DAS EUGH-URTEIL ZUM
SETZEN VON COOKIES

Kekse auf einer Tischdecke

WAS HEISST DAS JETZT FÜR MEINE WEBSITE

Die nächste Klärung zur Cookie-Frage kam diesen Monat vom Europäischen Gerichtshof (EuGH). Der hat in einem Urteil festgestellt, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Dies gilt unabhängig davon, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analyse zwecken), sei eine aktive Einwilligung des Nutzers erforderlich. Das Erfordernis einer „Willensbekundung“ der betroffenen Person deute auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziere aber kein aktives Verhalten eines Nutzers.

Auch ließ der EuGH die Begründung nicht gelten, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsse die explizite Zustimmung zur Datenverarbeitung erteilt werden. Der Gerichtshof stellt ferner klar, dass Webseitenbetreiber gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen müssen.

Weiter ohne Einwilligung erlaubt sind so genannte First-Party-Cookies, die für eine Website erforderlich sind. Das sind z.B.:

  • Warenkorb-Cookies
  • Cookies für LogIns
  • Cookies die eine Länder- oder Sprachauswahl betreffen
  • Cookies, die Consent-Tools für die Cookie-Einwilligung setzen

Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt s

  • Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent-Tools) blocken
  • Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden
  • Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein
  • Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden
  • Stellen Sie Ihr Consent-Tool in Ihrer Datenschutzerklärung dar

Dieses Urteil bezieht sich auf einen spezifischen Fall,hat aber weiterführende Konsequenzen auf Cookies allgemein. Daher bleiben einige spezielle Fragen noch offen, z.B. wenn ein notwendiger Cookie für einen Warenkorb gesetzt wird, muss es ein Session-Cookie sein, der nach dem Bestellvorgang wieder gelöscht wird, oder kann er für den Fall eines erneuten Einkaufs permanent gesetzt werden?

Bis Gerichte bzw. Gesetzte solche Fragen abschließend klären, sollte man sich nach den Interpretationen der Datenschutzämter richten, denn letztlich bewerten diese, ob ein Verstoß vorliegt oder nicht.

Die Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg lauten:

  • Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das
  • Die Einwilligung darf nicht voreingestellt sein – ein Opt-in im Sinne einer informiert, freiwillig, vorherig, aktiv und separat erklärten Einwilligung ist notwendig.
  • Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
  • Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
  • Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
  • Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.

Konkrete, rechtssichere Handlungsanweisungen, die ein stabiles Haltbarkeitsdatum haben, werden erst mit verschiedenen Gerichtsurteilen in den nächsten 2-3 Jahren zu erwarten sein. Bis dahin gibt es vielleicht auch eine ePrivacy-Verordnung, die Dinge klärt, die bis jetzt nur aus der DSGVO abgeleitet werden können. Bis dahin ist man nur auf der sicheren Seite, wenn man den Empfehlungen der Landesdatenschutzämter folgt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.