Das EuGH-Urteil zu Cookies – Was ist genau das Problem?
Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass Internetanbieter die Einwilligung ihrer Nutzer für Cookies nur dann wirksam einholen, wenn der Nutzer aktiv zustimmen kann (Urteil vom 1.10.2019 – C-673/17).
Im konkreten Fall hatte ein Unternehmen bei einem Online-Gewinnspiel zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Gewinnspielteilnehmer zugleich ihre Einwilligung in das Speichern von Cookies erklärten. Diese Cookies bzw. die darüber erhobenen Daten sollten zu Marketingzwecken verwendet werden. Dagegen hatte der deutsche Bundesverband der Verbraucherverbände geklagt.
Was hat der EuGH entschieden?
Der EuGH hat entschieden, dass die Einwilligung für Cookies aktiv erteilt werden muss. Die Einwilligung könne nicht über ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen müsse, wirksam erteilt werden.
Der EuGH stellte außerdem klar, dass der betroffene Nutzer u.a. auch zur Funktionsdauer der Cookies und zur Zugriffsmöglichkeit durch Dritte (z.B. Facebook oder Google) umfassend zu informieren ist.
Muss jetzt für jede Art von Cookie eine Einwilligung eingeholt werden?
– Rein funktionale Cookies
Der EuGH bezieht sich insoweit auf Art. 5 Abs. 3 der "alten" EU-Cookie-Richtlinie (2002/58/EG) und entschied, dass rein technische Cookies, die der Herstellung der Funktionalität einer Website dienen, noch keine Einwilligung benötigen.
Ein Beispiel dafür wären Warenkorbcookies, mit denen der Warenkorb des Nutzers gespeichert werden kann.
Rechtsgrundlage wäre dann das sog. berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, welches hier in der bedarfsgerechten Gestaltung der Website zu sehen ist. Dies umfasst konsequenterweise auch das Wissen darüber, woher ein Nutzer kommt (Sprache), welche Endgeräte verwendet (erforderlich für die Darstellung) oder welche Artikel, Videos oder sonstigen Elemente besonders häufig genutzt werden.
– Cookies zu Marketingzwecken
Der EuGH hat ansonsten im aktuellen Urteil nicht entschieden, unter welchen Voraussetzungen welche Cookies eine Einwilligung des Nutzers benötigen.
Was Cookies betrifft, die zu Marketingzwecken eingesetzt werden, etwa zur Analyse oder zur Durchführung von Trackingmaßnahmen, vertritt die deutsche Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine strenge Meinung. Danach erfordert der Einsatz von Mitteln, "die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen", in jedem Falle die vorherige Einwilligung der Nutzer nach Art. 6 Abs. 1 lit. a DSGVO. Danach wäre für das Setzen von Cookies o.ä. durch Analysedienste grundsätzlich eine Einwilligung einzuholen. Dies gilt vor allem, wenn Daten an Dritte weitergegeben oder Tracking-Pixel eingesetzt werden bzw. eine websiteübergreifende Zusammenführung personenbezogener Daten vorgenommen wird. Vgl. dazu die Orientierungshilfe der DSK vom 03. April 2019 unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.
Diese Auffassung stellt bislang erst einmal "nur" eine Behördenmeinung dar und wurde immer wieder kritisiert, da auch ein Tracking mitumfasst ist, das lediglich in pseudonymisierter Form, wie z.B. bei Google Analytics erfolgt.
Wie sollte man sich jetzt verhalten?
Wer in jedem Falle kein Risiko eingehen und abwarten will, bis es eine unstrittige Auffassung oder klare gesetzliche Regelungen zur Cookie-Thematik gib, sollte die Einwilligungen der Nutzer für Cookies in den Fällen einzuholen, wo Daten an Drittanbieter übermittelt werden (z.B. Google oder Facebook) und wo die Datenverarbeitung über die reine Analyse hinaus geht.
So könnte ein Cookie-Banner mit Einwilligung aussehen
Wie ein Cookie-Banner für Dienste wie z.B. Google-Analytics, Google AdSense oder auch z.B. Facebook – Custom Audience, aussehen könnte, ist hier dargestellt:
Das ist außerdem zu beachten
- Es müssen alle Dienste einzeln angegeben werden. Ob dazu auch die einzelnen Cookies aufgeführt werden müssen, ist streitig.
- Es dürfen keine vorab angeklickten Checkboxen zur Einwilligung verwendet werden.
- Technisch muss das Ganze so gestaltet sein, dass diese Cookies erst aktiv werden, wenn der Nutzer seine Einwilligung erteilt.
- Weiterhin muss in den Datenschutzerklärungen der Webseiten die Funktionsdauer angezeigt und der Zugriff durch Dritte auf die Daten dargestellt werden.
- Dem Nutzer muss – wenn Rechtsgrundlage des Cookie-Einsatzes das berechtigte Interesse des Verantwortlichen ist – eine Widerspruchsmöglichkeit (Opt-Out) zur Verfügung gestellt werden.
- Ist die Einwilligung die Rechtsgrundlage, muss der Nutzer auf sein jederzeitiges Recht hingewiesen werden, die Einwilligung wieder zu widerrufen.
To do
Betreiber von Webseiten müssen klären, ob und welche Cookies sie genau einsetzen. Werden Cookies zu Marketingzwecken eingesetzt, ist zunächst zu entscheiden, ob bereits jetzt der strengen Auffassung der Datenschutzbehörden gefolgt werden soll. Dann wäre ein Cookie-Banner zu installieren und damit die Einwilligung der Nutzer einzuholen. Anderenfalls – oder bei nur rein funktionalen Cookies – ist eine umfassende Information in die Datenschutzerklärung zu integrieren und zunächst auf ein Banner zu verzichten.