Nach dem EuGH hat nun auch der Bundesgerichtshof entschieden, dass der Webseitenbesucher in jede Art der Weitergabe personenbezogener Daten an Dritte vorher ausdrücklich einwilligen muss (“Opt-In”). Die Bestimmung im deutschen Telemediengesetz, nach der unter Umständen auch ein Opt-Out (Widerspruch) genügen sollte, ist damit vom Tisch.
Besonders bedeutsam ist, dass das Urteil vom 28.05.2020 nicht nur Auswirkungen auf die Verwendung von Cookies hat, sondern darüber hinaus auf jede Art von Datenweitergabe. Somit sind auch z.B. Javascriptkonstrukte betroffen, die bereits beim Öffnen der Webseite Datenverbindungen zu Dritten öffnen. Das kann das Herunterladen einer besonderen Schriftart genauso sein wie die Anbindung an Analysetools (Google Analytics, matomo und andere) oder die Nutzung von reCaptcha zur Spamabwehr.
Nur technisch unbedingt notwendige Cookies – wie z.B. ein Session-Cookie oder die Verwaltung eines Warenkorbes – dürfen ohne besondere Einwilligung gesetzt werden. Jede darüber hinaus gehende Verwendung personenbezogener Daten muss in der Datenschutzerklärung und ggf. in einer Cookieliste erwähnt werden, und weder dürfen betroffene Scripte ausgeführt noch Cookies gesetzt werden, bevor nicht der Besucher sein Einverständnis explizit gegeben hat. Ein Banner mit dem lapidaren Hinweis “Durch Weitersurfen akzeptieren Sie alle Cookies” reicht nicht aus. Sie benötigen unbedingt einen Mechanismus, der zuverlässig problematische Datenflüsse verhindert und das Setzen von Cookies blockiert (sog. “Consent Tool”).
Die gute Nachricht: Es gibt für (fast) alles eine Lösung, und das oftmals ohne großen Aufwand. Fragen kostet nichts – Abmahnungen sind teuer.