EuGH Urteil zu Cookie Hinweisen & Lösungsalternativen

Der EuGH hat DSGVO-Unsicherheiten zum Cookie-Hinweis beseitigt: Nutzer müssen Einwilligungen aktiv erteilen – bereits angekreuzte Vorlagen gelten nicht! Was bedeutet das für Website-Betreiber? Die wichtigsten Antworten. Muss sich nach dem EuGH-Urteil jeder Website-Betreiber mit dem Thema Cookie-Hinweis befassen?

Das Thema ist leider sehr umfangreich. Details auch zu Lösungsalternativen erhalten Sie hier. Nach der Klarstellung des höchsten europäischen Gerichts verstoßen ca. 80% der aktuellen Web-Seiten gegen die DSGVO. Dies ist leider recht einfach mittels Software herauszufinden, weshalb nun die Anzahl von Bußgeldbescheiden wieder ansteigen wird. Über Abmahnungen möchte ich an dieser Stelle nicht spekulieren. Wenn dann im kommenden Jahr die ePrivacy Verordnung in Kraft tritt, werden die Herausforderungen an dieser Stelle noch einmal maximiert.

Nach dem Urteil der Richter am Europäischen Gerichtshof (AZ C-673/17, einfach erklärt in dieser Pressemitteilung) ist klar: Mit Cookie-Hinweisen müssen sich alle Website-Betreiber beschäftigen, die auf ihrer Seite mehr bieten als reine Informationen – inzwischen also so gut wie alle. Sobald eine Website beispielsweise ein Youtube-Video zeigt, dass Google-Maps-Tool auf der Anfahrts-Seite nutzt, die Reichweite mit Google Analytics misst, die Kontaktaufnahme anbietet oder einen Online-Shop bereitstellt, setzt sie Cookies ein – und darüber müssen Nutzer laut Datenschutzgrundverordnung(DSGVO) informiert werden.

Was sind Cookies?

Cookies sind Textdateien, die Webbrowser auf dem Computer von Nutzern speichern. Besucht ein Nutzer eine Website zum ersten Mal, wird ein Cookie im Browser angelegt, der Informationen sammelt. Zu diesen Daten gehört eine zufällig erstellte Nummer, über die eine Website den Nutzer quasi wiedererkennt, wenn dieser sie ein zweites Mal aufruft. Cookies speichern zudem etwa Einstellungen, die der Nutzer auf der Website vorgenommen hat (beispielsweise zur Sprache), Angaben zur Zeit, die er auf der Seite verbracht hat – sowie persönliche Daten, die Nutzer über Formulare selbst eingegeben haben, etwa Name und Email-Adresse. Zudem legen Cookies Informationen zur Frage ab, welche Unterseiten ein Nutzer besucht oder welche Begriffe er in die Suchmaske eingibt. Allein mithilfe solcher Cookies ist es etwa möglich, im Online-Shop einen Warenkorb zwischen zu speichern, die Reichweite einer Seite zu messen – oder personalisierte Werbeangebote einzublenden.

Was ist ein Cookie-Hinweis?

Website-Betreiber sind laut DSGVO verpflichtet, Nutzer darüber aufzuklären, wenn ihre Seite Cookies nutzt, welche Daten diese speichern – und inwieweit sie an Dritte weitergeleitet werden. Eine beliebte Möglichkeit, diese Pflicht zu erfüllen, ist der Cookie-Hinweis, auch Cookie-Banner genannt: eine Einblendung auf der Homepage, die Besucher darüber informiert, dass die Website Cookies setzt – und auf die Datenschutzerklärung mit genaueren Angaben verweist.

Wie war die Rechtslage in Sachen Cookie-Hinweis bisher?

Das große Problem: Die meisten der aktuell genutzten Cookie-Banner sind nicht konform mit dem Datenschutzrecht. Das hat vor allem drei Gründe:

  1. Die DSGVO regelt zwar grundsätzliche Pflichten von Website-Betreibern – was genau das für den Cookie-Hinweis bedeutet, ist jedoch umstritten.
  2. Es fehlen derzeit einheitliche europäische Regelungen zu Cookies, da die geplante ePrivacy-Verordnung bislang nicht verabschiedet ist. Sie soll beispielsweise vorgeben, dass insbesondere Tracking-Cookies nur mit Einwilligung der Nutzer zulässig sind.
  3. Die meisten Cookie-Banner bieten dem Nutzer derzeit keinerlei Einflussmöglichkeit. Ob er auf „akzeptieren“ klickt oder nicht – das Tracking läuft so oder so. Nur in den wenigsten Fällen können Website-Besucher eine Auswahl treffen, welche Cookies sie akzeptieren und welche nicht.

Entsprechend ernüchternd fällt das Urteil von Experten aus: „Aktuell gleicht die Cookie-Praxis dem Autofahren ohne Sicherheitsgurt vor der Anschnallpflicht: Es gibt keine Vorschriften, jeder macht in Wildwest-Manier, was er will – und beruft sich dabei auf die sogenannte Interessensabwägung.“, so ein spezialisierter Rechtsanwalt aus München.

Was bedeutet das aktuelle Urteil für die Rechtslage zum Cookie Hinweis?

In dem aktuellen Verfahren vor dem Europäischen Gerichtshof (EuGH, AZ: C673/17, Stand: Oktober 2019) haben die Richter folgendes geregelt: Entscheiden sich Website-Betreiber dafür, Nutzern die Möglichkeit zu geben, in die jeweilige Cookie-Praxis einzuwilligen, dann reicht es nicht, ein voreingestelltes, angekreuztes Kästchen zu präsentieren, das der Nutzer abwählen muss, um seine Einwilligung zu verweigern (die sogenannte „Opt-out“-Lösung). Dies verstoße gegen die Bestimmungen der DSGVO: Sie schreibt vor, dass Nutzer ihre Einwilligung aktiv erteilen müssen. Und das, so die Richter, gehe nur, indem Website-Betreiber darüber informieren, welche Art Cookies sie nutzen – und dem Nutzer die Möglichkeit geben, selbst über Anklick-Boxen zu entscheiden, mit welchen Cookies sie einverstanden sind (die sogenannte „Optin“-Lösung). Außerdem entschieden die Richter: Website-Betreiber haben die Pflicht, die Nutzer ihrer Seiten klar und umfassend darüber zu informieren, welche Art Cookies wie lange genutzt werden – und inwieweit, sowie für welche Dauer Dritte Zugriff auf die erhobenen Daten erhalten. Damit folgten die Richter dem Schlussantrag des Generalanwalts. Dieses Urteil zeigt deutlich auf, wo die Reise hingeht. Jetzt ist klar: Es werden weitere konkrete Regelungen in Sachen Datenschutz bei Cookie-Hinweisen kommen – und unter Umständen erfordern, dass die Website-Betreiber neue technische Lösungen nutzen, die einen höheren Aufwand und höhere Kosten bedeuten. Der Druck auf sie ist mit diesem Urteil deutlich gestiegen.

Wenn die meisten aktuellen Cookie-Hinweise gegen Datenschutzrecht verstoßen – droht eine Bußgeld-Welle?

Mit dem aktuellen Urteil des EuGH ist das Risiko deutlich gestiegen, wegen eines unzureichenden oder fehlenden Cookie-Hinweises eine Abmahnung und ein Bußgeld zu kassieren. Auch wenn der EuGH in seinem Urteil gar nicht darüber entschieden hat, ob Website-Betreiber überhaupt generell für Cookies eine Einwilligung einholen müssen, so haben Verbraucherschutz-Verbände und Aufsichtsbehörden durch die Erklärungen der Richter massiven Rückenwind bekommen.

Viele haben die Entscheidung des EuGH noch abgewartet und fühlen sich nun gestärkt in ihrer Einschätzung, dass die gängige Cookie-Praxis nicht in Ordnung ist. Und das wird sich natürlich darin äußern, dass Behörden und Verbände mehr Verfahren anstrengen.

Info:  curia.europa.eu/jcms/upload/docs/application/pdf/201910/cp190125de.pdf

Lösungsalternativen

Was sollten Website-Betreiber in Sachen Cookie-Hinweis unternehmen, um Bußgeldern vorzubeugen?

Sollte eine Aufsichtsbehörde eine Website unter die Lupe nehmen, funktioniert eine Argumentation à la „Aber andere Seiten nutzen doch auch Cookies ohne Cookie-Hinweis“ nicht. Um das Risiko zu verringern, empfehle ich eine der folgenden Lösungen.

Die Basis-Lösung (mit Restrisiko!)

  • Schritt 1:Als erstes sollten Website-Betreiber prüfen, ob ihre Seite Cookies setzt. Wenn ein Programmierer die Homepage erstellt hat und diese allein Informationen zum Unternehmen bietet, müssen Betreiber nichts fürchten. Allerdings: Ist eine Website nach dem Homepage-Baukasten-Prinzip erstellt, weist sie häufig voreingestellte Plug-ins auf, die nicht rechtskonform sind. Sogenannte Tracking-Detektoren wie CookieMetrix oder Ghostery helfen, die eigene Seite zu prüfen. Zudem sollten Betreiber beim Anbieter nachfragen, welche Cookies die Seite setzt – und ihn auffordern, diese zu entfernen, wenn sie nicht zwingend nötig sind (etwa für einen Warenkorb). Passiert das nicht, ist ein Anbieter-Wechsel die sicherste Option. Hat ein Programmierer die Seite erstellt, sollten Website-Inhaber diesen nach der aktuellen Cookie-Hinweis-Praxis fragen – und danach, inwieweit sich der Cookie-Gebrauch stoppen ließe.
  • Schritt 2:Der Website-Anbieter will die Cookies nicht entfernen – und ein Wechsel wäre zu aufwändig? Oder ein Verzicht auf Cookies ist unmöglich, weil die Seite etwa einen Online-Shop präsentiert? Dann sollten Website-Betreiber einen ausführlichen Cookie-Hinweis auf der Startseite einblenden – und darin auf die Datenschutzerklärung verlinken. Wer bereits einen kurzen Cookie-Hinweis ohne Link hat, sollte diesen ergänzen. Die laut DSGVO gesetzlich vorgeschriebene Datenschutzerklärung muss dann einen ausführlichen Abschnitt zum Thema Cookies aufweisen: Unternehmer sollten hier erklären, dass sie sich auf Grundlage der Interessensabwägung für den Gebrauch von Cookies entschieden haben. Und anschließend genau benennen, welche Cookies die Seite setzt, welche Daten diese konkret erheben und welche eingebundenen Plug-ins und Tools von Drittanbietern Cookies nutzen.
    Hier sollte außerdem stehen, welcher Kategorie die einzelnen Cookies angehören – ob es sich also etwa um Sitzungs-Cookies (oder „SessionCookies“) handelt, die automatisch gelöscht werden, wenn der Nutzer die Sitzung beendet. Oder beispielsweise um permanente Cookies (oder „ProtokollCookies“), die etwa persönliche Einstellungen von Nutzern wiederherstellen – und erst nach einem definierten Ablaufdatum verschwinden. Sollte je eine Aufsichtsbehörde eine Website in den Blick nehmen, hilft eine solche Datenschutzerklärung zu belegen, dass der Inhaber überhaupt etwas getan hat, um die Rechte der Nutzer zu wahren – dies könnte sich wie im ersten Teil der Info dargestellt mindernd auf evtl. Bußgelder auswirken.
  • Schritt 3:Sofern die Homepage ein Kontaktformular bereitstellt, sollte die Datenerhebung zwischen Website und Besucher verschlüsselt erfolgen – nach aktuellem „TLS“-Standard. Auch das hilft, im Zweifelsfall vor Aufsichtsbehörden zu bestehen. Diese Lösung lässt sich relativ schnell umsetzen. Website–Betreiber, die sie wählen, müssen sich jedoch darüber im Klaren sein, dass das Restrisiko auf eine Abmahnung nach dem aktuellen EuGH-Urteil deutlich gewachsen ist. Diese Option ist eher eine Übergangslösung. Sobald der EuGH darüber entschieden hat, ob generell eine aktive Einwilligung zu Werbe- und ThirdParty-Cookies der Nutzer erforderlich ist, müssen Website-Betreiber diese Lösung zugunsten eines Consent-Banners umbauen.

Die Premium-Lösung (ohne Restrisiko)

  • Schritt 1:Website-Betreiber lassen ihren Programmierer statt eines Cookie-Hinweises ein sogenanntes „Consent-Banner“ („Consent“ = „Zustimmung“) gestalten: Dieses ist der eigentlichen Website vorgeschaltet und informiert über die verschiedenen Arten und Funktionen der genutzten Cookies (s. oben). Außerdem holt es über Checkboxen die aktive Einwilligung des Besuchers ein: Dieser muss bei jeder Art von Cookie ein Häkchen setzen („Opt-in“), um sein Einverständnis dafür zu erteilen, dass dieses gesetzt wird. Oder er lässt es – und lehnt damit die Einwilligung aktiv ab. Wichtig: Ein Hinweistext auf dem Consent-Banner sollte deutlich machen, dass sich die Einwilligung jederzeit widerrufen lässt. Nur so ist garantiert, dass Besucher ihre Einwilligung „vorab, freiwillig, aktiv und mit dem Wissen um das Recht auf Widerruf“ erteilen, wie es die DSGVO vorschreibt.
  • Schritt 2:Nun sollten Website-Betreiber eine umfangreiche Datenschutzerklärung erstellen, die das Thema Cookies aufgreift (s. Schritt 2 der Basis-Lösung). Website-Betreiber, die beide Schritte umsetzen, kommen damit jener Pflicht nach, die die Richter des EuGH in ihrem Urteil formuliert haben. Wie kommen Website-Betreiber an Muster für gute Cookie Hinweistexte? Es stehen verschiedene, teilweise kostenlose Generatoren bereit, um den Cookie-Hinweis-Text möglichst konkret an die individuelle Cookie-Praxis von Website-Inhabern anzupassen – wie etwa avalex.de oder DatenschutzGenerator.de. Diese eignen sich für die allermeisten Seiten. Wer jedoch beispielsweise einen Online-Shop betreibt oder seine Seite über personalisierte Werbung finanziert, sollte sich unbedingt von einem IT Rechtsexperten beraten lassen. Die Kosten für einen anwaltlich formulierten Cookie-Hinweis samt Datenschutzerklärung liegen in einfachen Fällen zwischen 300 und 600 Euro. Des Weiteren gibt es inzwischen Tools, welche die Rechtskonformität mittels regelmäßiger Überprüfung garantieren und quasi als „Abfallprodukt“ die umfängliche Datenschutzerklärung liefern bzw. aktuell halten.

Kontaktieren Sie uns, wir unterstützen gerne und haben implementierbare Lösungen parat.

Verschlagwortet mit#banner#Cookiescookie-urteilEuGHlösungen

Share on facebook
Share on twitter
Share on linkedin

Ähnliche Beiträge

Georg W. Appel

CEO
Datenschutzauditor & Datenschutzbeauftragter

Ihr Spezialist für Datenschutz, Datensicherheit und vieles mehr.

Meine Empfehlung
Termin

Kostenloses Beratungsgespräch

Select service*
Datum*
Ihre E-Mail Adresse*