Das EuGH-Urteil zu Cookies – Was ist genau das Problem?
Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass Internetanbieter die Einwilligung ihrer Nutzer für Cookies nur dann wirksam einholen, wenn der Nutzer aktiv zustimmen kann (Urteil vom 1.10.2019 – C-673/17).
Im konkreten Fall hatte ein Unternehmen bei einem Online-Gewinnspiel zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Gewinnspielteilnehmer zugleich ihre Einwilligung in das Speichern von Cookies erklärten. Diese Cookies bzw. die darüber erhobenen Daten sollten zu Marketingzwecken verwendet werden. Dagegen hatte der deutsche Bundesverband der Verbraucherverbände geklagt.
Was hat der EuGH entschieden?
Der EuGH hat entschieden, dass die Einwilligung für Cookies aktiv erteilt werden muss. Die Einwilligung könne nicht über ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen müsse, wirksam erteilt werden.
Es komme auch nicht darauf an, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele oder nicht.
Das Unionsrecht schütze den Nutzer vor jedem Eingriff in seine Privatsphäre. Dies gelte insbesondere beim Schutz vor „Hidden Identifiers“ oder ähnlichen Instrumenten, die in das Gerät des Nutzers eindringen könnten.
Der EuGH stellt außerdem klar, dass der betroffene Nutzer u.a. auch zur Funktionsdauer der Cookies und zur Zugriffsmöglichkeit Dritter (z.B. Facebook oder Google) zu informieren ist.
Muss jetzt für jede Art von Cookie eine Einwilligung eingeholt werden?
– Rein funktionale Cookies
Der EuGH bezieht sich insoweit auf Art. 5 Abs. 3 die „alte“ EU-Cookie-Richtlinie (2002/58/EG) und entschied, dass rein technische Cookies, die der Herstellung der Funktionalität einer Website dienen, noch keine Einwilligung benötigen.
In der Richtlinie heißt es: „Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“
Ein Beispiel dafür wären Warenkorbcookies, mit denen der Warenkorb des Nutzers gespeichert werden kann.
Liegen daher die nachfolgenden Voraussetzungen vor, wird keine Einwilligung des Nutzers benötigt, sogar bei Analyse zu statistischen Zwecken:
- Keine Verknüpfung der Nutzerdaten mit Stammdaten/Registrierungsdaten des Nutzers
- Zweck ist ausschließlich die statistische Analyse
- Nutzungsdaten werden nicht zu eigenen Zwecken des Analysetool-Anbieters genutzt
- Definierte und begrenzte Speicherdauer
- Geringer Detaillierungsgrad der Nutzerdaten
- Keine Profilbildung, bei der dem Nutzer Merkmale und Interessen zugeordnet werden können
- Widerspruchsmöglichkeit des Nutzers (Opt-Out) wird zur Verfügung gestellt
Rechtsgrundlage wäre dann das sog. berechtigte Interesse gemäß Art. 6 I f) DSGVO, welches hier in der bedarfsgerechten Gestaltung der Website zu sehen ist. Dies umfasst konsequenterweise auch das Wissen darüber, woher ein Nutzer kommt (Sprache), welche Endgeräte verwendet (erforderlich für die Darstellung) oder welche Artikel, Videos oder sonstigen Elemente besonders häufig genutzt werden.
– Cookies zu Marketingzwecken
Was Cookies betrifft, die zu Marketingzwecken eingesetzt werden, etwa zur Analyse oder zur Durchführung von Trackingmaßnahmen, muss ab sofort eine ausdrückliche Einwilligung eingeholt werden.
Die deutsche Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ging bereits vor dem EuGH- Urteil davon aus, dass der Einsatz von Mitteln, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen“, in jedem Falle die vorherige Einwilligung der Nutzer einzuholen ist. Demnach ist für das Setzen von Cookies o.ä. durch Analysedienste grundsätzlich eine Einwilligung einzuholen. Dies gilt vor allem, wenn Daten an Dritte weitergegeben oder Tracking-Pixel eingesetzt werden bzw. eine websiteübergreifende Zusammenführung personenbezogener Daten vorgenommen wird.
Diese Auffassung wurde bislang immer wieder kritisiert, da auch ein Tracking mitumfasst ist, was lediglich in pseudonymisierter Form, wie z.B. bei Google Analytics erfolgt. Durch das aktuelle Urteil wird die Rechtsauffassung der Aufsichtsbehörde jedoch gestärkt.
Wie sollten Sie sich jetzt verhalten?
Zu empfehlen ist, die Einwilligungen der Nutzer für Cookies in den Fällen einzuholen, wo Daten an Drittanbieter übermittelt werden (z.B. Google oder Facebook) und wo die Datenverarbeitung über die reine Analyse hinaus geht.
So könnte ein Cookie-Banner mit Einwilligung aussehen
Wie ein Cookie-Banner für Dienste wie z.B. Google-Analytics, Google AdSense oder auch z.B. Facebook – Custom Audience, aussehen könnte, können Sie hier sehen:
https://res-media.net/Beispiel-Cookie-Banner/
Das ist außerdem zu beachten
- Es müssen alle Dienste einzeln angegeben werden.
- Es dürfen keine vorab angeklickten Checkboxen zur Einwilligung verwendet werden.
- Technisch muss das Ganze so gestaltet sein, dass diese Cookies erst aktiv werden, wenn der Nutzer seine Einwilligung erteilt.
- Weiterhin müsste in den Datenschutzerklärungen der Webseiten die Funktionsdauer angezeigt und der Zugriff Dritter dargestellt werden.
- Bei Diensten wie Google Analytics oder Facebook Pixel ist als Rechtsgrundlage zur Datenverarbeitung künftig die Einwilligung im Rahmen der Datenschutzerklärung zu verwenden, d.h. ggf. ist die Anpassung der Datenschutzerklärung erforderlich.
Ihr To do
Klären Sie, ob und welche Cookies Sie einsetzen. Bauen Sie ein entsprechendes Cookie-Banner ein oder aktualisieren Sie bereits bestehende Banner.