OLG Frankfurt zur wirksamen Einwilligung in die Nutzung von Cookies

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Wettbewerbsrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Das Oberlandesgericht Frankfurt am Main (6 U 30/15) hat sich zur Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Cookie-Nutzung geäußert. Die Entscheidung ist bereits insoweit von Interesse, als dass sie sich mit den Voraussetzungen der Wirksamkeit der Nutzung von Cookies auseinandersetzt, hier insbesondere Tracking-Cookies. Dabei schafft das OLG Frankfurt einen beachtlichen Freiraum, wenn es im Leitsatz ausführt:

Die erforderliche Einwilligung in die Cookie-Nutzung kann auch durch eine vorformulierte Erklärung, der der Nutzer durch Entfernen eines voreingestellten Häkchens widersprechen kann („opt-out“), erteilt werden. Der Wirksamkeit der Einwilligung steht es nicht entgegen, wenn sämtliche erforderliche Informationen über Cookies nicht bereits in der Erklärung selbst, sondern in einem verlinkten Text gegeben werden. Zu den insoweit zu fordernden Informationen gehört nicht die Identität der Dritten, die auf Grund der Einwilligung auf Cookies zugreifen können.

Im Kern kommt das OLG dabei zu folgenden Ergebnissen:

  • Die Setzung eines Cookies ist auch als „Opt-Out“-Regelung möglich, dies ergebe sich bereits aus §15 Abs.3 TMG
  • Eine ausführliche Erläuterung des „Ankreuz-Kästchens“ ist nicht notwendig, da jeder verständige Internet-Nutzer heute weiss, dass dies ein Optionsfeld ist, dass frei zu bedienen ist. Eine gesonderte Erklärung wäre unnötiger Formalismus.
  • Auch wenn eine Einwilligung deutlich hervorgehoben sein muss können zugehörige erläuternde Informationen separat erfolgen und verlinkt werden.
  • Es ist nicht notwendig, über die Erläuterung der Funktion eines Cookies und der damit verbundenen Folgen hinaus die Identität der Dritten offenzulegen, die mit diesem Cookie arbeiten (diese waren hier nur als „Werbepartner“ bezeichnet).
  • Wichtiger Punkt: Das OLG bemerkt ausdrücklich, dass es nicht notwendig ist, technisch in voller Tiefe alle Hintergründe zu beschreiben! Vielmehr sieht das OLG die Gefahr, dass Nutzer das nicht verstehen und damit gerade in die irre geführt werden könnten, sprich: Der verständliche (richtige) kurze Text darf und soll sogar dem technisch perfekten unverständlichen vorgezogen werden.

Die Entscheidung ist richtig und wichtig, sie stellt einige Aspekte klar, die bei der Gestaltung von Werbemaßnahmen zu beachten sind. Jedenfalls ist es mit dieser OLG Entscheidung sehr gut möglich, ein rechtssicheres und auch nutzerfreundliches Werbesystem mit Cookies einzurichten.

OLG Frankfurt zur wirksamen Einwilligung in die Nutzung von Cookies weiterlesen

Kurz-URL:

Cookie-Richtlinie in Kraft getreten?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Immer wieder wird bzw. wurde davon berichtet, dass die „Cookie-Richtlinie“, die am 26.05.2012 „in Kraft getreten ist“ und diverse Pflichten für Webseitenbetreiber bereit hält. Dazu muss kurz klar gestellt werden:

  1. Es geht hier um eine EU-Richtlinie (2009/136/EG), die keine unmittelbare Rechtswirkung entfaltet. EU-Richtlinien sind verständlich ausgedrückt Vorgaben der EU, die die nationalen Gesetzgeber durch eigene Gesetze erst umsetzen müssen. Dabei gab es bis zum 25.05.2012 eine Umsetzungfrist, also die Gesetzgeber hatten Zeit bis zum 25.05.2012, 23:59h, um die die Vorgaben der Richtlinie in ein eigenes Gesetz zu fassen. Somit ist die Richtlinie keineswegs in Kraft getreten am 26.05.2012, sondern vielmehr ist die Umsetzungsfrist seitdem verstrichen.
  2. Dass EU-Richtlinien keine unmittelbare Wirkung entfalten, ist allgemeine Rechtsauffassung. Sofern sich der Bundesdatenschutzbeauftragte anders geäußert hat, kann man dies im höflichsten Fall als „vollkommen abwegig“ bezeichnen. Ich sehe für eine derartige Auffassung derzeit keinerlei Tendenz. Zwar können sich aus nicht umgesetzten EU-Richtlinien durchaus Ansprüche des Bürgers gegen den Staat ergeben, nicht aber innerhalb der Privatrechtssubjekte untereinander.
  3. Wann eine Umsetzung in Deutschland erfolgt, ist derzeit nicht absehbar. Es liegt tatsächlich ein Gesetzentwurf bereits vor, den ich hier vorgestellt und kommentiert habe.
  4. Leider muss man offensichtlich weiterhin darauf hinweisen, dass die Bezeichnung „Cookie-Richtlinie“ irreführend ist. Ich habe mehrfach klargestellt, dass es hier mit dem Text der Richtlinie abstrakt „um die Speicherung von Daten im Endgerät des Nutzers geht“. Ich sehe, dass hier zumindest jede Smartphone-App, die Daten in Smartphones speichert, von dieser Richtlinie betroffen sein wird.

Dazu bei uns:

Kurz-URL:

Cookie-Richtlinie: Gesetzentwurf im Bundestag gescheitert

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Zur der viel gescholtenen „Cookie-Richtlinie“ (dazu hier bei uns) wurde in einem Gesetzentwurf der SPD (BT-Drs 17/8454, hier als PDF) ein Ansatz zur Umsetzung in Deutschland aufgegriffen. Letztlich wurde der Gesetzentwurf nicht beschlossen.

Im Folgenden die Besprechung dieses Entwurfs, vielleicht auch auf Ausblick auf weitere Gesetzentwürfe. Insoweit war der Entwurf der SPD eine gute Vorlage für eine Besprechung: Er sich nach meinem Eindruck alle Mühe, möglichst alles falsch zu machen, was es falsch zu machen galt:

  1. Es wird wirklich nur die Richtlinie umgesetzt, keiner der überfälligen Handgriffe am Telemediengesetz wird zusätzlich getan. Das vermurkste Gesetz wird also lieber weiter „rumgemurkst“, anstelle endlich ein alltagstaugliches Regelwerk aufzustellen. Das heisst auch weiterhin: Unsicherheiten bei Shop-Betreibern und Webseitenbetreibern, wenn sie etwa IP-Adressen der Nutzer speichern wollen. Das kürzlich in der NJW ein Aufsatz mit dem Inhalt „Datenschutzrechtliche Probleme bei Shop-Bestätigungsmails“ erschienen ist, soll hier nur als Verdeutlichung des Problems dienen.
  2. Ein schlechter Scherz ist, dass man so tun will, als würde man hier dem Verbraucher einen Gefallen tun: Cookies sind heute weder zwingend ein datenschutzrechtliches Problem, noch ist dem User gedient, wenn er auf jeder Webseite unverständliche Popups wegklicken muss, nur weil der Shopbetreiber seinen Cookie mit der Session-ID (die zur Führung des Warenkorbs notwendig ist) absichern muss. Oder wenn man sich in jedem Shop erst einmal registrieren muss, um einen Warenkorb befüllen zu können. Über so etwas denkt man nur nach, wenn man die praktischen Probleme kennt.
  3. Zu guter Letzt ist leider festzuhalten, dass die Macher dieses Entwurfs offensichtlich selber nicht einmal wissen, was sie da tun: In der Begründung zum Entwurf liest man durchweg nur etwas von „Cookies“. Wie ich schon früher klar gestellt habe: Je nachdem, wie man es formuliert (und die Richtlinie ist da eine schlechte Vorlage) geht es gerade nicht nur um Cookies. Der Gesetzentwurf nimmt Bezug auf „die Speicherung von Daten im Endgerät des Nutzers“. Das sind sicherlich Cookies. Aber auch jegliche andere Daten, die etwa innerhalb von Apps in Smartphones oder Tablets gespeichert werden. Jede Anwendung, die Daten in einem Endgerät des Nutzers speichert, wird sich darum bemühen müssen, dies mit einer sauberen Einwilligung vor der Speicherung abzusichern. Und immer daran denken: Die Einwilligung muss protokolliert werden. Andernfalls, man kennt es schon, werden Abmahnungen drohen. Immerhin hätte der Gesetzgeber es dann endlich geschafft: Abmahnwellen im Bereich der App-Shops fehlen bisher.

Der Entwurf kam zum Glück nicht als Gesetz – gleichwohl mögen die Kritikpunkte dieses Entwurfs als Ansatz dienen.

Dazu bei uns:

Kurz-URL:

Aktuelle Gesetzgebung: Geldwäschegesetz und Cookie-Richtlinie

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Weiterhin wird eifrig an neuen Gestzen bzw. Reformen gearbeitet, die auch Einfluss auf das IT-Recht und den Alltag vieler Anbieter und Dienstleister haben werden. Aktuell sollte man zwei Vorhaben im Auge haben: Die Überarbeitung des Geldwäschegesetzes sowie die versteckte Aufnahme der Umsetzung der Cookie-Richtlinie.

Aktuelle Gesetzgebung: Geldwäschegesetz und Cookie-Richtlinie weiterlesen

Kurz-URL:

Datenschutz: Kritische Bewertung der ULD-Hinweise zu Piwik

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Das „Unabhängige Zentrum für Datenschutz in Schleswig-Holstein“ hat „Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik““ veröffentlicht, zu finden hier. Ich sehe in erster Linie das bestätigt, was ich hier bereits zu Piwik geschrieben habe: Piwik ist eine datenschutzkonforme Alternative zu Google Analytics, jedenfalls dann, wenn man das „Anonymize“-Plugin aktiviert (das mitgeliefert wird). Allerdings kann die Dokumentation des ULD aus dem Jahre 2011 auch in einigen Aspekten kritisch gesehen werden.

Datenschutz: Kritische Bewertung der ULD-Hinweise zu Piwik weiterlesen

Kurz-URL:

Cookierichtlinie: Wird es für Webmaster, Cookies & Apps schwer(er)?

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Weiterhin ist sie in der Schwebe: Die Cookie-Richtlinie. Diese hätte bis zum 25. Mai 2011 durch Gesetz umgesetzt werden müssen (zur Frage der Umsetzung und unmittelbaren Wirkung der Richtlinie siehe hier bei uns) – doch passiert ist bisher nichts, ein bisheriger Gesetzentwurf wurde nicht beschlossen. Anders in Europa insgesamt, die meisten Länder haben bereits reagiert, wie hier zu sehen ist.

Hinweis: Dieser Artikel wird laufend aktualisiert und dient als Übersicht über das Thema auf unserer Seite.

Die umzusetzende Richtlinie 2009/136/EG, die in Art.5 III der Datenschutzrichtlinie für die elektronische Kommunikation (2002/58/EG) eine kleine Änderung vornimmt: U.a. Cookies sind demnach nur noch mit ausdrücklicher Einwilligung des Nutzers zulässig. Wobei man aber genau lesen muss, um zu verstehen, wie weit dies geht – dort ist nämlich zu lesen:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Das ist doch mal ein Absatz den wohl kaum einer beim ersten (oder zweiten) Lesen versteht. Im Kern steht dort: (1) Wer einen Cookie setzen möchte, der hat ausdrücklich vorher um Erlaubnis zu bitten. Aber (2) wenn es gar nicht anders geht und der angebotene Dienst an diesem Cookie hängt, dann wird das ausnahmsweise OK sein, so der letzte Satz, der bis heute gerne übersehen wird in Analysen zum Thema. Fraglich nur, wann das anzunehmen sein wird – eine Vielzahl der heute üblichen Cookies, etwa des WordPress-Systems, ist in dieser Form alles andere als unabdingbar. Grenzwertig werden Session-Cookies sein, ich tendiere hier, diese noch als zulässig einzustufen, da sie bis heute für ein funktionierendes Session-System unabdingbar sind. Ein paar Probleme sehe ich im Ergebnis, vor allem für Online-Shop Betreiber angesichts aktueller Abmahnungen wegen Verstössen gegen das Datenschutzrecht, im Ergebnis also in jedem Fall.

Doch die so genannte „Cookie-Richtlinie“ wird ihrem Namen nicht gerecht – denn es geht nicht um Cookies alleine. Wer genau liest, merkt, dass es um Informationen „die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ geht. Also geht es auch um Apps, etwa für das iPhone, die auf das Telefonbuch zugreifen wollen. Das nur als einfachstes Beispiel. Im Ergebnis werden wohl in naher Zukunft Apps und Webseiten ein etwas ausgefeilteres Regelwerk bei der Installation entwickeln müssen, um die Einwilligung des Nutzers einzuholen.

Ebenfalls interessant wird es mit der Einbindung externer Dienste auf der Webseite, etwa dem Facebook-Like-Button oder bei Youtube-Videos, da diese Inhalte gleichsam auf Cookies des Clients zugreifen. Die Problematik der Vergangenheit wird sich hier unter einem bisher nicht gesehen Aspekt für Webmaster noch weiter verkomplizieren. Es bleibt abzuwarten, wie die Richtlinie national umgesetzt wird. Ich sehe allerings für Webmaster keine guten Vorzeichen.

Nun ist fraglich, wann Deutschland das auch umsetzen wird – bisher ist mir dazu nichts bekannt (eine Anfrage habe ich gestellt und berichte, wenn sich was ergibt). Als Webmaster und Shop-Betreiber ist man jedenfalls schlecht Beraten, den Kopf in den Sand zu stecken, da sich erfahrungsgemäß auch „von heute auf morgen“ in diesem Bereich etwas ändern kann.

Zum Thema:

Kurz-URL: