Der Cookie-Hinweis auf der Website – Rechtliche Pflicht oder nur Lex Google?

Jeder kennt es: Immer häufiger erscheinen im Header- oder Footer-Bereich von Website auf einem separaten Layer sog. „Cookie – Hinweise“, welche den Nutzer über die von dem jeweiligen Website-Betreiber verwendeten Cookies informieren, welche Daten diese Cookies erheben und verwenden und erklären, ob und wie man die Verwendung von Cookies ablehnen kann. Ein durchschnittlicher Website-Besucher macht das, was wohl (fast) alle machen: Sie klicken den Hinweis einfach weg. Was soll das Ganze dann eigentlich?

Sinn und Unsinn des Cookie-Hinweises

Auch wenn man inzwischen eine rapide steigende Zahl von Cookie-Hinweisen auf unterschiedlichsten Website findet, so stellt sich dennoch die grundlegende Frage, welche rechtliche Qualität derartige Erklärungen überhaupt entfalten sollen. Die üblichen Formulierungen wie „Diese Webseite verwendete Cookies. Wenn Sie diese Webseite weiter nutzen, stimmen Sie der Verwendung von Cookies zu“, verbunden mit einem „Akzeptieren“-Button scheinen jedenfalls rechtlich gesehen intransparent, denn entweder erklärt man sich durch die (weitere) Nutzung der Webseite konkludent mit der Verwendung von Cookies einverstanden, wobei hier zu hinterfragen wäre, welchen Erklärungsgehalt die schliche (weitere) Nutzung einer Webseite durch einen Nutzer eigentlich haben soll, oder aber es bedarf einer ausdrücklichen Zustimmung des Nutzers - wovon der Website-Betreiber durch die Verwendung des „Akzeptieren“ Buttons offenbar auch selbst ausgeht. In der Konsequenz dürften dann die auf der Webseite eingesetzten Cookies - ohne dass der Nutzer ihre Verwendung zuvor explizit akzeptiert hätte – also gar nicht genutzt werden. Natürlich werden sie trotzdem eingesetzt und der Cookie-Hinweis bleibt zumeist eine leere Worthülse ohne juristische Bedeutung.

Rechtlicher Hintergrund des Cookie-Hinweises

Hintergrund des Cookie-Hinweises ist prinzipiell die Regelung des § 15 Abs. 3 TMG (psyeudonyme Nutzungsprofile), welcher eine Umsetzung der entsprechenden Regelung der sog. Cookie-Richtlinie (Richtlinie 2009/136/EG) darstellen soll. Die sprachliche Relativierung ist dem Umstand geschuldet, dass eine Umsetzung der Cookie-Richtlinie bisher eigentlich nicht erfolgt ist. Zwei Gesetzesinitiativen zur Umsetzung der Regelung scheiterten. Die Bundesregierung ist dennoch – wohl entgegen der Ansicht der EU-Kommission – der Auffassung, dass mit § 15 Abs. 3 TMG bereits eine entsprechende Regelung existiere. Also was jetzt?

Die Cookie-Richtlinie verlangt in Art. 5 Abs. 3, dass ein Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gibt, sofern Website auf den Endgeräten des Nutzers nicht zwingend notwendige Cookies (z.B. Tracking, Targeting und Analyse-Cookies) einsetzen.

Die Regelung des § 15 Abs. 3 TMG setzt im Lichte der Richtlinie voraus, dass Nutzer vor der Einwilligung in die Setzung von Cookies klar und umfassend über die damit verbundenen Umstände und ihr Widerspruchsrecht informiert werden. Das TMG verweist damit zeitlich auf den Beginn des Nutzungsvorgangs.

Daher spricht durchaus einiges dafür, dass ein Cookie-Hinweis-Layer beim Aufrufen einer Webseite am ehesten den Anforderungen einer klaren und umfassenden anfänglichen Unterrichtung genügt.

Da eine Umsetzung der Cookie-Richtlinie jedoch faktisch nicht erfolgt ist, gelten prinzipiell für Websitebetreiber die Regelungen im TMG so weiter, wie sie bereits vor Inkrafttreten der Cookie-Richtlinie bestanden haben.

Danach sind Websitebetreiber jedoch ausschließlich verpflichtet, den Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten (§§ 15 Abs. 3, 13 Abs. 1 TMG). Es genügt mithin, dass der Einsatz von Cookies in einer Datenschutzerklärung beschrieben und auf ein entsprechendes Widerrufsrecht (Opt-Out) hingewiesen wird. Nicht erforderlich ist demnach, dass ein Cookie-Hinweis-Layer verwendet oder gar eine separate Cookie-Policy vorgehalten wird.

Lex Google: Die Cookie-Hinweis-Pflicht

Google schuf mit der Änderung ihrer Publisher- Richtlinie Ende Juli 2015 mit Wirkung zum 30. September 2015 für viele Websitebetreiber, welche auf ihren Seiten Adsense, DoubleClick und DoubleClick-Ad Exchange einsetzen, mit dem verpflichtenden Cookie-Hinweis faktisch eine Umsetzung der entsprechenden Regelung der Cookie-Richtlinie.  Dabei geht Google sogar einen Schritt weiter, da in der Regelung der entsprechenden Google Richtlinie eine (ausdrückliche) Zustimmung des Nutzers gefordert wird – also ein klares „Opt-In“ statt „Opt-Out“. Nach aktueller Rechtsprechung (vgl. OLG Frankfurt/Main, Urt. v. 17.12.2015, Az.: 6 U 30/15) wird zumindest in Deutschland bei der Verwendung von Cookies eine „Opt-Out“ Lösung für ausreichend erachtet.

Fazit

Websitebetreiber können nach aktueller Rechtslage nach wie vor Informationen zu den von ihnen verwendeten Cookies als auch die Widerspruchsmöglichkeit in ihre Datenschutzerklärungen integrieren.

Websitebetreiber, deren Angebote auf einen internationalen Markt abzielen, sollten allerdings prüfen, ob sich daraus eine Pflicht zur Implementierung von Cookie-Bannern und einer Cookie-Policy ergib – wie etwa in denjenigen EU-Staaten, welche Art. 5 Abs. 3 der Cookie-Richtlinie bereits umgesetzt haben.

Websitebetreiber, welche ein Cookie-Hinweis-Layer benutzen möchten, etwa weil sie bestimmte Google-Dienste eingebunden haben, müssen darauf zu achten, dass die Erklärung mindestens eine Opt-Out-Möglichkeit für die Verwendung von Cookies vorsieht und den Nutzer auf der Grundlage von klaren und umfassenden Informationen über die Verwendung von Cookies informiert. In diesem Rahmen wird es regelmäßig erforderlich sein, ergänzende Informationen – etwa über eine Cookie-Policy – über einen Link im Hinweis-Layer bereit zu halten.

Wer ein Cookie-Hinweis-Banner verwendet sollte allerdings juristisch sauber arbeiten, denn falsche oder unvollständige Cookie-Hinweis-Layer dürften ebenso wie fehlerhafte Datenschutzerklärungen (vgl. OLG Hamburg, Urteil v. 27.06.2013, Az. 3 U 26/12; LG Köln, Beschluss vom 26.11.2015, Az. 33 O 230/15) abmahnfähig sein.

Peer A. Fischer

ist Rechtsanwalt und Fachanwalt für IT-Recht und Partner der auf Medizinrecht, IT-Recht und gewerblichen Rechtsschutz spezialisierten Kanzlei BBP Rechtsanwälte & Fachanwälte mit Standorten in Berlin, Köln und Rostock. Nach Tätigkeiten als Justitiar bei einer Medienagentur und verschiedenen Games-Publishern betreut und berät Peer A. Fischer heute als Rechtsanwalt nationale und internationale Unternehmen in allen Fragen des IT-Rechts, des Gesellschaftsrechts und des Datenschutzrechts.

Mehr