Diese Frage scheint berechtigt, zumal sich Literatur und Rechtsprechung hierin uneinig sind. Die Diskussion wird dabei auch durch selbst ernannte „Datenschützer“ beflügelt. Im Ergebnis herrscht – auch bei vielen Gerichten – Unsicherheit darüber, wie ein Cookie-Hinweis und dessen Einwilligung auszusehen hat.
1. Zunächst, was ist ein Cookie überhaupt?
Stark vereinfacht gesagt hilft ein Cookie einer Website einen Nutzer wiederzuerkennen und ihm damit das Surfen auf der Website zu erleichtern. So kann sich eine Website beispielsweise merken, was in einem Einkaufskorb war, auch wenn die Website geschlossen wurde.
Nun stellt sich die berechtigte Frage, weshalb man hier die ganze Angelegenheit so stark verkompliziert und warum es für diese (scheinbar) durchweg positiven Codeschnipsel überhaupt einer Einwilligung bedarf. Die Kehrseite lautet: mit Cookies lassen sich die Daten der Nutzer auch in missbräuchlicher Hinsicht verwenden.
Stellen Sie sich einfach vor, Sie surfen auf einem Onlineshop. Dort werden Sie auch fündig und legen diverse Produkte in Ihren Einkaufswagen. Da Sie sich jedoch unsicher sind, ob Sie die Produkte jetzt wirklich klaufen möchten, schließen Sie die Webseite. Der Cookie, welcher sich den Inhalt Ihres Einkaufswagens gemerkt hat, befindet sich allerdings noch auf Ihrem Computer oder wurde bereits in einer anderer Weise an Dritte verteilt. Dies hat regelmäßig zur Folge, dass Sie nunmehr auch auf anderen Webseiten diverse Angebote aus der besuchten Kategorie sehen.
Sie merken, die Cookies können auch in eine Richtung abdriften welche eventuell nicht mehr ganz in Ihrem Sinne sein könnte. Dies ist jedoch nur ein Aspekt, weshalb Cookies reguliert werden müssen.
2. Wie baue ich einen solchen Cookie-Hinweis rechtskonform ein?
Die (Rechts-)sicherste Antwort lautet: keine Cookies nutzen zu denen der User nicht zugestimmt hat.
Im Einzelnen bedeutet dies, dass Sie sich nur dann in (ganz) sicherem Fahrwasser befinden, wenn Sie die Einwilligung des Nutzers vor dem ersten Aufruf der Seite eingeholt haben. Dies muss in der Form geschehen, dass – bevor irgendwelche Daten vom Nutzer erhoben werden – eine Cookie-Warnung erscheint und der Webseitenbesucher so konkret wie möglich informiert wird, welche Daten von ihm erhoben werden, wozu diese genutzt werden und an welche anderen Personen diese unter Umständen weitergegeben werden.
Um dies dann auch noch im Lichte des Urteils des europäischen Gerichtshofs vom 01. Oktober 2019, AZ: C-673/17 umzusetzen, muss das Formular im Opt-In-Stil ausgestaltet sein. In anderen Worten: der Nutzer muss selbst durch Anklicken der gesetzten Cookies zustimmen, dass seine Daten erhoben, übertragen und genutzt werden. Er muss also ausdrücklich bestätigen, dass er mit dieser Datenverarbeitung und Datenerhebung einverstanden ist.
Dass dieses Prozedere für den Betrieb vieler Websites schlichtweg unmöglich ist oder die sogenannte „User-Experience“ der Website enorm einschränkt, dürfte auch auf der Hand liegen.
3. Wie verhalte ich mich rechtskonform, ohne meine Website nahezu lahmzulegen?
Die Antwort hierfür fällt schwer. Um auf Nummer sicher zu gehen, sollten Sie den oben skizzierten Weg einhalten. Die Frage muss allerdings auch lauten, was die Konsequenz ist, wenn Sie gegen diesen Weg verstoßen. Hier gilt es sich die Konsequenzen vor Augen zu führen. Dabei unterscheiden wir primär zwischen Maßnahmen der Datenschutzbehörden und Maßnahmen von Wettbewerbern, zugelassenen Interessenverbänden etc.
A. Maßnahmen der Datenschutzbehörden
Dabei wird vor allem die Datenschutzgrundverordnung (DSGVO) relevant. Den Aufsichtsbehörden sind hier umfassende Untersuchungs- und Abhilfebefugnisse eingeräumt um datenschutzrechtliche Vorgaben durchsetzen zu können. Dabei fürchten die meisten Website-Betreiber die enormen Bußgelder in Höhe von bis zu 20 Million Euro oder 4 % des weltweiten Vorjahresumsatzes.
Doch ist diese Furcht unbedingt berechtigt? Die Antwort lautet: Ja und Nein. Ja, die Bußgelder werden verhängt. Nein, man wird seinen Geschäftsbetrieb nicht (nur) wegen eines verhängten Bußgeldes einstellen müssen. Bis zum Stand heute wurden in Deutschland ca. 130 öffentlich kommunizierte Bußgelder mit einer Gesamtsumme von etwa 700.000,00 € verhängt. Rechnerisch bedeutet dies, dass eine einzelne Sanktion etwa den Wert von 5.500,00 € ausmacht. Hierzu muss man allerdings sagen, dass dies ein errechneter Wert ist, welcher von Bundesland zu Bundesland stark schwankt. Nichtsdestotrotz soll dieser Wert verdeutlichen, dass ein verhängtes Bußgeld zwar schmerzhaft, aber nicht existenzbedrohend sein kann. Auch sind Sanktionen in Form eines Bußgeldes ein bereits scharfes Schwert der Datenschutzbehörde. Üblicherweise bedienen sich die Datenschutzbehörden zunächst von Warnungen und Anweisungen (Art. 58 DSGVO). Nach unserer Erfahrung ist es kein Ansinnen der Datenschutzbehörden über Bußgelder die Staatskasse zu finanzieren.
Also ist es die beste Variante nichts zu tun und auf eine Verwarnung oder ein Bußgeld der Datenschutzbehörde zu warten?
Dies ganz sicher nicht! Neben der Datenschutzbehörde gibt es (u.a.) auch Wettbewerber, welche ihnen das Leben schwer machen können.
B. Abmahnung durch Wettbewerber
Gefährlicher als eine Sanktion dürften Abmahnungen von Wettbewerbern sein. Denn Wettbewerber müssen nicht einfach hinnehmen, wenn andere Wettbewerber sich nicht an Gesetze und Verordnungen halten. Mit einer Abmahnung kann ein solches wettbewerbswidriges Verhalten sanktioniert werden.
Wie schlimm ist es, wenn mich ein Wettbewerber abmahnt?
Die Kosten für eine Abmahnung können leicht 2.000,00-3.000,00 € pro Abmahnung betragen. Schlimmer ist jedoch die hiermit verbundene Unterlassungserklärung, welche üblicherweise gefordert wird. Diese enthält eine Verpflichtung, dass Sie sich künftig regelkonform verhalten. Wenn Sie dies dann nicht tun, wird eine Vertragsstrafe verwirkt, welche leicht ein Vielfaches der Abmahnsumme betragen kann.
Kann ich auch wegen einem Cookie-Verstoß abgemahnt werden?
Die unbefriedigende Antwort lautet: es kann passieren.
Warum gibt es dazu keine klare Aussage?
Die gibt es deswegen nicht, da immer noch Uneinigkeit zwischen den Gerichten besteht, ob die DSGVO mit dem unlauteren Wettbewerbsrecht (UWG) abgemahnt werden kann. So entschied das Landgericht Bochum (Beschluss vom 07.08.2018, Az: 12 O 85/15), dass die DSGVO nicht in Verbindung mit dem UWG abgemahnt werden kann. Ähnlich entschied auch das Landgericht Wiesbaden (Urteil vom 05.11.2018, Az: 5 O 214/18). Auch das Landgericht Magdeburg folgt dieser Ansicht (Urteil vom 18.01.2019, Az: 36 O 48/18).
Diese Tendenzen scheinen allerdings nur bei der in der Rangfolge niedrigeren Gerichten zu bestehen. So hat das Oberlandesgericht Hamburg mit Urteil vom 25.10.2018, Az: 3 U 66/17) entschieden, dass eine Abmahnung sehr wohl zulässig ist. Das Oberlandesgericht München sieht dies mit Urteil vom 07.02.2019, Az: 6 U 2404/18 ebenso.
Was sollte ich tun, wenn ich eine Abmahnung erhalte?
Sie sollten in jedem Fall einen auf Datenschutzrecht und Wettbewerbsrecht spezialisierten Rechtsanwalt kontaktieren. Dieser berät Sie, ob die Abmahnung berechtigt oder unberechtigt ist – auch unter Zugrundelegung des für Sie zuständigen Gerichtes.
4. Wenn ich bei jedem Besuch den User alle Cookies zunächst mühsam anwählen lasse, kann ich meine Website schließen. Kann ich zumindest das Risiko einer Sanktion oder Abmahnung verringern?
Diese Frage dürfte sich den allermeisten Websitebetreibern aufdrängen. Die erfreuliche Antwort lautet: Ja!
Schaut man sich das Ansinnen der Landesdatenschutzbehörden genauer an, so wird klar, dass man hier nicht auf Blockierung des Wettbewerbes und einer Realisierung von Strafgeldern ausgerichtet ist. In den allermeisten Fällen honoriert es die jeweils zuständige Landesdatenschutzbehörde erheblich, wenn man den guten Willen zeigt und sich zumindest technisch so vorbereitet, dass dem User die Hoheit über seine Daten zurückgegeben wird. Konkret bedeutet dies, dass Sie eine Einblendung der erhobenen Cookies dem User präsentieren sollten und im Falle eines Onlineshops (bspw.) sämtliche erforderlichen Cookies zum Betrieb des Onlineshops vorausgewählt sind. Alle anderen Cookies wie beispielsweise Google Analytics könnte der User mit einem Button „alle Cookies akzeptieren“ dann leicht hinzuwählen. So erreichen Sie in jedem Fall Ihr Ziel Ihren Onlineshop (nahezu) ohne Einschränkungen weiterbetreiben zu können und verringern gleichermaßen die Wahrscheinlichkeit einer Sanktion durch die Landesdatenschutzbehörde erheblich.
Und was ist mit den Mitbewerbern?
Hier gilt gleiches. Ein Mitbewerber kann Sie nur dann effektiv abmahnen, wenn er selbst alle Regeln befolgt. Wenn er nun alle Regeln befolgt, bedeutet dies im Umkehrschluss, dass er seine eigene Website – aufgrund von zahlreichen Cookie-Hinweisen und Einwilligungen – (nahezu) lahmlegen müsste. Dann stellt sich allerdings die berechtigte Frage, ob er wirklich noch Wettbewerber ist. Denn wenn er aufgrund dieser gesamten Maßnahmen keine bzw. kaum noch Verkäufe (im Falle eines Onlineshops) erzielt, dürfte seine Wettbewerbereigenschaft und damit seine Abmahnbefugnis arg in Frage stellen.
Wenn der Wettbewerber allerdings nicht alles regelkonform auf seiner eigenen Website technisch realisiert, so steht Ihnen der Einwand der sogenannten „Unclean Hands“ zu. Dies stellt zugleich eine sehr effektive Verteidigung gegen derartige Abmahnungen dar.
5. Fazit
Wie dargestellt lohnt es sich in jedem Fall sich mit der Materie der Cookies und des geltenden Rechtes auseinanderzusetzen. Auch sollte man die Einbindung von Cookies in die eigene Website nicht auf die leichte Schulter nehmen und etwaige Sanktionen und Abmahnungen auch sehr ernst nehmen. Andererseits gilt es die realistischen Folgen einer kritischen Prüfung zu unterziehen und sich von diesen nicht zu sehr einschüchtern zu lassen.
In jedem Fall gilt: wer nichts tut, setzt sich einem enormen Risiko aus. Wer sich ernsthaft um die Einhaltung der DSGVO bemüht, wird nur in den seltensten Fällen Probleme mit den Landesdatenschutzbehörden oder Mitbewerbern bekommen.