COOKIE-URTEIL DES EUGH
Auswirkungen des Urteils vom 1. Oktober zu Cookies und Einwilligung auf Ihrer Webseite
Datenschutz Update zum Thema „Cookies, der EuGH und die Frage nach der Einwilligung“ - heute aus brandaktuellem Anlass:
Der Europäische Gerichtshof (EuGH) hat sich am 1.10.2019 in seinem mit Spannung erwarteten „Planet49-Urteil“ zum Thema „Cookies und Einwilligung“ geäußert. Es ging in dem Urteil kurz gesagt um die Frage, wie die Einwilligung in Cookies genau auszusehen hat und welche Informationen zu den gesetzten Cookies der Besucher einer Webseite bekommen muss.
Der EuGH sagt nicht, dass alle Cookies immer nur mit Opt-In gesetzt werden dürfen!
Der EuGH hat, anders als in vielen anderen Beiträgen herausposaunt, keineswegs gesagt, dass für alle Cookies immer unbedingt eine ausdrückliche Einwilligung bzw. ein Opt-In erforderlich ist.
Es ging in dem Urteil nicht darum, ob und für welche Cookies eine Einwilligung erforderlich ist, sondern lediglich darum, wie so eine Einwilligung auszusehen hat für den Fall, dass eine Einwilligung für das ein oder andere Cookie tatsächlich erforderlich sein sollte.
Wenn schon Einwilligung – dann laut und deutlich
Die entscheidende Aussage des Urteils ist, dass eine Einwilligung in das Setzen von Cookies aktiv und eindeutig erfolgen muss. Der Besucher der Webseite muss laut und deutlich bzw. aktiv und bewusst zum Ausdruck bringen, dass er gerne Cookies hätte – und zwar bevor Cookies gesetzt werden.
Die weitverbreiteten Cookie- Banner mit Formulierungen wie „Durch die weitere Benützung unserer Webseite willigen Sie in das Setzen von Cookies ein.“ können damit endgültig eingemottet werden. Diese Form der untergeschobenen Einwilligung funktioniert eindeutig nicht. Eine wirksame Einwilligung kann so nicht fingiert werden.
Einwilligung für Cookies nur für nicht unbedingt erforderliche Cookies
Die Datenschutzaufsichtsbehörden haben schon länger klar und deutlich gesagt (z.B. die Datenschutzkonferenz:
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf), dass Cookies, die für den Betrieb einer Webseite nicht unbedingt erforderlich sind, nur mit ausdrücklicher Einwilligung des Users gesetzt werden dürfen. Das heißt aber gleichzeitig auch, dass Cookies, die unbedingt erforderlich sind für den Betrieb bzw. die Darstellung einer Webseite eben gerade keine Einwilligung benötigen.
Welche Cookies sind unbedingt erforderlich?
Die entscheidende Frage ist also, welche Cookies denn unbedingt erforderlich sind und welche nicht.
Recht eindeutig dürften Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. Warenkorbinhalte, Login-Daten etc.), und Cookies für die Wiedergabe von Medieninhalten „unbedingt erforderlich“ sein und keine ausdrückliche Einwilligung benötigen.
Spannender wird es bei Website-Analytics bzw. Tracking, also bei Cookies, mit denen ausgewertet wird, wie Webseiten genutzt werden. Wenn man auf Nummer sicher gehen möchte, holt man für jede Form von Website-Analytics bzw. Tracking, sei es E-Tracker, Google Analytics, Matomo, Webtrekk oder sonst ein Dienst, lokal gehostet oder beim Anbieter, mit oder ohne IP-Anonymisierung, die ausdrückliche Einwilligung des Nutzers ein.
Es lässt sich aber durchaus auch darlegen, dass die Analyse des Nutzungsverhaltens als erforderlich anzusehen ist, um die Webseite den Bedürfnissen der Besucher entsprechend zu optimieren und zur Verfügung zu stellen. Und wenn man dann ein lokal gehostetes Analytics-Tool betreibt, mit dem man nur die absolut erforderliche Mindestmenge an Daten erhebt, möglichst auch noch anonymisiert, dann könnte man schon zu dem Ergebnis kommen, dass dafür nicht zwingend ein Opt-In erforderlich sein muss. Aber das ist eine wacklige Brücke und mit einem gewissen Risiko verbunden.
Auch bei Cookies aus eingebetteten Videos (z.B. von YouTube oder Vimeo) lässt sich sicherlich lebhaft diskutieren, inwieweit diese „erforderlich“ sind, um die Webseite zur Verfügung zu stellen. Auch hier gilt aber natürlich: der sicherste Weg ist das Einholen einer ausdrücklichen Einwilligung.
Beim Remarketing und Retargeting, am besten noch geräteübergreifend und mit umfangreicher Profilbildung, wird sich auch der findigste Winkeladvokat äußerst schwer tun, eine „unbedingte Erforderlichkeit“ für den Betrieb der Webseite zu belegen. Hier ist das Erfordernis einer Einwilligung ganz eindeutig gegeben.
Handlungsempfehlung
Wie so oft gilt auch hier: Kein hektischer Aktionismus, keine Panik, tief durchatmen, und dann entscheiden, wie es weitergeht mit Ihren Cookies.
Schauen Sie sich an, welche Cookies auf Ihrer Webseite zum Einsatz kommen und wofür diese eigentlich gesetzt werden.
Cookies, die man nicht oder nicht mehr benötigt, sollte man unbedingt entfernen. Mit Daten, die man nicht erhebt, kriegt man auch keinen Ärger.
Bei den verbleibenden Cookies muss man dann unterscheiden, ob es sich um unbedingt erforderliche Cookies handelt, ohne die Sie Ihre Webseite nicht zur Verfügung stellen können, oder ob die Zwecke, die mit den Cookies verfolgt werden, lediglich „nice to have“ sind.
Bei den „nice to have“-Cookies lautet die Empfehlung, sich die ausdrückliche Einwilligung Ihrer Nutzer einzuholen – und zwar bevor Sie die Cookies auf das Endgerät des Nutzers packen.
Information und Transparenz
Die Einwilligung hat dann nicht nur ausdrücklich zu sein, sondern auch informiert. Sie müssen den Nutzer detailliert informieren, welche Cookies bzw. Kategorien von Cookies sie einsetzen, von wem die Cookies eigentlich gesetzt werden, ob die Cookies also von Ihnen oder von einem Drittanbieter gesetzt werden (sogenannte First- oder Third-Party Cookies), was die Cookies genau machen und wie lange sie gespeichert bleiben. Diese Informationspflichten bestehen unabhängig vom Einwilligungserfordernis auch bei unbedingt erforderlichen Cookies. Diese Informationen können detailliert in der Datenschutzerklärung gegeben werden.
Cookie-Consent-Tools
Technisch lässt sich das Einholen der Einwilligung am Besten mittels eines Consent-Tools bewerkstelligen. Es gibt hier inzwischen zahlreiche Anbieter. Die meisten dieser Consent-Tools ermöglichen es, einzelne Cookies oder Kategorien von Cookies nur nach ausdrücklicher Einwilligung des Nutzers zu setzen und die Einwilligung des Nutzers auch detailliert zu dokumentieren.
Persönliche Anmerkung
Wir denken nicht, dass es zu mehr Transparenz und zu mehr Datenschutz führt, wenn man im Internet an jeder Ecke mit ausufernden Datenschutzinformationen im schlimmsten Juristenjargon zugeschüttet wird. Ein Overkill an Datenschutzinformationen führt nur dazu, dass die Betroffenen diese ausblenden und überhaupt nicht mehr wahrnehmen.
Laut einer Studie der Uni Bochum: https://raidboxes.de/cookie-banner-studie/ liegt die Einwilligungs-Quote bei rechtskonformen Cookie-Bannern bei beeindruckenden 0,1%. Wir haben hier offenbar einen tiefen Graben zwischen
Theorie und Praxis.
Abhilfe schafft vielleicht hoffentlich dann irgendwann die längst überfällige ePrivacy-Verordnung, die in Ergänzung zur DSGVO „alles rund ums Internet“ regeln soll. Zu wünschen bleibt, dass in der ePrivacy-Verordnung geregelt würde, dass Browser-Einstellungen zur Cookie-Akzeptanz als wirksames Opt-In gesehen werden kann. Dann wären wir das Dickicht an Cookie-Bannern auch wieder los. Leider wird es noch eine ganze Zeit dauern, bis die ePrivacy-Verordnung kommt (so sie es überhaupt durch die Mühlen der europäischen Legislative schafft). Und ob sie uns dann erlösen wird von den Cookie-Bannern, ist auch noch ganz und gar nicht ausgemacht. Es bleibt also spannend.
Ein Gastbeitrag der Kanzlei g3s Rechtsanwälte, München (Christian Schmoll, Conrad Graf) – www.g3s.legal
