Cookies können hervorragend schmecken, aber auch enorme Bauchschmerzen hervorrufen. Reduziert man den Begriff abseits vom Kulinarischen auf den, der Betreibern und Nutzern von Websites bekannt ist, ist die Suche nach dem besten Rezept eine sehr schwierige. Die wirksame Einbindung von Cookies, die über rein funktionale Wirkungen (z.B. Spracheinstellungen) hinausgehen, stellt sich mitunter als kompliziert heraus. Durch die Rechtsprechung wird Schritt für Schritt mehr Klarheit geschaffen, zuletzt etwa durch das Landgericht München (29. November 2022, 33 O 14776/19). Unternehmen und andere Betreiber von Websites sind gut beraten, aktuelle Urteile umzusetzen, um Abmahnungen vorzubeugen.
Was sind Cookies?
Cookies sind kleine Datensätze, die auf dem Endgerät gespeichert werden, wenn eine Website besucht wird, die Nutzer der Website werden „markiert“. Über die Nutzer können viele Informationen wie IP-Adresse, E-Mailadresse und Passwörter, aber auch Warenkörbe oder auch generelles Nutzungsverhalten (welche Websites werden wie häufig und in welcher Reihenfolge genutzt) gespeichert werden. Durch das Sammeln und Auswerten der Nutzerdaten ist es möglich, ein detailliertes Nutzer-Profil anzulegen. Dieses Profil kann dazu genutzt werden, individuell auf die herausgefundenen Interessen des Nutzers einzugehen und die Website anzupassen. Beispielsweise können bei als vermögend eingeschätzten Nutzern bestimmte, teurere Produkte vorherrschend beworben / angezeigt werden und andere Themen eher in den Hintergrund gerückt werden. Andererseits haben die gesammelten Informationen für „Dritte“ einen hohen kommerziellen Wert und können teuer verkauft werden.
Anforderungen an eine wirksame Einbindung.
Die Anforderungen an eine wirksame Einbindung von Cookies hängt auch davon ab, welchem Zweck ein Cookie dient:
Funktionale Notwendige Cookies, also solche, die für das Bereitstellen der Internetseite und ihrer Funktionen technisch zwingend sind, dürfen ohne Zustimmung eingesetzt werden.
Cookies zu Marketing-, Werbe- oder Personalisierungszwecken und auch solche, die der Optimierung der Website als solcher dienen, dürfen nicht eingebunden werden, es sei denn, der Nutzer hat in die Nutzung von Cookies eingewilligt.
Diese nichtnotwendigen Cookies müssen aktiv ausgewählt werden („Opt-in“) und dürfen nicht vorab ausgewählt sein.
Die Nutzer müssen informiert dem Einsatz von Cookies zustimmen, also die Möglichkeit haben, sich vor Einwilligung über beispielsweise die Identität des Verantwortlichen, der Zweckbestimmung oder auch der Speicherdauer zu informieren. Zudem kann es auch erforderlich sein, die konkreten Empfänger oder die Kategorien der Empfänger zu benennen (siehe zu dieser Thematik auch folgenden Beitrag auf dem SCHULTEblog).
Nutzer müssen auch durch einfaches Auswählen alle nicht notwendigen Cookies ablehnen können.
Landgericht München konkretisiert die Anforderungen an den Einsatz nichtnotwendiger Cookies.
Mit noch nicht rechtskräftigem Urteil vom 29. November 2022 entschied das Landgericht München, dass die weit verbreitete Gestaltungsoption, einen „alles ablehnen“-Button erst auf einer Folgeseite unter „Einstellungen“ oder „Konfiguration“ zu platzieren, rechtswidrig ist. Dies gilt insbesondere, wenn der Button nicht ebenso optisch hervorgehoben wird, wie die Buttons, mit denen zugestimmt werden soll.
Compliance-Praxis.
Unternehmen und andere Betreiber von Websites sollten agieren und prüfen, ob sie die aktuellen Vorgaben des LG Münchens einhalten. Jedenfalls sollte sichergestellt sein, dass neben einem Button für „alles annehmen“ der Button für „alle [Cookies] ablehnen“ als deutliche Wahlmöglichkeit angeboten wird und nicht im zweiten Klick oder gestalterisch untergehen.
Sie sollten aber auch grundsätzlich hinterfragen, welche Strategie sie beim Einsatz von Cookies verfolgen. Der Einsatz von Cookies wird von Gerichten, aber vor allem auch von Nutzern zunehmend kritisch gesehen. Der Einsatz von Cookies, die über das zum Betreiben der Website Notwendige hinausgehen, sollte auf geringstmögliche Maß beschränkt werden. Nur dort, wo Cookies einen echten Mehrwert für den Website-Betreiber haben, sollten Cookies eingesetzt werden. Je nach Aufbau der Website wäre auch denkbar, die Cookies „in place“ abzufragen, also beispielsweise dort, wo ein Videoelement eingebettet ist.
Beinhaltet die Cookie-Strategie, dass weiterhin umfangreich Cookies eingesetzt werden sollen, könnten auch andere Optionen der wirksamen Einbindung von Cookies neben dem allgegenwärtigen Cookie-Banner geprüft werden. Der Gesetzgeber hat hier besonders an „PIMS“ ("Personal Information Management System" oder Einwilligungsverwaltungssysteme nach TTDSG) gedacht, wobei praktische Nutzen in der derzeitigen Form zweifelhaft erscheint.
Thorsten Walter berät nationale und internationale Unternehmen umfassend im Bereich des individuellen und kollektiven Arbeitsrechts, des Datenschutzrechts und angrenzender Rechtsgebiete.
Markus Söding ist im Arbeitsrechtsressort unserer Sozietät tätig. Er berät national sowie international tätige Unternehmen in allen Fragestellung des individuellen und kollektiven Arbeitsrechts, inklusive angrenzender Rechtsgebiete, wie denen des Sozialrechts.