Aktuelles zur Zulässigkeit von Cookies aus der Rechtsprechung: Ein Leitfaden für Webseitenbetreiber


Für Webseitenbetreiber ist es entscheidend, sich mit den rechtlichen Anforderungen rund um den Einsatz von Cookies vertraut zu machen. Cookies, kleine Datensätze, die beim Surfen im Internet gespeichert werden, sind ein zentraler Bestandteil der Nutzererfahrung und Datenanalyse im Online-Bereich.

Ihre Verwendung unterliegt jedoch strengen datenschutzrechtlichen Regelungen. Insbesondere die Rechtsprechung hat in den letzten Jahren wichtige Leitlinien zur Zulässigkeit von Cookies und der Gestaltung von -Bannern formuliert. Dieser Beitrag gibt einen Überblick über aktuelle gerichtliche Entscheidungen und leitet daraus Handlungsempfehlungen für Webseitenbetreiber ab

Aktuelle Entscheidungen zu Cookies

  1. EuGH (C‑604/22): Cookies und Werbung
    Der Europäische Gerichtshof hat klargestellt, dass eine explizite Zustimmung der Nutzer erforderlich ist, wenn Cookies zu Werbezwecken eingesetzt werden. Eine vorangekreuzte Checkbox reicht nicht aus; Nutzer müssen aktiv ihr Einverständnis geben. Zudem müssen sie über Art, Zweck und Dauer der Cookie-Nutzung aufgeklärt werden.
  2. LG München I (33 O 14776/19): Domainübergreifende Aufzeichnung
    Das Landgericht München I entschied, dass die domainübergreifende Aufzeichnung des Nutzerverhaltens ohne explizite Einwilligung der Nutzer unzulässig ist. Dies betrifft insbesondere Tracking-Cookies, die Nutzeraktivitäten über verschiedene Webseiten hinweg verfolgen.
  3. LG Berlin (97 O 29/22): Unzulässige Verwendung von Cookies
    Das Landgericht Berlin betonte, dass Cookies nicht ohne die aktive Zustimmung der Nutzer eingesetzt werden dürfen. Passive Zustimmungsmechanismen wie das bloße Weitersurfen auf der Seite gelten nicht als gültige Einwilligung.
  4. LG Köln (33 O 376/22): Übermittlung personenbezogener Daten
    In dieser Entscheidung wurde hervorgehoben, dass die Übermittlung personenbezogener Daten durch Cookies der expliziten Einwilligung der Nutzer bedarf. Datenschutzrechtliche Aspekte müssen hierbei besonders berücksichtigt werden.
  5. LG Berlin (93 O 167/20): Plattformübergreifende Drittanbieter-Cookies
    Das Landgericht Berlin wies darauf hin, dass für Drittanbieter-Cookies, die Nutzeraktivitäten plattformübergreifend verfolgen, eine spezifische und informierte Zustimmung erforderlich ist.
  6. (6 U 58/23)
    Dieses Urteil bestätigt und erweitert die bestehenden Anforderungen. Besonders hervorgehoben wird die Notwendigkeit, dass Cookie-Banner eine klare Option zur Ablehnung von Cookies bieten müssen.

Im Fokus: TC-Strings

Der Europäische Gerichtshof (EuGH) und das Landgericht München I haben sich in ihren Entscheidungen mit der Frage beschäftigt, ob TC-Strings als im Sinne der -Grundverordnung () zu qualifizieren sind.

  1. EuGH zu TC-Strings:
    Der EuGH hat festgestellt, dass TC-Strings personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO darstellen. Ein TC-String ist eine Zeichenfolge, die Präferenzen eines Internetnutzers bezüglich seiner Einwilligung in die Verarbeitung von ihn betreffenden personenbezogenen Daten durch Dritte oder in Bezug auf seinen etwaigen Widerspruch gegen eine auf ein behauptetes berechtigtes Interesse gestützte Verarbeitung dieser Daten enthält. Selbst wenn ein TC-String selbst keine Elemente enthielte, die eine direkte Identifizierung der betroffenen Person ermöglichen, würde dies nichts daran ändern, dass er zum einen die individuellen Präferenzen eines bestimmten Nutzers bezüglich seiner Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten enthält. Der EuGH betont, dass die in einem TC-String enthaltenen Informationen, wenn sie einer Kennung wie insbesondere der des Geräts eines solchen Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellen und genau die Person identifizieren können, auf die sich diese Informationen beziehen .
  2. LG München I zu TC-Strings:
    Das Landgericht München I beurteilte den TC-String ebenfalls als eine personenbezogene Information, deren Speicherung auf dem Rechner des Nutzers als Cookie ohne wirksame Einwilligung unzulässig ist, da sie auch an Dritte weitergeleitet wird. Der Einsatz der Cookies, insbesondere des TC-Strings, dient nach Ansicht des Gerichts der Erstellung von Nutzerprofilen zum Zwecke der domainübergreifenden Nachverfolgung des jeweiligen Nutzers zu Werbezwecken. Das LG München I stellt fest, dass der TC-String nach Interaktion des Nutzers mit der Consent Management Platform (CMP) in Form einer Textdatei (als Cookie) auf dem Endgerät des Nutzers gespeichert wird und als Kommunikationsmittel innerhalb des „IAB TCF Frameworks“ dient .

Diese Entscheidungen zeigen, dass sowohl der EuGH als auch schon vorher das LG München I TC-Strings als personenbezogene Daten ansehen, die einer wirksamen Einwilligung der Nutzer bedürfen, um rechtskonform verwendet werden zu können. Es wird sich zeigen, inwieweit dies die Werbelandschaft verändern wird.


Kontrolle von Cookie-Nutzung: OLG Köln setzt Maßstäbe

Das Oberlandesgericht Köln (6 U 58/23) hat mit oben schon erwähnter Entscheidung eine bemerkenswerte Entscheidung unter dem Aktenzeichen getroffen, welche die Verwendung von Cookies auf Webseiten betrifft. Die Entscheidung sollte im Detail betrachtet werden, weil sich hier die aktuellsten Einblicke geben.

Sachverhalt

Der Kläger, ein Verbraucherschutzverein, klagte gegen ein Telekommunikationsunternehmen, die Beklagte, wegen der Gestaltung ihrer Datenschutzhinweise und des sog. „Cookie-Banners“ auf ihrer Webseite. Insbesondere ging es um die Übermittlung von personenbezogenen Daten an Wirtschaftsauskunfteien und in Drittländer sowie um die Einholung einer Einwilligung in Bezug auf Cookies.

Rechtliche Analyse

  1. Übermittlung von Positivdaten: Das Gericht befand, dass die Übermittlung von Positivdaten (z.B. Informationen über die Durchführung von Verträgen) an Auskunfteien nicht grundsätzlich unzulässig sei. Ein allgemeines Verbot sei daher nicht angemessen, da es durchaus Konstellationen geben könnte, in denen eine solche Übermittlung rechtens wäre.
  2. Datenschutzhinweise: Die Datenschutzhinweise des Unternehmens, insbesondere bezüglich der Übermittlung von Daten an Drittländer und des Einsatzes von Analyse- und Marketing-Cookies, wurden als AGBs eingestuft. Diese Hinweise seien irreführend und nicht ausreichend klar.
  3. Gestaltung des Cookie-Banners: Der Kläger verlangte eine bestimmte Gestaltung des Cookie-Banners, welche das Gericht als zu weitgehend ansah. Es blieb dem Unternehmen überlassen, wie es die Ablehnungsoption für Cookies gestaltet, solange die gesetzlichen Anforderungen erfüllt werden.

Schlussfolgerungen für Betroffene

Die Entscheidung verdeutlicht, dass Unternehmen bei der Datenübermittlung und insbesondere beim Einsatz von Cookies sorgfältig vorgehen müssen. Besonders die Transparenz und Klarheit von Datenschutzhinweisen ist von hoher Relevanz. Verbraucher sollten darauf achten, dass ihre Daten nicht ohne ausreichende Grundlage oder Einwilligung genutzt oder weitergegeben werden.

Alltagsempfehlungen

  1. Für Unternehmen: Stellen Sie sicher, dass Ihre Datenschutzhinweise und Cookie-Banner den rechtlichen Anforderungen entsprechen. Es ist ratsam, diese regelmäßig zu überprüfen und anzupassen.
  2. Für Verbraucher: Achten Sie auf die Datenschutzpraktiken der Websites, die Sie besuchen, und machen Sie von Ihrem Recht Gebrauch, Einwilligungen zu verweigern oder zu widerrufen.

Die Entscheidung des OLG Köln zeigt, dass Datenschutz und Transparenz im digitalen Raum weiterhin wichtige Themen bleiben, die sowohl Unternehmen als auch Verbraucher betreffen.


Fazit und Handlungsempfehlungen

Diese Gerichtsentscheidungen unterstreichen die Bedeutung einer klaren und transparenten Kommunikation über den Einsatz von Cookies und einer eindeutigen, aktiven Zustimmung der Nutzer. Webseitenbetreiber sollten daher:

  • Cookie-Banner so gestalten, dass sie eine einfache und deutliche Zustimmung oder Ablehnung von Cookies ermöglichen.
  • Nutzer umfassend über Art, Zweck und Dauer der Cookie-Nutzung informieren.
  • Auf vorangekreuzte Checkboxen verzichten und stattdessen eine aktive Zustimmung einholen.
  • Besonderes Augenmerk auf den Schutz personenbezogener Daten legen.
  • Bei Drittanbieter-Cookies zusätzliche Sorgfalt an den Tag legen und eine separate Einwilligung einholen.

Die Einhaltung dieser Richtlinien hilft nicht nur, rechtlichen Anforderungen gerecht zu werden, sondern stärkt auch das Vertrauen der Nutzer in die Webseite.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.