Neues EuGH-Urteil: Cookie-Einwilligung-Banner und Detailinformationen sind im Onlinemarketing Pflicht

Update 28.05.2020: Nunmehr liegt in dieser Angelegenheit auch die Entscheidung des BGH vor: BGH-Urteil: Opt-In-Pflicht für Werbe- und Marketing-Cookies (FAQ mit Anleitung und Checkliste)

Der Europäische Gerichtshof (EuGH) hat sich am 1. Oktober 2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen (alt. „Cookie-Opt-Ins”) ausgesprochen. Sie sollten also spätestens ab heute keine (nicht unbedingt erforderlichen) Cookies einsetzen, ohne dass Ihre Nutzer sich mit ihnen ausdrücklich einverstanden erklärt haben (EuGH, 1.10.2019 – C-673/17 “planet49”).

Damit haben sich die Datenschutzbehörden mit der Opt-In-Lösung durchgesetzt. Allerdings bleiben noch viele Punkte offen.

Insbesondere ist nicht geklärt, ob Nutzer auch einzelnen Cookie-Anbietern oder zumindest Cookie-Gruppen (z.B. “Onlinemarketing”) aktiv zustimmen müssen. Sollten sich Datenschützer auch mit dieser Ansicht durchsetzen, dann wäre z.B. das “Programmatic Advertising” (bei dem in Echtzeit eine große Zahl von Anbietern Daten der Nutzer potentiell verarbeiten kann) praktisch tot.

Im folgenden Beitrag beantworte ich die dringendsten Fragen zum Urteil und zur Ausgestaltung von Cookies in Form einer FAQ. Eine Zusammenfassung der wichtigsten Punkte erhalten Sie am Ende des Beitrags.

Aktueller Stand des Beitrags: 14.01.2020 (Updates finden sich am Ende).

Worum ging es in dem entschiedenen Fall?

In dem vom EuGH entschiedenem Fall ging es um die Klage der Verbraucherzentrale Bundesverband (vzbv) gegen das Unternehmen „planet49″, das im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte.

Vor dem Klick auf die Absende-Schaltfläche des Gewinnspiels fanden die Teilnehmer zwei Kontrollkästchen vor:

  • ein nicht vorangehaktes Kontrollkästchen mit einer Einwilligung in Werbezusendungen
  • ein vorangehaktes Kontrollkästchen, über das sie sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden erklärten.

Der vzbv störte sich an dem vorangehakten Kontrollkästchen für Cookies, klagte und bekam jetzt vor dem EuGH Recht.

Was entschied der EuGH zur Einwilligungspflicht?

Der EuGH urteilte, dass eine Einwilligung klar, für den konkreten Fall aktiv und ohne jeden Zweifel erteilt werden muss (Art. 4 Nr. 11 DSGVO). Das passive, nicht erfolgende Weghaken eines Kontrollkästchens stellt keine wirksame Einwilligungshandlung dar.

Dem Argument, dass mit dem Klicken der Absende-Schaltfläche auch eine vorangehakte Einwilligung erteilt werde, begegnete der EuGH mit einer Absage. Auch das zweite Kästchen durfte nicht vorangehakt sein.

Denn mit dem Klick auf die Absende-Schaltfläche, erklärt ein Nutzer die Teilnahme am Gewinnspiel, nicht die Einwilligung in die Nutzung von Cookies.

Inwieweit betrifft die Entscheidung die Cookie-Nutzung?

Übertragen auf Webseiten entschied der EuGH, dass die bis dato häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” nicht ausreichend sind.

Die Weiternutzung einer Webseite stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar.

Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich.

Wann sind Cookies für eine Webseite unbedingt erforderlich und einwilligungsfrei?

Die Regelung, wann ein Cookie unbedingt erforderlich ist, lässt sich dem. Art. 5 Abs. 3 der ePrivacy-RL nicht eindeutig entnehmen.

Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies. In jedem Fall dürften folgende Cookie-Arten darunter fallen:

  • Warenkorb-Cookies eines E-Shops,
  • der Login-Status einer Community und
  • die Sprachauswahl auf einer internationalen Webseite.
  • Cookies, die eine Cookie-Einwilligung speichern.

Jedoch sind die genauen Grenzen der Erforderlichkeit nicht klar, z.B., ob der Warenkorb nur vorübergehend in einem „Session-Cookie” oder auch nach dem Schließen des Browsers gespeichert werden darf und ob Design- oder Mediensteuerungs-Cookies unbedingt erforderlich sind (z.B. letzte angeschaute Stelle in einem YouTube-Video).

Cookies für Zwecke des Marketings oder der Erstellung von Statistiken werden jedoch eindeutig als nicht unbedingt erforderlich betrachtet. In diesen Fällen muss eine informierte Einwilligung der Nutzer vor dem Einsatz eingeholt werden.

Geht es nur um Cookies?

In dem besprochenen Urteil wird zwar nur von Cookies gesprochen: “Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.

Gemeint sind jedoch alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen (z.B. sogenannte Fingerprints, die eine Quersumme der technischen Eigenschaften eines Gerätes bilden).

D.h., die Reichweite des Urteils ist sehr groß. Nur zur Vereinfachung spricht man von „Cookies”.

Sieht das deutsche Telemediengesetz keine Ausnahme vor?

Das deutsche Telemediengesetz erlaubt es im § 15 Abs. 3 TMG , “für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.”

Diese Regelung kann nach dem EuGH-Urteil jedoch nicht mehr so verstanden werden, dass Cookies ohne Einwilligung der Nutzer auf deren Gerät verarbeitet werden können.

Damit entschied der EuGH auch rückwirkend, dass die bereits 2009 eingeführte Cookie-Opt-In-Pflicht, vom deutschen Gesetzgeber nie richtig umgesetzt wurde.

Wird die ePrivacy-VO Änderungen mit sich bringen?

Der EuGH ist der ePrivacy-Verordnung (VO) zuvorgekommen.

Die ePrivacy-VO soll im Hinblick auf Cookies praktisch nur das wiederholen, was in der bisherigen ePrivacy-Richtlinie (RL) stand. Dort steht unter anderem auch, dass nicht nur die Verarbeitung personenbezogener, sondern auch anonymer Cookies einer Einwilligung bedarf.

Der EuGH sagte nun in seinem Urteil, dass nicht nur personenbezogenes, sondern auch anonymes Tracking einer Einwilligung bedarf: “Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“. Da die DSGVO nur für personenbezogene Daten gilt, ist der EuGH daher wohl der Ansicht, dass die ePrivacy-Richtlinie  im Hinblick auf Cookies neben der DSGVO weiterhin gilt.

D.h. im Hinblick auf Cookies ist es irrelevant, ob und wann die ePrivacy-VO in Kraft tritt. Denn die in ihr enthaltenen Regelungen zu Cookies, gelten bereits jetzt.

Wie kann eine Cookie-Einwilligung eingeholt werden?

Derzeit kann eine Cookie-Einwilligung praktisch nur mit sogenannten „Cookie-(Einwilligung/Opt-In) -Bannern” eingeholt werden (oder im Rahmen einer Registrierung).

Die Einwilligung muss ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen.

Wann ist eine Einwilligung informiert?

Geht man vom Urteil des EuGHs aus, dann müssen die Nutzer über die folgenden Punkte informiert werden:

  • Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, Verhaltens- und Interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie nach meiner Ansicht, zumindest in voller Länge in der Datenschutzerklärung platziert werden kann.
  • Lebensdauer von Cookies: Die Lebensdauer beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch sollten Sie dies für die von Ihnen eingesetzten Dienstleister prüfen oder sie fragen. Cookie-Opt-In-Anbieter haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
  • Identität der Dienstleister, die die Cookies verarbeiten: D.h., Sie müssen die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Sie sollten auch mitteilen, wenn die Cookies nur in Ihrer Verantwortung verarbeitet werden (z.B. bei dem Dienst Matomo).

Nicht zu vergessen sind die weiteren Informationspflichten aus Art. 13-14 DSGVO, wie z.B. zum Verantwortlichen der Webseite, Betroffenenrechten (Recht auf Auskunft, Löschung. etc.).

Daher sollten Nutzer auf die Datenschutzerklärung und das Impressum trotz Cookie-Banner zugreifen können. Im Optimalfall sind die Datenschutzerklärung und das Impressum im Cookie-Banner verlinkt.

Muss in die einzelnen Cookies oder Cookie-Anbieter eingewilligt werden?

Laut der “FAQ zu Cookies und Tracking” des baden-württembergischen Datenschutzbeauftragten, ist die Möglichkeit der Gliederung von Cookies in einzelne Kategorien erlaubt.

Wenn einzelne Cookie-Anbieter oder Tools einer Einwilligung bedürften, dann wäre deren zulässiger Umfang erheblich eingeschränkt, vor allem, wenn die Kontrollkästchen nicht vorangehakt wären, wie die Datenschutzbehörden es fordern.

Diese Forderung würde jedoch die Nutzung von Cookies radikal beschränken. Das so genannte “Programmatic Advertising” oder “Realtime Bidding” wären praktisch unmöglich (dabei können Daten der Nutzer in Echtzeit von einer Vielzahl von Werbekunden verarbeitet werden).

Die britische Datenschutzbehörde ICO hielt dieses Verfahren in einem Bericht für unzulässig. Schaut man sich die Empfehlungen der deutschen Datenschutzbehörden an, so erscheint eine Gliederung in Cookie-Gruppen als zulässig.

Auch die Datenschutzkonferenz, die für die deutschen Datenschutzbehörden spricht, scheint keine Einwilligung für jeden einzelnen Anbieter zu fordern. In ihrer “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” ist von der Einwilligung in “Verarbeitungsvorgänge” unter “Nennung der Akteure” und nicht von Einwilligung für einzelne Akteure die Rede.

Der EuGH entschied lediglich, dass die einzelnen Dienste-Anbieter einzeln aufgeführt werden müssen. Zu der Frage, ob die Nutzer eine Einwilligung in jeden einzelnen Dienst abgeben müssen, hat der EuGH keine Entscheidung getroffen.

Inwieweit darf eine Einwilligung voreingestellt sein?

Das Cookie-Einwilligung-Banner auf der Website der Lufthansa entspricht insoweit den Forderungen der Datenschutzbehörden, als die einzelnen Cookie-Gruppen nicht vorangehakt sind. Allerdings können die einzelnen Cookie-Anbieter in den Gruppen nicht einzeln ausgewählt werden. Ob das Voranhaken oder gar noch weitere Kontrollkästchen für einzelne Anbieter aber wirklich notwendig sind, ist noch nicht geklärt.

Eine für die Gestaltung von Cookie-Einwilligungen wichtige Frage, ist deren Detailgrad.

Ginge man nach den Datenschutzbehörden, dann müssten nicht nur alle einzelnen Cookieanbieter separat genannt, sondern sie müssten auch separat bestätigt werden. Dies solle sich bereits aus der Vorgabe „datenschutzfreundlicher Voreinstellungen” im Artikel 25 Abs. 2 DSGVO ergeben.

D.h. Einwilligung-Banner, in denen die Cookies bereits vorangehakt sind und Nutzer mit nur einem Click auf “Bestätigen” die Banner ausblenden können, nicht ausreichend.

Die nächste Frage wäre, ob die Zusammenfassung von Cookies in Gruppen, wie z.B. “Onlinemarketing”, “Statistik” oder “Inhalte” ausreichend wäre. Folgt man den Datenschutzbehörden, wäre das nicht der Fall. Das zumal eine klare Trennung zwischen Arten von Cookies selten möglich ist (z.B. werden bei eingebundenen Inhalten von Facebook auch Cookies zu Marketingzwecken verarbeitet).

Ich selbst halte eine Einwilligung für alle Cookies für ausreichend, allerdings sollten Sie sich an den Datenschutzbehörden orientieren, wenn Sie auf Nummer sicher gehen wollen. Alle anderen sollten eine Risikoabwägung treffen, in deren Rahmen mögliche Nachteile mit den Vorteilen abzuwägen sind.

Auf der Website des EuGH werden weder Gruppen von Cookies gebildet, noch einzelne Einwilligungen abgefragt. Das bedeutet jedoch nicht zwangsläufig, dass der EuGH eine Einzel-Einwilligung für alle Cookies zulässt. Es kann genauso bedeuten, dass die Richter und deren IT sich nicht absprechen.

Verbietet das Kopplungsverbot verpflichtende Cookie-Einwilligungen?

Es gibt Webseiten, die den Zugang zu ihren Angeboten von einer Cookie-Einwilligung abhängig machen.

Bei der Frage, ob ein derartiges Pflicht-Opt-In zulässig ist, sind sich Juristen jedoch ebenfalls uneins. Die überzeugenderen juristischen Ansichten sehen kein strenges Kopplungsverbot und prüfen stattdessen im Einzelfall, ob die Einwilligung aus keiner (auch inneren) Zwangssituation abgegeben wurde. Am Ende dürfte eine solche Kopplung daher zulässig sein, wenn auch mit unterschiedlichen Risikograden.

Der EuGH traf hierzu keine Entscheidung, da diese Frage für den entschiedenen Fall nicht relevant war (auch wenn in den Schlussanträgen, also den Empfehlungen des Generalanwalts zum Urteil, ein Kopplungsverbot zumindest im Hinblick auf Direktmarketing besprochen und für erlaubt gehalten wurde, Schlussanträge, Rn. 94-99).

Allerdings wäre eine Pflicht-Einwilligung in jedem Fall unzulässig, wenn sich die Einwilligenden in einer Zwangslage befänden.

In welchen Fällen verbietet eine Zwangslage zwingende Cookie-Einwilligungen?

Schon eine innere Zwangslage könnte nach strengen Ansichten gegen die Freiwilligkeit einer Cookie-Einwilligung sprechen. Je nach Strenge der Datenschutzmeinung, können z.B. folgende Fälle mehr oder weniger alltäglicher Notwendigkeiten oder Bedürfnisse Zugangsschranken durch Cookies verbieten:

  • Webseiten von Ärzten, Apothekern, Krankenhäusern, Medikamenteanbietern;
  • Webseiten von Städten, Gemeinden, andere öffentlich-rechtliche Einrichtungen, Anstalten und Ämtern;
  • Webseiten von Versorgungsunternehmen, Anbietern der Personenbeförderung;
  • Webseiten von Banken oder Rechtsanwälten;
  • Webseiten, bei denen Kunden sich einloggen müssen oder bereits Kundenaccounts  haben;
  • Journalistische Angebote;
  • Wenn Minderjährigen der Zugang möglich ist, da sie erst ab 16 einwilligen können, d.h., praktisch auf allen Webseiten (strenge Ansicht) bzw. nur auf Webseiten, die sich an Minderjährige richten (weniger strenge Ansicht).

Wie streng das Recht tatsächlich ist, das muss der EuGH noch klären. Bis dahin lässt sich, z.B. mit Hinweis auf Minderjährige, sogar generell eine Cookie-Zwangseinwilligung vertreten. Die deutschen Datenschutzbehörden gehen zumindest von einem Kopplungsverbot bei nicht unbedingt erforderlichen Cookies aus.

Kann statt einer Cookie-Einwilligung eine Zugangsgebühr verlangt werden?

Die österreichische Datenschutzbehörde hielt eine derartige Wahl zwischen Cookies oder einem Abonnement für zulässig.

Der EuGH hat zu einer Wahl zwischen Cookies und Geldzahlung, keine Entscheidung getroffen.

Bekannt ist ein Fall in Österreich, wo die Datenschutzbehörde der Online-Newsseite derstandard.at erlaubte, die Zahlung eines Abonnements (6,99 Euro) als Alternative zu einem Cookie-Opt-In anzubieten.

Eine Zugangsgebühr ist nach meiner Ansicht nach zulässig, aber nur unter den folgenden Voraussetzungen:

  • Vernünftige Höhe – Die Höhe sollte ca. dem entsprechen, was wirtschaftlich vernünftig und nicht missbräuchlich ist. D.h., Sie dürfen m.E. beschließen, dass Ihr Dienst 10,99 Euro wert ist, auch vielleicht 100,99 Euro. Dies muss zumindest m.E., der Wettbewerb regeln.
  • Kein Missbrauch – Ein Missbrauch könnte jedoch dann bestehen, wenn Nutzer Zugang zu alternativen, gleichermaßen geeigneten und nicht überpreisten Diensten hätten. Das trifft jedoch eher auf große Dienste wie Google oder Facebook zu.
  • Anspruch/ berechtigte Erwartung auf unentgeltlichen Zugang –  Bei Webseiten für Kunden, Bürger, Patienten, Versicherte etc. würde ich ein zusätzliches Cookie-Entgelt für unzulässig halten (wobei sich dann die Frage stellt, ob eine Umlage auf Gebühren und Kosten einen Unterschied darstellt).

Das Fazit lautet also, dass es zumindest derzeit so aussieht, als ob das Modell „Datenschutz gegen Geld” zulässig ist, auch, wenn das nicht nach dem klingt, was man von der DSGVO zuerst erwartet hätte.

“Nudging” – Ab wann wird aus einer „Cookie-Belästigung” eine Zwangseinwilligung?

Vorstehend haben Sie erfahren, dass eine Zwangs-Opt-In bei vielen Webseiten (je nach Ansicht bei allen) verboten ist. Ab wann ein Cookie-Banner zu einer Zwangseinwilligung wird, ist auch nicht geklärt:

  • Zwang bei Zugangsschranke: Ein Zwang liegt vor, wenn man in Cookies & Tracking einwilligen muss, um die Webseite überhaupt betreten zu können.
  • Kein Zwang bei „Schließen”-Button: Kein Zwang liegt vor, wenn man das Banner wegklicken kann.
  • Eher kein Zwang bei „bloß” nervigen Bannern: Wenn das Cookie-Banner zwar „nervt”, aber die Sicherheit der Nutzung oder die Informationsaufnahme nicht gefährdet (d.h., insbesondere nicht auf der Mitte des Bildschirms oder links über dem Text prangt), dürfte keine Zwangslage vorliegen.

In jeden Fall sollten die Websitebesucher die Datenschutzerklärung und das Impressum immer erreichen und lesen können. Ich empfehle das Cookie-Banner auf diesen Informationsseiten abzuschalten.

Wo muss ein Opt-Out (Widerspruch) platziert werden?

Nutzer müssen dem Cookie-Einsatz widersprechen können. Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Ich empfehle die Platzierung in der Datenschutzerklärung und im Fußbereich Ihrer Webseite.

Ferner sollten Nutzer schon im Cookie-Einwilligung-Banner über die Freiwilligkeit und die Widerspruchsmöglichkeit belehrt werden.

Bei uns auf der Webseite werden Nutzer darauf hingewiesen, dass sie eine Opt-Out-Möglichkeit im Fußbereich der Webseite finden (die Schaltfläche findet sich so auch in den Hinweisen zu Cookies in der Datenschutzerklärung).

Zusammenfassung und Praxisempfehlung

Die Rechtslage beim Einsatz von Cookies lässt sich nach dem Urteil des EuGH wie folgt zusammenfassen:

  • Der EuGH entschied klar, dass Sie Cookies nur mit ausdrücklicher Einwilligung der Nutzer einsetzen dürfen.
  • Ferner müssen Sie die Nutzer über die eingesetzten Anbieter, Arten und Funktionsweisen sowie die Speicherdauer der Cookies informieren. Die Datenschutzerklärung und das Impressum, sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein.
  • Unklar ist, ob es ausreichend ist, Einwilligungen für Cookie-Gruppen (z.B. “Onlinemarketing”, “Statistik”), statt für einzelne Anbieter/Tools (“Facebook-Pixel”, “Google Analytics”) einzuholen. Nach der hier vertretenen Ansicht ist eine Cookie-Gruppen-Einwilligung zulässig.
  • Unklar bleibt ebenfalls die Frage, ob Einwilligungen für die Cookie-Gruppen (oder gar einzelne Onlinemarketing-Anbieter) schon vorangehakt sein dürfen. Zumindest Datenschutzbehörden halten das für unzulässig. Wenn Sie jedes Risiko vermeiden möchten, dann sollten Sie Nutzer um einzelne Einwilligungen bitten. Alle anderen sollten individuell die möglichen Nachteile (Abmahnungen oder Bußgelder) mit den Vorteilen eines Verzichts auf einzelne Einwilligungen abwägen.
  • Sie sollten die Nutzer im Cookie-Einwilligungsbanner auf die Freiwilligkeit hinweisen, ebenso auf deren Widerrufsrecht/Opt-Out (d.h. wie die Nutzer ihre Cookie-Einwilligung wieder ändern können).
  • Ob Cookies als Zugangsschranken eingesetzt werden dürfen, gehört ebenfalls zu den ungeklärten Punkten. In vielen Fällen wird dies nicht erlaubt sein, vor allem wenn Nutzer auf den Zugang zur Website angewiesen sind. Als zulässig erscheint es dagegen, eine cookiefreie Nutzung von der Zahlung einer Gebühr abhängig zu machen.

Zusammengefasst, könnte das EuGH-Urteil nicht nur das Onlinemarketing, sondern das “kostenlose” Internet, wie wir es heute kennen, grundlegend verändern.

Ob zum Besseren oder Schlechteren, hängt vom Standpunkt der Betrachter ab. Die Standpunkte von Datenschützern und Unternehmen dürften sich derzeit diametral im Gegensatz befinden.

Dabei ist das nur eine Baustelle im Onlinemarketing. Schaut man auf das letzte EuGH-Urteil, dann haften Sie z.B. für fehlende Cookie-Einwilligungen auf Ihren Social-Media-Profilen mit: „EuGH-Urteil zum Like-Button: Abmahnbare Opt-In-Pflicht bei Cookies und Social Media wird illegal.”

Update zur aktuellen Rechtslage 14.01.2020

Die Richtlinie, auf deren Grundlage der EuGH eine Opt-In-Pflicht für Cookies fordert, wurde in Deutschland (je nach Auslegung wahlweise) gar nicht oder wie folgt im § 15 Telemediengesetz (TMG) umgesetzt:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Damit gibt das deutsche Gesetz keine Einwilligungspflicht für Cookies vor (zumindest laut Gesetzeswortlaut bei pseudonymen Cookies). Wie mit diesem Widerspruch zu den Vorgaben umzugehen ist, wurde bisher nicht entschieden:

  • Einwilligungspflicht laut Datenschutzbehörden: Datenschutzbehörden halten § 15 Abs. 3 TMG für nicht anwendbar (bzw. die Cookievorgaben der EU darin ohnehin nicht umgesetzt, respektive halten Sie Cookies nicht für pseudonym) und sind der Ansicht, dass daher für Cookies unmittelbar die DSGVO gelte; da nach dieser eine Opt-Out-Lösung nach nur dann möglich ist, wenn Nutzer vernünftigerweise mit dem Profiling mittels Cookies im konkreten Umfang rechnen müssen und dies bei Onlinemarketing-Tools verneint wird, ist eine Einwilligung lt. den Behörden Pflicht (anders wohl dagegen bei reiner Webanalyse, z.B. mit Matomo, s. Malte Engeler).
  • keine Einwilligungspflicht laut Werbewirtschaft: Die Werbewirtschaft meint, dass entweder § 15 Abs. 3 TMG weiterhin gelte (immerhin hat der Gesetzgeber die Vorschrift nicht aufgehoben) oder, falls die DSGVO unmittelbar gelte, Nutzer mit Profiling zu Werbezwecken heutzutage vernünftigerweise rechnen müssten.

Wer am Ende Recht behält, muss der BGH auf Grundlage des EuGH-Urteils entscheiden. Der Verhandlungstermin ist auf den 30.01.2020 gesetzt. Ich gehe jedoch davon aus, dass ein Opt-In für Cookies auch in Deutschland über kurz oder lang kommen wird (sei es, indem der BGH eine Einwilligungspflicht in das Gesetz hineinliest oder indem er das Gesetz für ungültig erklärt wird und damit der Gesetzgeber zur Anpassung aufgefordert wird).

tl;dr: Lt. EuGH dürfen Cookies nicht ohne eine vorhergehende und informierte Einwilligung eingesetzt werden. In Deutschland ist die Rechtslage noch unklar, jedoch sollte von einer Opt-In-Pflicht ausgegangen werden. Wie detailliert Cookie-Opt-In-Banner aussehen müssen und ob sie vorangehakt sein dürfen, bleibt dagegen unklar. Klarer wird dagegen, dass Datenschutz zu einem kostenpflichtigen Privileg werden könnte.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: mit aktuellen 500 Modulen, u.a. mit Angaben zu Cookies und Onlinemarketing  testen ohne Anmeldung kein Abo nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privat.
Datenschutzgenerator


 

Opt-In-Empfehlung für WordPress (für Cookies und eingebundene Inhalte)

BORLAND Cookie Opt-In(Affiliate-Link, d.h. wir erhalten beim Kauf eine Provision.)