Neues Urteil des EuGH: Einwilligung bei Cookie-Bannern
Anfang Oktober hat der Europäische Gerichtshof (EuGH) ein neues Urteil verkündet, durch welches die Nutzung von Cookies im Internet verschärft werden soll. Mögliche Folgen bei Nichteinhaltung der neuen Vorgaben sind Abmahnungen und Bußgelder. Diese neuen Bestimmungen werden allerdings in Deutschland nicht sofort in Kraft treten, der EuGH hat den deutschen Gerichten bisher lediglich Leitlinien mitgegeben. Bis hierzu entsprechende deutsche Urteile verabschiedet werden, sollten sich Webseitenbetreiber dennoch unbedingt auf die Auswirkungen vorbereiten. Welche das genau sind beleuchten wir in Kooperation mit dem Wirtschaftsjuristen und Geschäftsführer der Website-Check GmbH, Johnny Chocholaty LL.B.
Die neue Rechtslage und was davon betroffen ist.
Nach der neuen Rechtslage dürfen Cookies für Marketingzwecke oder Webtracking erst dann eingesetzt werden, wenn der Webseitenbesucher aktiv dazu eingewilligt hat. Das bedeutet, dass vorausgefüllte Einwilligungen und schlichte Bestätigungen durch “OK” nicht mehr ausreichen. Auch ein Opt-Out (Widerspruch zur Datenerhebung bzw. Widerruf der Einwilligung) erfüllt die neuen Vorgaben nicht. Vor der gültigen Einwilligung darf der Seitenbetreiber die Cookies weder setzen noch das Webtracking starten. Betroffene Cookies sind solche, die den Nutzer über mehrere Domains hinweg anhand von Webdiensten analysieren. Dazu zählen vor allem Social-Media-Plugins wie von Facebook oder Analysetools wie Google Analytics. Cookies, die für die Funktion der Webseite unerlässlich sind, werden vermutlich weiterhin ohne Einwilligung verwendet werden können. Dazu zählt zum Beispiel die Speicherung im Warenkorb eines Online-Shops.
So erfolgt die Einwilligung urteilskonform.
Der Webseitenbetreiber sollte die Einwilligung durch ein Cookie-Banner einholen, das folgende Voraussetzungen erfüllt: Der Verarbeitungsvorgang muss deutlich beschrieben werden. Dazu gehört der Hinweis, dass Daten an einen Dritten übertragen werden, wer der Dritte ist und zu welchen Zwecken die Daten genutzt werden. Ist der Nutzer nicht vollständig aufgeklärt, gilt die Einwilligung als unwirksam. Die Einwilligung selbst muss freiwillig erfolgen und dem Nutzer damit eine echte Wahl ermöglicht werden. Umsetzbar ist dies durch eine Checkbox am Einwilligungstext, die weder ausgefüllt ist noch den Besucher zu falschen Entscheidungen verleitet. Ebenso muss es möglich sein, die Einwilligung zu verweigern. Über das Widerrufsrecht muss aufgeklärt werden. In der Datenschutzerklärung sollte umfassend über die gesamte Datenübertragung informiert werden. Dies beinhaltet Informationen zum nachträglichen Opt-Out und Löschen von Cookies. Solche Informationen sind in der Regel nicht in kostenlosen Datenschutzerklärungen enthalten.
Technische Folgeschwierigkeiten bei Cookie-Bannern.
Da das Tracking erst nach der Einwilligung gestartet werden darf, funktionieren die meisten, standardgemäßen Cookie-Banner nicht korrekt. Diese sind nämlich zumeist nur Einblendungen ohne Funktion, die leicht weggeklickt werden können. Dabei müssen die Banner nach dem neuen Urteil aber zwei Funktionen erfüllen: Sie müssen vor der Einwilligung das Setzen der Cookies verhindern und einen Cookie nach einem Opt-Out wieder entfernen können. Die meisten Webtracker sammeln aber bereits beim Aufruf der Webseite Daten über den Besucher, was wiederum unzulässig ist. Um diesen technischen Voraussetzungen gerecht zu werden, bedarf es in der Regel der individuellen Anpassung des Cookie-Banners.
Alternativen, für die keine Einwilligung notwendig ist.
Einige Analysetools wie Mamoto (ehemals Piwik) lassen sich durch den Seitenbetreiber auf einem eigenen Server installieren. Diese können so eingestellt werden, dass keine Daten an Dritte übermittelt werden. Durch die datenschutzrechtskonforme Konfiguration (Anonymisierung etc.) ist kein Cookie-Banner erforderlich. Auch andere Analysetools sind denkbar.
Fazit.
Sofern man im Bereich der „Reichweitenanalyse“ und der Online-Werbung Daten an Dritte übermittelt, benötigt man nach Ansicht des EuGH ein rechtskonformes Cookie-Banner. Das Cookie-Banner soll dazu führen, dass der Nutzer erst nach aktiver Auswahl der für ihn relevanten Cookies durch den Seitenbetreiber getrackt wird. Wichtig ist, dass eine aktive Einwilligung eingeholt wird. Direkte Auswirkungen auf deutsche Websites stehen noch aus, da die deutschen Gerichte erst entsprechende Urteile fällen müssen. Es ist aber eine Tendenz zu einer Einwilligung ersichtlich. Bei der textlichen Ausgestaltung der Einwilligung raten wir dringend dazu, sich rechtlich beraten zu lassen und eine umfassende Datenschutzerklärung auf der Website aufzunehmen. Hierfür stehen wir Ihnen in Kooperation mit der Website-Check GmbH gerne zur Verfügung. Möchten Sie Ihre Webseite individuell analysieren lassen, dann kommen Sie auf uns zu. Als Bestandskunden erstellen wir Ihnen ein auf Sie zugeschnittenes Angebot für ein rechtskonformes Cookie-Banner.