Mit dem Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 ist es nicht mehr erlaubt, Cookies zu setzen, zu denen der Nutzer im Voraus keine Einwilligung gab. So entschied der EuGH in der Rechtssache C-673/17 - Planet49. Demnach sind Cookie-Banner gemäß dem Schema „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden“ in vielen Fällen wohl nicht mehr ausreichend. Aber keine Panik – in diesem Beitrag zeigen wir Euch, was Ihr jetzt tun solltet.
Viele Cookies nur noch mit Zustimmung
Viele Websitebetreiber fragen sich zurzeit ob es ausreichend ist, wenn ihre Besucher dem Setzen von Cookies nachträglich widersprechen können oder ob tatsächlich eine vorherige Einwilligung erforderlich ist. Hier war der EuGH eindeutig: Besucher müssen ihre Zustimmung zu Cookies ausdrücklich erteilen. Auch ein vorangekreuztes Zustimmungs-Kästchen ist ungültig. Daneben macht es laut den Richtern keinen Unterschied, ob die gespeicherten Daten personenbezogen oder sogar anonymisiert sind; ohne Zustimmung sind laut dem Urteil fast alle Cookies untersagt.
Aber es gibt Ausnahmen. Denn gemäß Artikel 5 Abs. 3 der
E-Privacy-Richtlinie von 2002 dürften weiterhin Cookies ohne Einwilligung erlaubt sein, wenn nur durch sie der Betreiber den Dienst bereitstellen könne, den der Nutzer ausdrücklich wünscht. Kurz gesagt: Die Cookies müssen erforderlich sein. Leider gibt es keinen offiziellen Katalog, in welchem erlaubte Arten von Cookies genannt werden. Mutmaßlich fallen aber folgende darunter:
- Cookies für den Warenkorb eines Online-Shops
- Cookies für die Länder- und Sprachauswahl
- Cookies für den Login
- Cookies, die eine Einwilligung des Nutzers für Cookies speichern
Das ist schonmal eine Erleichterung.
Das müsst Ihr jetzt tun
Bevor Ihr an Eurem Cookie-Hinweis Änderungen vornehmt, prüft zunächst welche Cookies von Eurer Website tatsächlich gesetzt werden. Wenn Ihr Tracking-Tools wie „Google Analytics“ einsetzt, muss der Nutzer der Speicherung von Cookies nun zustimmen – das ist schade, denn auf diese Weise wird man als Website-Betreiber kein realistisches Bild mehr davon erhalten, was auf der eigenen Website vor sich geht. Allerdings gibt es auch Lösungen, bei denen keine Einwilligung erforderlich sein soll, so beim bekannten Tracking-Tool
etracker, das vom gleichnamigen Unternehmen aus Hamburg stammt.
Wenn man die eigenen Seiten durch Werbeanzeigen monetarisiert und hierfür Cookies gesetzt werden, ist die Einholung einer Einwilligung ebenfalls empfehlenswert. Allerdings hängt dies von der Ausgestaltung des Werbedienstes im jeweiligen Fall ab. Es ist grundsätzlich denkbar, Werbung auch ohne ein Erfordernis zur Einwilligung zu schalten; in diesem Fall sollten aber weder die IP-Adresse des Besuchers an den Werbeanbieter gesendet noch Cookies gesetzt werden.
Einwilligung einholen
Um Einwilligungen einzuholen bietet sich die Verwendung eines sogenannten „Consent“-Tools an
(„Consent“ = Englisch für „Zustimmung“). Viele dieser Tools werden kostenfrei angeboten. Dieses Tool müsst Ihr auf Eurer Website einbauen, anschließend wird Euren Besuchern ein Banner gezeigt, auf welchem sie beispielsweise auf „Zustimmen“ klicken können. Wichtig ist, dass das Tool dafür sorgt, dass wirklich erst nach einer Einwilligung des Nutzers Cookies gesetzt werden. Diese Einwilligung sollte DSGVO-konform protokolliert werden und bei Bedarf nachweisbar sein, falls ein Nutzer oder eine Datenschutzbehörde anfragen sollte. Neben der Einwilligung müssen Eure Besucher ausreichend informiert werden, beispielsweise über einen Link zu Eurer Datenschutzerklärung. Es muss beantwortet werden, a) Welche Daten zu welchem Zweck verarbeitet und gespeichert werden, b) Wie die Lebensdauer der Cookies festgelegt ist und c) Welche Dienstleister die Cookies verarbeiten.
Nicht geklärt wurde im Rahmen des Urteils die Frage, ob der Nutzer jedem einzelnen Cookie-Anbieter zustimmen muss oder ob sie in Gruppen zusammengefasst werden dürfen – beispielsweise in „Statistik“ oder „Werbung“. Dazu hat sich der EuGH nicht geäußert. Es heißt lediglich, dass alle Tools aufgelistet werden müssen. Selbstverständlich gelten auch weiterhin die Informationspflichten gemäß Art. 13 und 14 DSGVO. So muss u. a. angegeben werden, a) wer für die Website verantwortlich ist, b) zu welchem Zweck etwaige personenbezogene Daten erhoben werden sollen sowie die Rechtsgrundlage hierfür und c) welche Rechte der Nutzer hat. Das ist auch der Grund, weshalb der Cookie-Banner auf Eure Datenschutzerklärung verlinken sollte, denn dort habt Ihr genügend Platz um all das aufzuführen.
Jetzt gilt es auszuprobieren, mit welcher Bannergestaltung Ihr die besten Ergebnisse erzielt. Da Internetnutzer bereits heute die zahlreichen Cookie-Hinweise gewohnt sind, braucht Ihr Euch keine Sorgen zu machen, dass übermäßig viele entnervt Eure Seiten wieder verlassen werden. Haltet Euch bei der Bannergestaltung also nicht unnötig zurück – Lediglich von Overlays, die die gesamte Seite überdecken, raten wir Euch ab.
Dieser Beitrag stellt keine Rechtsberatung dar. Alle Angaben ohne Gewähr.