Mit dem Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 ist es nicht mehr erlaubt Cookies zu setzen, zu denen der Nutzer im Voraus keine Einwilligung gab. Das entschied der EuGH. Doch bevor Panik um sich greift: In diesem Beitrag erfahren Sie, was genau entschieden wurde – und was Sie als Website-Betreiber jetzt tun müssen.
„Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden“. Klappt dieses Banner zuerst auf Ihrer Website auf, könnten Sie bald aufgefordert werden, das zu ändern – denn mit dem Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 ist es nicht mehr erlaubt Cookies zu setzen, zu denen der Nutzer im Voraus keine Einwilligung gab. So entschied der EuGH in der Rechtssache C-673/17 – Planet49. Doch bevor Panik um sich greift: In diesem Beitrag erfahren Sie, was genau entschieden wurde; und was Sie als Website-Betreiber jetzt tun müssen.
Keine Cookies ohne Zustimmung
„Opt-out“ oder „opt-in“? Oder: Reicht es, wenn der Nutzer einer Seite den Cookies widersprechen kann oder muss er diesen aktiv zustimmen? Hier war der EuGH eindeutig: Der Besucher muss seine Zustimmung zu den Cookies ausdrücklich erteilen – auch ein vorangekreuztes Zustimmungs-Kästchen ist rechtswidrig. Außerdem macht es keinen Unterschied, ob die gespeicherten Daten personenbezogen sind oder anonymisiert; ohne Zustimmung sind somit fast alle Cookies verboten.
Cookies, die keiner Zustimmung bedürfen
Trotzdem gibt es Ausnahmen. Gemäß Artikel 5 Abs. 3 der E-Privacy-Richtlinie von 2002 sollten Cookies ohne Einwilligung des Nutzers dennoch erlaubt sein, wenn nur dadurch der Betreiber den Dienst bereitstellen könne, den der Nutzer ausdrücklich wünscht. Kurz: Die Cookies müssen erforderlich sein. Leider gibt es von offizieller Seite keinen Katalog, in welchem erlaubte Arten von Cookies aufgeführt werden.
Mutmaßlich fallen jedoch folgende darunter:
- Cookies für den Warenkorb eines E-Shops
- Cookies für die Länder- und Sprachauswahl
- Cookies für den Login
- Cookies, die eine Einwilligung des Nutzers für Cookies speichern
Das müssen Website-Betreiber jetzt tun
Zunächst sollte überprüft werden, ob Änderungen überhaupt notwendig sind. Wenn Tracking-Tools wie „Google Analytics“ eingesetzt werden, muss der Nutzer dem Speichern seiner Daten nun zustimmen – leider, denn auf diese Weise wird man als Website-Betreiber kein realistisches Bild mehr davon erhalten, was auf der eigenen Website vor sich geht. Allerdings gibt es auch Lösungen, bei denen keine Einwilligung erforderlich sein soll – beispielsweise etracker, ein großer Tracking-Tool-Anbieter aus Hamburg.
Wenn auf den eigenen Seiten Werbung geschaltet wird und hierfür Cookies gesetzt werden, ist die Einholung einer Einwilligung ebenfalls empfehlenswert. Allerdings hängt es von der konkreten Ausgestaltung des Werbedienstes seitens des Anbieters ab. Die Möglichkeit der Werbeschaltung ohne das Erfordernis einer Einwilligung wäre grundsätzlich denkbar; in diesem Fall sollte allerdings nicht die IP-Adresse des Seitenbesuchers an den Werbeanbieter gesendet und idealerweise auf Cookies verzichtet werden.
Einholung einer Einwilligung
Für die Einholung einer Einwilligung bieten sich sogenannte „Consent“-Tools an („Consent“ ist Englisch und bedeutet „Zustimmung“). Viele dieser Tools können kostenfrei genutzt werden. Dieses Tool müssen Sie auf Ihrer Website implementieren, woraufhin Ihren Besuchern ein Banner angezeigt wird, auf welchem der Nutzer auf „Zustimmen“ klicken kann. Zu beachten ist, dass das Tool dafür sorgt, dass tatsächlich erst nach einer Zustimmung des Nutzers Cookies gesetzt werden. Die Einwilligung wird DSGVO-konform protokolliert und ist daher nachweisbar, falls der Nutzer oder eine Datenschutzbehörde anfragen sollte. Neben der Einwilligung müssen Sie Ihren Besuchern, beispielsweise über einen Link zu Ihrer Datenschutzerklärung, u. a. folgende Fragen beantworten: Welche Daten werden zu welchem Zweck verarbeitet und gespeichert? Wie ist die Lebensdauer der Cookies? Welche Dienstleister verarbeiten die Cookies? Abgedroschene Sätze wie „Wir nehmen Ihre Privatsphäre sehr ernst“ allein nützen nichts. Wichtig ist, dass der Nutzer ausreichend informiert wird.
Eine letzte Frage bleibt bei dem ganzen Thema strittig: Muss der Nutzer jedem einzelnen Cookie-Anbieter zustimmen oder darf man sie in Gruppen zusammenfassen – beispielsweise „Statistik“ oder „Online-Marketing“? Dazu hat der EuGH keine Entscheidung gefällt. Er sagt lediglich, dass alle Tools aufgelistet werden müssen. Auch die Informationspflichten aus Artikel 13 und 14 der DSGVO gelten weiterhin: Wer ist für die Website verantwortlich? Zu welchem Zweck werden etwaige personenbezogene Daten erhoben und wie lautet die Rechtsgrundlage hierfür? Welche Rechte hat der Nutzer? Auch deshalb sollte das Cookie-Banner auch auf die Datenschutzerklärung verlinken – die Datenschutzerklärung sollte außerdem genaue Angaben zum Consent-Tool enthalten.
Für Sie als Websitebetreiber empfiehlt es sich herauszufinden, mit welcher Ausgestaltung des Cookie-Banners Sie die besten Ergebnisse erzielen. Testen Sie und probieren Sie aus! Auf welche Consent-Tools sprechen Nutzer wie an? Welche Ausgestaltung führt zu den meisten Zustimmungen? Aus unserer Erfahrung kann man mit der richtigen Ausgestaltung sehr gute Ergebnisse erzielen, ohne dabei die Besucher zu vergrämen.
Ab wann gelten die Regelungen?
Am 1. Oktober hat der EuGH entschieden; allerdings scheiden sich die Geister an der Frage, ob die Regelungen schon jetzt gelten oder ob erst der Bundesgerichtshof entscheiden muss – letzterer hatte nämlich im o. g. Fall den EuGH angerufen. Manche sind der Meinung, dass die Entscheidung des EuGH unmittelbare Wirkung entfalte; andere wiederum warten stattdessen auf die Entscheidung des BGH. Gleichzeitig sollte man wissen, dass das Bundeswirtschaftsministerium momentan an Vorschlägen zur gesetzlichen Neuregelung von Online-Tracking & Co. arbeitet. Das ist lobenswert, denn auf diese Weise werden verbindliche Regeln aufgestellt, an denen sich jeder Website-Betreiber orientieren kann. Zurzeit gibt es quasi im Wochentakt neue Urteile zum Thema Cookies & Co., wodurch Website-Betreiber immer wieder zu neuen, teils kostenintensiven Anpassungen gezwungen werden. Dadurch bleibt immer weniger Zeit, sich um das eigentliche Geschäft zu kümmern. Es bleibt zu hoffen, dass der Staat klare Regeln verabschiedet, die für beide Seiten gut sind – für den Nutzer und für die Wirtschaft.
Dieser Beitrag wird ohne Gewähr bereitgestellt. Er stellt keine Rechtsberatung dar. Möchten Sie einen Cookie-Banner auf Ihren Seiten implementieren, der den neuen Anforderungen entspricht? Sprechen Sie uns an, wir unterbreiten Ihnen ein unverbindliches Angebot.