Webseiten-Nutzer müssen Cookies aktiv zulassen
Der Europäische Gerichtshof (EuGH) in Luxemburg hat am 01.10.2019 ein bedeutsames Urteil zur Cookie-Nutzung durch Webseitenbetreiber gefällt. Demnach müssen Betreiber von Webseiten ihre Nutzer ausführlicher als bisher über die Verwendung von Cookies informieren und sich eine ausdrückliche Einwilligung einholen (EuGH, 1.10.2019 – C-673/17 “planet49”).
Im vorliegenden Fall hatte eine Gewinnspielfirma die Häkchen zur Zustimmung der Nutzer zur Cookie-Verwendung bereits vorab gesetzt, die Nutzer mussten nur noch auf „Ok“ klicken. Dieses passive „Akzeptieren“ eines voreingestellten Kontrollkästchens erfüllt nach Ansicht der Richter jedoch nicht die Voraussetzungen einer datenschutzrechtlich wirksamen Einwilligung und ist damit unzulässig.
Bei Cookies handelt es sich um Textdateien, die beim Surfen Daten auf der Festplatte des Nutzers gespeichert werden. Beim neuerlichen Besuch der Webseite können somit die Nutzer und ihre Einstellungen schneller wiedererkannt werden.
Betreiber von Webseiten dürfen nach dem aktuellen Urteil zukünftig grundsätzlich keine Cookies mehr einsetzten, ohne dass ihre Nutzer sich damit ausdrücklich einverstanden erklärt haben. Es reicht folglich nicht, dass Nutzer einmal bestätigen, dass sie die bereitgestellten Informationen gelesen und verstanden haben.
Übertragen auf Webseiten bedeutet dies, dass die häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” nicht ausreichend sind. Vielmehr dürfen Cookies nur nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden.
Eine Ausnahme bilden Cookies, die zum Betrieb der Webseite zwingend erforderlich sind. Darunter fallen etwa Warenkorb-Cookies eines E-Shops oder solche, die Einwilligungen speichern. Ob hingegen auch Cookies zur Speicherung einer Sprachauswahl auf internationalen Webseiten zwingend erforderlich sind, ist durchaus fraglich. Eine genaue Abgrenzung der Erforderlichkeit existiert derzeit leider nicht.
Cookies zum Zwecke des Marketings oder zur Erstellung von Statistiken bedürfen jedoch zwingend einer vorherigen Einwilligung.
Anforderungen einer Cookie-Einwilligung in der Praxis
Eine Einwilligung muss ausdrücklich per Klick, am besten durch Betätigen einer Schaltfläche oder Checkbox, erklärt werden. Der EuGH hat sich gegen die sogenannte Opt-Out-Lösung entschieden, bei der der Nutzer die bei Betreten der Webseite bereits aktiven Cookies selbst deaktivieren muss. Derzeit lässt sich diese Einwilligung praktisch nur mit einem „Cookie-Banner“ oder im Rahmen einer Registrierung einholen.
Darüber hinaus ist eine ausführliche Information der Nutzer nötig. Geht man vom Urteil des EuGHs aus, dann müssen die Nutzer über die folgenden Punkte informiert werden:
- Art und Funktionsweise: Die Nutzer müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, Verhaltens- und Interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.)
- Lebensdauer von Cookies
- Identität der Dienstleister, die die Cookies verarbeiten: D.h., Sie müssen die eingesetzten Dienstleister benennen.
Im Rahmen einer ausführlichen Information sind darüber hinaus die Informationspflichten nach Art. 13, 14 DSGVO zu beachten (z.B. Identität des Verantwortlichen, Betroffenenrechte). Es empfiehlt sich daher, die Datenschutzerklärung und das Impressum im Cookie-Banner zu verlinken.
Darüber hinaus müssen Nutzer dem Cookie-Einsatz widersprechen können. Es ist daher deutlich auf die Widerspruchsmöglichkeit und die entsprechend vorzunehmenden Einstellungen hinzuweisen.
Fraglich ist anhand des Urteils, wie detailliert die Einwilligung ausgestaltet sein muss. Insbesondere hinsichtlich de Frage, ob eine Zusammenfassung der Cookies in Gruppen, wie z.B. „Marketing“, „Statistik“, „Personalisierung“ oder „Inhalte“ ausreichend wäre. Der EuGH hat zu der Frage, ob der Nutzer in jeden einzelnen Dienst einwilligen muss, keine Entscheidung getroffen.
Folgt man den Handreichungen der deutschen Datenschutzbehörden, scheint keine Einwilligung für einzelne Akteure notwendig zu sein, sondern eine „Einwilligung in Verarbeitungsvorgänge“ unter „Nennung der Akteure“ (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien).
Was ist jetzt zu tun?
- Überprüfen Sie, ob und welche Cookies auf Ihrer Webseite verwendet werden.
- Handelt es sich um Session-Cookies (werden nach der Sitzung aus dem Browser gelöscht) oder Persistent-Cookies (längere Speicherdauer)?
- Überprüfen Sie, ob Sie die eingesetzten Cookies tatsächlich benötigen – Cookies, die für die fehlerfreie Funktionalität der Webseite erforderlich sind, können ohne Einwilligung weiter verwendet werden.
- Für alle Cookies, die nicht zum Betrieb der Webseite notwendig sind, benötigen Sie eine Einwilligung. D.h. diese Cookies müssen inaktiv bleiben, bis der Nutzer aktiv eingewilligt hat.
- Vor der Einwilligung muss der Nutzer ausführlich darüber informiert werden, welchem Zweck die Cookies dienen, welche Daten von der Verarbeitung betroffen sind, die Lebensdauer der Cookies und wer für die Datenverarbeitung verantwortlich ist. Häufig ist das nicht der Webseitenbetreiber allein, sondern auch das Werbeunternehmen, welches die Cookies für seine Werbebanner, etc. nutzt.
Bei Fragen stehen wir Ihnen gern beratend zur Seite.