Vorige Woche hat der Bundesgerichtshof (BGH) sein sogenanntes Cookie-Urteil in der Sache Verbraucherschützer gegen Planet49 verkündet. Und der BGH hat im Sinne der Verbraucherschützer entschieden. Hier ein kurzer Blick auf die Sachlage.
Anzeige
Das Planet49-Cookie-Urteil des BGH
Der I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind. Es ging um einen alten Fall, wo die BeklagtePlanet49 im September 2013 unter ihrer Internetadresse ein Gewinnspiel veranstaltete. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.
Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.
Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:
Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.
Anzeige
Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war. Soweit im Revisionsverfahren relevant, hat die Verbraucherschutzzentrale als Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Der Kläger hat außerdem Ersatz der Abmahnkosten verlangt.
Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Der Tenor und weitere Details des am 28. Mai 2020 ergangenen BGH-Urteils lässt sich in dieser Pressemitteilung nachlesen. Zudem finden sich bei heise und SPON Artikel zum Thema. Mir war bereits seit einige Wochen klar, dass Ende Mai 2020 ein Urteil und in diesem Tenor fallen wird.
Konsequenzen aus diesem Urteil
heise reißt es in diesem Artikel an – das BGH-Urteil bezieht sich auf einen Einzelfall, hat aber in sofern Relevanz, als Deutschland bei der Umsetzung der DSGVO einen Sonderweg in Sachen Cookies beschritten hat. Die ePrivacy-Verordnung, die eigentlich mit der DSGVO verabschiedet werden sollte, wurde auf Eis gelegt. Damit hängen Webseitenbetreiber in Deutschland etwas in der Luft. Der Gesetzgeber wird jetzt sicherlich in Sachen ePrivacy-Verordnung reagieren und die Vorgaben klären müssen. heise weist in diesem Ergänzungsartikel auf den Sachverhalt hin.
Da ich als Nutzer und Blogger auf beiden Seiten 'des Schreibtischs' unterwegs bin, kenne ich die Sicht der Nutzer, stelle aber auch die Frage der (einfachen) Implementierung. Konkret stehe ich seit Mai 2018 vor der Frage, wie realisiere ich die Cookie-Kontrolle aus technische Sicht, bzw. wie lässt sich das bewerkstelligen. Da ich auch im englischsprachigen Sprachraum gelesen werde, ist das kalifornische COPPA (Online Privacy Protection Act) ebenfalls zu beachten.
Bis jetzt bin ich da immer in der Frühphase an der Umsetzung gescheitert. Aber durch das BGH-Urteil kommt Bewegung ins Spiel. Konkret laufen hinter den Kulissen Vorbereitungen der Werbepartner für meine Blogs, die sogenannten 'Consent Management Provider' (CMP) Richtlinien und Funktionen zu implementieren. Es wird darauf hinaus laufen, dass ein Banner erscheint, zwischen Cookie-Arten unterschieden wird und alles außer essentielle Cookies abgewählt ist. Gleichzeitig muss auch eine Schnittstelle geschaffen werden, damit Nutzer nachträglich ihre Cookie-Einstellung verwalten können.
Mir liegen von zwei Werbepartner die betreffenden Informationen vor – die Implementierung erfolgt 'demnächst' direkt auf deren Plattformen. Ich denke, bis Ende Juni habe ich das vom Tisch. Konsequenz für mich: Ich werde einen Anbieter wohl bannen müssen, wenn ich nicht ein riesiges Rad mit eigener CMP-Plattform drehen will. Am Ende des Tages muss ich dann schauen, was sich dann bezüglich der Monetisierung der Blogs ergibt.
Hintergrund ist, dass interessenbezogene Werbung halt besser bezahlt wird, als Werbung, wo nur der Content eines Artikels in die Ausspielung von Werbung einbezogen wird. Bei Google Adsense hatte ich 2018 eine Zeit lang die personalisierte Werbung abgeschaltet – die Einnahmen brachen signifikant ein.
Persönlich kann ich die ganze Geschichte etwas entspannter angehen, wenn die Technik der Werbepartner die Implementierung übernimmt. Ich bin am 8. Mai 2020 65 Jahre alt geworden – und im März 2021 startet hier die Rente. Im Moment ist zwar die Idee, die Blogs über diesen Zeitraum weiter laufen zu lassen – möglicherweise die Zeit, die ich mit den Blogs verbringe, zu reduzieren. Solange ich die Gedanken beisammen habe, die Gesundheit das zulässt, das Ganze weiterhin Spaß macht und ich Erfolg habe, sollte das passen. Sofern mir aber die Einnahmen unter einen sinnvollen Schwellwert fallen, werde ich den geordneten Exit einleiten.
Nach meiner Einschätzung wird ein Großteil der Webseitenbetreiber das Thema der Cookie-Verwaltung aber schlicht nicht managen können. Denn auf die oben erwähnten CMP-Lösungen können nur die Website-Betreiber zugreifen, die durch eine gewisse Signifikanz für Google-Partner interessant werden. Die holen von den Werbepartnern die Einwilligung ein, sich an diese Einstellungen zu halten. Bei Google Adsense, was ich früher in meinen Blogs verwendete habe, ist imho noch nichts von einer Cookie-Verwaltung zu sehen. Da ist bei mir nur die interessenbezogene Werbung deaktiviert – wodurch die Einnahmen halt sinken.
Möglicherweise wird das Ganze am Ende des Tages auch ein Pyrrhussieg. Wer nicht gut aufgestellt ist, und an der Cookie-Kontrolle scheitert, dürfte dann das Webangebot abschalten. Bereits im Umfeld der DSGVO sind einige Sites wegen des Aufwands offline gegangen. Zudem werden sich viele dieser Diskussionen (von mir geschätzt) in 2 Jahren erledigt haben, wenn die Browser Drittanbieter-Cookie-Tracking unterbinden. Wie dann getrackt wird (Stichwort: Fingerprinting) steht auf einem anderen Blatt.
Anzeige
Ich als ehemaliger Seitenbetreiber habe aufgrund dieses ganzen Blödsinns sämtliche meine Seiten eingestellt.
Die ganzen Gesetzgeber machen das Internet kaputt.
Es wäre doch viel einfacher gewesen ein Gesetz zu verabschieden was Tracking grundsätzlich verbietet und unter Strafen stellt als so einen Blödsinn mit DSGVO.
Aus meiner Sicht spinnen die alle.
Es war abzusehen das der Deutsche Sonderweg in der Cookiebehandlung früher oder später zu diesem Szenario führt. Überall wurde im zuge der DSGVO immer klar und eindeutig vom opt-in geredet, wie man überhaupt auf die Idee kommt da noch auf ein opt-out System zu setzen war mir schleierhaft.
Auch kann ich die damit verbundenen Probleme der Werbepartner nicht wirklich nachvollziehen, diese sollten schon längts ein opt-in Verfahren in der Schublade haben um auch ausserhalb von Deutschland DSGVO konform zu sein, oder sind das Werbepartner die wirklich nur exklusiv in DE tätig sind?
Die nächste Stufe wird sicher sein das verboten wird den "all-in" Button anklickbarer zu präsentieren als den, mit dem man nur das technisch notwendige bestätigt.
Zu 'oder sind das Werbepartner die wirklich nur exklusiv in DE tätig sind': Ich kann nur für mich bzw. meine Erfahrungen sprechen. Hier im Blog gibt es Google Adsense (kann praktisch jeder Webseitenbetreiber einsetzen), und es gibt/gab zwei deutsche Anbieter, die mir den Zugang zu Werbenetzwerken gegen Beteiligung vermitteln. Einer ist Google Ad Exchange-Partner, wo Blogger mit einer gewissen Signifikanz deutliche Einnahmesteigerungen bekommen.
Für mich ist es der Unterschied zwischen 'oh, nett, die Blogs spülen ein nettes Taschengeld ein' und 'ich kann inzwischen davon leben'. Und ich bin sehr froh, dass ich das nach meinem Sportunfall in 3.2015 so hinbekommen habe – sonst hätte ich vermutlich die die Blogs längst abgeschaltet und meine Rente beantragt (wegen GDB 50% hätte ich das ab 60 Jahre gekonnt). Wobei das auch nicht ganz stimmt – da ich über die letzten Jahre Nachzahlungen der Verwertungsgesellschaft Wort (VGWort), teilweise bis ins Jahr 2000 bekam, war mir klar, dass ich die Rente, sofern irgendwie möglich, bis zur Altersgrenze 65 + 10 Monate hinausschieben sollte. Denn zur reduzierten Rente hätte es durch den Hinzuverdienst noch Auszahlungskürzungen durch Anrechnung dieser Einnahmen gegeben. Unter dem Strich ist es für mich sehr positiv gelaufen.
Zu den beiden Werbepartnern: Erst die letzten 6 Wochen liegen mir von denen die Ankündigungen vor, das sie was tun werden. Es wurde mal erwähnt: Der Nutzer muss darauf vertrauen, das dass, was vorne dran steht, auch hinten passiert. Von einem Werbepartner weiß ich, dass er die Zustimmung von mehreren hundert Anbietern zu CMP einholt. Ich hatte dieses Thema seit Mai 2018 immer mal wieder angesprochen. Google kippt auch nur allgemeines Zeugs für Publisher raus, was ich so ad hoc nicht umsetzen konnte. Ich muss aber entscheiden, was, wie zu implementieren ist – und es ist ja immer noch ein kleiner Blog-Auftritt. Werde ich wohl aus aktueller Sicht hinbekommen und muss sehen, was wird.
PS: Ich bin heute heilfroh, nicht den zahlreichen Angeboten, gigantische Beträge mit Werbung zu verdienen ;-), aus dem Ausland erlegen zu sein (ich hatte GDPR und ePrivacy immer im Hinterkopf). Im Mai habe ich z.B. noch Taboola einen Korb gegeben, weil deren Vertragskonditionen nicht akzeptierbar waren. Dafür ist jetzt am Artikelende eine Content-Empfehlung von Google drin – was ich relativ problemlos ein- und ausbauen kann, da es über Adsense kommt. Auto-Anzeigen von Adsense (da bestimmt Google, welche Anzeigen wo zusätzlich kommen) musste ich z.B. ausbauen, weil mir diese das Blog-Layout zerdeppert haben. Seit Corona muss ich immer wieder optimieren und abschätzen, was zu ändern ist, um nicht ins Bodenlose zu stürzen.
Ich versuche als Nutzer und Publisher immer den Königsweg für meine Leser, aber auch für mich, zu finden und zu gehen. Wenn ich jetzt aber postuliere, dass > 90% der Webseitenbetreiber fachlich nicht in der Lage sind, das so wie meine Wenigkeit zu handhaben (der auch noch viele Bildungslücken hat), sehe ich halt schwarz. Deswegen bringen uns die reflexhaften Reaktionen von Nutzern oder Interessenverbänden auf solche Urteile etc. auch keinen Deut weiter. Das ist auch das, was ich gelegentlich in Beiträgen wie diesen zu vermitteln versuche.
Hallo Herr Born,
meine Kritik galt nicht den Webseitenbetreibern (also Ihnen), sondern dem Sonderweg und der Tatsache das die Werbepartner jetzt völlig überrascht sind das die DSGVO Vorgaben nach Europarecht über dem nationalen Recht beim Datenschutz stehen.
Es war abzusehen und die Werbepartner hätte sich in Ruhe auf das Szenario vorbereiten können. Wobei meine Frage, ob diese bisher nur in DE ihre Dienste anbieten ja berechtigt ist, denn in andere Länder musste das "opt-in" angeboten werden, das System also schon vorhanden sein.
Als Webseitenbetreiber ist man am Ende eh der gearschte, da ein Verstoß gegen die DSGVO immer beim Betreiber landet, nicht beim genutzten Werbepartner der einem hoch und heilig versprochen hat das so alles nach DSGVO Richtlinien in Ordnung ist.
Das alles immer zu 100% richtig abzuwägen ist definitiv nicht einfach und auch sehr Zeitintensiv.
Hallo!
Alles Gute nachträglich zum Geburtstag!
Cookies sind wie eine Seuche – solange sie nicht reguliert sind. Es gibt bereits Webseiten, die eine solche Regulierung anbieten. Mein Bank, z.B., bittet mich um die CookieEinstellung, BEVOR ich auf die Seite gelange. Wie du geschrieben hast, sind nur die technisch notwendigen Cookies voreingestellt. Alles andere kann ich frei auswählen. Das ist schon recht gut – allerdings kann ich die Cookies selbst nicht ohne weiteres überprüfen. Ich muss mich auf den Anbieter verlassen … können.
Natürlich geht es auch ohne Cookies – für privat kein Problem.
Aber wer sein Geld verdienen muss … das wird nicht einfach.
Erstmal die allerbesten Glückwünsche zu Geburtstag.
Zum Thema: ich hoffe das sich das ganze für dich zum bestmöglichen Ergebnis wendet.
Mit der Datenschutzverordnung ist es schon ein großes Problem für viele Firmen und Website- Betreiber die seriös bleiben wollen.
Wo liegt eigentlich das Problem? Cookies zulassen wenn man möchte, dass die Seite funktioniert, oder eben nicht. Am Ende des Tages kann man ja dann die nicht erwünschten löschen.
bittube googeln.
Die Idee dahinter ist ein Internet ohne Werbung.Bezahlt wird nach Verweilzeit.Kein heimliches Mining!Das machen Leute freiwillig die dafür einen Teil bekommen…
Hier sehr detaillierte Infos zum Urteil und was daraus folgt: https://datenschutz-generator.de/bgh-cookies-opt-in-faq-checkliste/
Wer WordPress nutzt kann ein wenig Geld investieren und mit dem Borlabs Cookie Plugin alles selber umsetzen.
"Zudem werden sich viele dieser Diskussionen (von mir geschätzt) in 2 Jahren erledigt haben, wenn die Browser Drittanbieter-Cookie-Tracking unterbinden." Das mag aus Anwendernsicht zutreffen, aber als Webseitenbetreiber steht man nach wie vor in der Pflicht die gesetzlichen Regelungen zur Cookie-Speicherung einzuhalten, egal ob alle User Cookies sowieso blockieren oder nicht.