhalten der Nutzer sammeln. Daneben gibt es auch weitere, eher unbedeutende Cookie-Klassen.
Nach den Vorgaben der einschlägigen Datenschutzgesetze ist dann für den Webseitenbetreiber im Ergebnis entscheidend, welche Cookies konkret eingesetzt, welche Daten konkret von den Cookies gesammelt und zu welchem Zweck die Daten von den Cookies erhoben werden sowie insbesondere auf welcher gesetzlichen Ermächtigungsgrundlage die Datenerhebung vollzogen werden kann, damit die gesetzlichen Vorgaben eingehalten werden.
Soweit die Datenerhebung durch den Cookie auf eine Ermächtigungsgrundlage gestützt werden kann, ist insbesondere die datenschutzrechtliche Informationspflicht gegenüber den Webseitenbesuchern zu erfüllen und ggf. eine Einwilligung einzuholen. Art und Umfang der vorgenannten Pflichten hängen dann davon ab, ob und welcher Cookie eingesetzt wird. Grundsätzlich gibt es folgende Möglichkeiten:
Bei der Opt-In-Variante wird mit dem Aufruf der Seite zunächst kein Cookie gesetzt. Der Einsatz dieser Variante ist zwar aus datenschutzrechtlicher Sicht der sicherste Weg, um nicht endsprechende gesetzliche Vorgaben zu missachten. Aus Marketingsicht ist der Einsatz dieser Variante aber durchaus skeptisch zu betrachten, da im Ergebnis nur noch von den einwilligenden Usern endsprechende Daten verarbeitet werden können. Eine Optimierung der Website gestaltet sich dann in der Praxis durchaus schwierig, da deutlich weniger Daten vorliegen.
Zunächst sollte eine Übersicht der verwendeten Cookies erstellt werden. Die Cookies sollten in einem zweiten Schritt datenschutzrechtlich analysiert werden. Dabei ist es im Zweifel immer ratsam, einen Rechtsanwalt oder Datenschützer zu Rate zu ziehen und sich mit diesem über die verwendeten Cookies auszutauschen. Dieser sollte zudem “grünes Licht“ für die gewählte Lösung des Cookie-Hinweises, der Datenschutzerklärung und des Einwilligungstextes geben. Der User ist in jedem Fall transparent in Bezug auf jeden verwendeten Cookie nach dem Vorgaben der EuGH-Rechtsprechung aufzuklären. Zuletzt sollte die Cookie-Lösung bezüglich der Einwilligungsvorgabe so in die Seite integriert werden, dass sie dem User eindeutig die relevanten Informationen zur Verfügung stellt und eine Einwilligung vom User einholt. Die Opt-in Lösung stellt hier datenschutzkonform die sicherste Lösung dar, dass vor einem Einsatz der Cookies die Einwilligung nachweislich abgegeben wird.