Was bedeutet das Urteil für deutsche Unternehmen?
Die Einwilligung zur Cookie-Nutzung war bereits Thema beim Europäischen Gerichtshof (EuGH). Wie wir berichteten, hatte der EuGH bereits im Oktober 2019 festgelegt, dass die Nutzung von Cookies durch voreingestellte Häkchen auf der Homepage (Opt-Out-Verfahren) nicht rechtmäßig ist. (Lesen Sie den gesamten Beitrag dazu hier).
Nun hat auch der Bundesgerichtshof (BGH) dieses Urteil bestätigt bzw. für deutsche Unternehmen übernommen.
Die Nutzung von Cookies durch voreingestellte Haken zur Einverständniserklärung ist nicht rechtens.
Für viele Unternehmen ergibt sich daraus nun deutlicher Handlungsbedarf. Worauf Unternehmen beim Umgang mit Cookies nach dem neuen BGH-Urteil jetzt achten müssen, erklären wir Ihnen in diesem Blog.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie eine Beurteilung zum aktuellen Stand Ihrer Cookie-Einstellungen? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen in der Umsetzung der DS-GVO.
Was war geschehen? – Unzulässige Cookie-Einstellungen bei Gewinnspiel
In einer Pressemitteilung vom 28.05.2020 äußert sich der BGH ausführlich dazu (die offizielle Pressemitteilung von der Pressestelle des Bundesgerichtshof finden Sie hier). Grundlage des Urteils ist eine Unterlassungsklage des Bundesverbands der Verbraucherzentralen. Ein Unternehmen hatte bereits 2013 ein Gewinnspiel gestartet, bei dem unter anderem ein voreingestelltes Häkchen zu finden war, welches eine Einwilligung zu weiteren Werbezwecken durch einen Webanalysedienst erlaubte. Dies geschah dann durch Cookies, welche zwar gelöscht werden konnten aber eine ID erstellten, die dem User eindeutig zuordenbar war. Durch diese ID war es dem Webanalysedienst möglich Web-Verhaltensweisen des Betroffenen zu erfassen, sobald er auf die Seite eines registrierten Werbepartners gelangt. Dabei konnten also sowohl der Besuch an sich als auch angeschaute und gekaufte Produkte analysiert und registriert werden, die der Betroffene getätigt hatte.
Ein zweiter Haken war nicht voreingestellt und betraf eine Einverständniserklärung vom Betroffenen zur Werbung durch Sponsoren und Kooperationspartner. Hier konnte eine Vorauswahl dazu getroffen werden, welche Partner Werbematerial senden sollten.
Teilnahme Gewinnspiel nur mit Cookie-Einwilligung möglich
Am Gewinnspiel teilnehmen konnte nur, wer einen der beiden Haken setzte. Eine Einwilligung zu Werbe- bzw. Analysezwecken, war also verpflichten zur Teilnahme am Gewinnspiel.
Nach einer Unterlassungsklage beim Landgericht hatte dieses bereits das betroffene Unternehmen zur Unterlassung dieser Art von Einwilligung verurteilt und Abmahnkosten verhängt. Bei einer Berufung bekam wiederrum das beklagte Unternehmen recht bezüglich der Unterlassung von voreingestellten Cookie-Haken. Zu diesem Urteil des Oberlandesgerichts gingen Beklagter und Kläger in Revision. Der BGH hatte das Verfahren 2017 ausgesetzt und sich an den EuGH gewandt, um spezifische Fragen zum Thema zu klären.
Dabei ging es auch um die Auslegung der Datenschutzgrundverordnung (DS-GVO) zu diesem Fall. Mit dem Urteil vom 1. Oktober 2019 hatte der EuGH die Nutzung von Cookies mit voreingestellten Haken untersagt.
Der Bundesgerichtshof hat nun aufgrund des vorliegenden Urteils des Europäischen Gerichtshofs die Revision des Beklagten zurückgewiesen und das Berufungsurteil aufgehoben. Das erstmalig ausgesprochene Urteil des Landgerichts erhält somit wieder seine Gültigkeit.
Das Urteil betrifft folgende Punkte die – vereinfacht dargestellt – nicht den Vorgaben der Datenschutzgrundverordnung entsprechen:
- Einwilligung in telefonische Werbung – wurde nicht DS-GVO-konform durchgeführt
- Fehlende Kenntnis der Sachlage (die Auswahl der Werbepartner betreffend)
- Einwilligung in die Speicherung von Cookies – wurde nicht DS-GVO-konform durchgeführt
- Einwilligung durch voreingestellte Cookies – entsprach ebenfalls nicht den gesetzlichen Vorgaben
Wie mache ich mein Unternehmen sicher im Umgang mit Cookies?
In vielen Fällen ist den Betreibern einer Homepage nicht klar, welche personenbezogenen Daten überhaupt erfasst oder gar weitergegeben werden, zum Beispiel an Analysedienste. Eine Lücke, die Sie im Zweifel teuer zu stehen kommen kann, denn eine Weitergabe von personenbezogenen Daten, die nicht der Datenschutzgrundverordnung entspricht, sehen Gerichte und Aufsichtsbehörde nicht mehr als Kavaliersdelikt an. Wissen Sie, ob die Cookies auf Ihrer Homepage einer Klage vor dem Bundesgerichtshof mit der Grundlage des EuGH-Urteils standhalten können? Wenn diese Frage nicht eindeutig mit „Ja“ beantwortet werden kann, dann sollten Sie sich schnellstmöglich mit Ihrem Fachmann für Datenschutz in Verbindung setzen. Es ist davon auszugehen, dass dieses Urteil nun Grundlage dafür sein wird, dass immer mehr Internetseiten von Unternehmen einer Prüfung unterzogen werden.
Sie sollten sich also vermehrt um dieses Thema kümmern und Ihre Homepage noch einmal einem genauen Check in Sachen Datenschutz unterziehen. Ansprechpartner kann hierbei der (externe) Datenschutzbeauftragte oder Ihr IT-Beauftragter sein.
Sie brauchen jetzt konkrete Unterstützung bei dem Thema Cookies?
Das Team von Datenschutzberater.NRW bietet Ihnen Datenschutz mit fundiertem IT-gestützten Hintergrund an. Für Mandanten bieten wir im Rahmen unseres Angebots einen Scan der Webseite an. In diesem Zusammenhang analysieren wir, welche Daten auf der Homepage erfasst und ggf. weiterverarbeitet oder weitergegeben werden. Die entsprechende Verwendung von Cookies wird dabei auch analysiert und auf Wunsch unterstützen wir Sie darin, Ihre Homepage für den Datenschutz fit zu machen – natürlich nach den neusten gesetzlichen Grundlagen.
Wir betreuen Kunden in Köln, Bonn, Düsseldorf und ganz NRW außerdem in folgenden Bereichen:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- GoBD-Beratung
- IT-Sicherheit
- IT-Auditierung
- Wir stellen den externen Datenschutzbeauftragten (TÜV), der durch eine Datenschutzfachkraft unterstützt wird
Nehmen Sie einfach Kontakt zu uns auf, wir erstellen Ihnen ein praxisorientiertes und individuell umsetzbares Konzept für Ihr Unternehmen, Ihre Kanzlei, Praxis oder den Verein.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.