„Cookie-Gewitter“ erschüttert Europa

Am 1. Oktober ging mal wieder ein datenschutzrechtlicher „Ruck“ durch Europa. Der Europäische Gerichtshof (EuGH) hatte gesprochen und seine – nicht ganz vorhersehbare – Meinung geäußert. In der Folge war das Internet und die Sozialen Medien voll von Meldungen, Analysen, Empfehlungen auf „Aufschrei“.

Dieser Beitrag soll auf möglichst nüchterne Art und Weise vermitteln, was passier ist, was sich nun ändert bzw. ändern muss.

„Meinungsäußerung“ – kein Urteil

Zum Verständnis: Der EuGH sprach am 01.10.2019 in der Rechtssache C-673/17 zwar ein Urteil, damit wurde der Streit zwischen dem Verbraucherzentrale Bundesverband e. V. und der Planet49 GmbH nicht endgültig entschieden. Nach einer Entscheidung des Landgerichts Frankfurt/M. und der Berufung beim Oberlandesgericht Frankfurt/M. muss nun der Bundesgerichtshof (BGH) im Rahmen der Revision entscheiden. Der BGH wollte aber hinsichtlich bestimmter Rechtsfragen gerne die „Meinung“ des EuGH wissen. Daher hat der BGH beschlossen, das Verfahren auszusetzen und dem EuGH verschiedene Fragen zur „Vorabentscheidung“ vorzulegen. Darüber hat der EuGH nun am 01.10.2019 entschieden.

Wie geht es weiter? Der BGH muss seinen Fall nun auf Basis der „Meinung“ des EuGH endgültig entscheiden und ein Urteil fällen. Wann dies geschehen wird, ist noch unklar. Erst nach diesem Urteil ist der Fall endgültig abgeschlossen und die Parteien müssen sich daran halten.

Kernaussagen

3 Fragen beantwortet: Der EuGH hat auf 3 Fragen geantwortet. Die Aussage lauten sinngemäß:

(1) Bei (technisch notwendigen) Cookies gilt ein Opt-In. Ein Opt-Out ist unzulässig.

(2) Bei Cookies ist es egal, ob sie personenbezogene Daten enthalten oder nicht.

(3) Der Webseitenbetreiber muss den Internetnutzer Informationen über Cookies zur Verfügung stellen.

 

Warum der Aufschrei?

Um alle Details rund um dieses Urteil des EuGH zu verstehen, muss man sich sehr intensiv mit der Rechtslage und der Historie sowie europäischen Richtlinien und Verordnungen beschäftigen. Dies würde den Rahmen dieses Artikels sprengen.

Vereinfacht ausgedrückt: Bislang gingen die Experten davon aus, dass es beim Setzen von Cookies ausreicht, den Internetnutzer mittels Cookie-Banner darüber zu informieren und die Cookies in der Datenschutzerklärung näher zu erläutern. Wenn ein Internetnutzer dies nicht wolle, könne er ja über einen Opt-Out die Cookies löschen bzw. über Plugins oder andere Cookies bestimmen, dass er bestimmte Cookies nicht haben wolle. Die Aufsichtsbehörden im Datenschutz hatten im Zuge der DSGVO im März 2019 ihre Auffassung mitgeteilt und nahmen folgende Unterscheidung vor:

Technisch notwendig oder nicht? Die Aufsichtsbehörden im Datenschutz waren und sind der Auffassung, dass technisch notwendige Cookies auf einer Internetseite immer gespeichert werden dürfen und in der Datenschutzerklärung erläutert werden. Darüber, was technisch notwendig sein soll, gibt es keine gesetzliche Vorgabe. Das hänge je nach Ausgestaltung der Webseite ab. Bei einem Shop seien zum Beispiel Cookies für die Warenkorbfunktion erforderlich. Technisch nicht notwendig seien zum Beispiel Cookies zum Webseitentracking, um Profile bilden zu können. Die Behörden sahen es als notwendig an, dass Internetnutzer vor der ersten Speicherung von nicht notwendigen Cookies eine Einwilligung abgeben müssten. Viele Experten spekulierten darauf, dass diese sehr strenge Auffassung vor den Gerichten nicht standhalten würde und dass danach die Behörden ihre Auffassung revidieren müssten.

Und kann kam der EuGH: Durch das Urteil sagt der EuGH also: Die Behörden haben Recht – genauso muss es gemacht werden. Nix Experten – nix zu streng! Die Behörden liegen vollkommen richtig.

Und damit war die Überraschung noch nicht beendet: Der EuGH sagt zudem: Bei jedem technisch nicht notwendigen Cookie benötigt man eine Einwilligung, auch wenn dort keine personenbezogenen Daten enthalten sind. Während sich die Datenschutzaufsichtsbehörden nur mit Cookies beschäftigt haben, die personenbezogene Daten enthalten (über die anderen Cookies dürfen sie sich nicht äußern – das ist nicht ihr Gebiet!), sagt jetzt der EuGH: Auch bei Cookies mit irgendwelchen Daten, die nicht auf eine natürliche Person schließen, benötigt man eine ausdrückliche Einwilligung!

Dass so etwas kommen könnte – daran hatte niemand gedacht!

Ergo: Man kann sich also nicht mehr mit dem Argument rausreden: „Die Cookies haben nichts mit Datenschutz zu tun – da werden nur anonyme Daten gespeichert. Da kann ich nicht immer vorher den Nutzer fragen.“

Cookie-Banner-Beschriftung

Leider finden sich derzeit noch in vielen Cookie-Bannern folgender oder sinngemäßer Text:

„Durch die Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden.“

Dies stellt nun gerade keine ausdrückliche Einwilligung dar, denn die „Einwilligung“ wäre dann das „Nichtstun“, jedenfalls nicht das Klicken eins Buttons oder Anhaken eines Kästchens.

Ergo: Solche Banner-Beschriftungen müssen sofort entfernt werden!

Die optimale Webseite

Nach Auffassung des obersten europäischen Gerichts sieht eine optimale Webseite also so aus:

  • Auf dem Gerät des Nutzers werden überhaupt keine Cookies gespeichert oder
  • Auf dem Gerät des Nutzers werden nur die technisch notwendigen Cookies gespeichert.

Was technisch notwendig ist, kann man im Moment nur raten. Darüber müssen im Endeffekt wahrscheinlich wieder die Gerichte entscheiden. Vorgaben vom Gesetzgeber (in einem Gesetz) gibt es nicht.

Wenn der Webseitenbetreiber unbedingt technisch nicht notwendige Cookies auf dem Gerät des Nutzers speichern will, gilt es folgendes einzuhalten:

  • Es muss entweder eine Vorschaltseite oder ein Cookie-Banner eingeblendet werden, auf der die Pflichtinformationen nach DSGVO enthalten sind und auf der der Nutzer sich freiwillig und widerruflich dafür entscheiden kann, dass Cookies gesetzt werden;
  • Bevor sich der Nutzer mittels Ankreuzkästchen, Anklicken eines Buttons oder ähnliches entscheidet, darf noch kein technisch nicht notwendiges Cookies gesetzt werden;
  • Nachdem der Nutzer sich entschieden hat, muss ihm die Möglichkeit gegeben werden, jederzeit wieder zu widersprechen. Dies geht beispielsweise durch einen Link im Footer der Webseite, der zu den individuellen Cookieeinstellungen des Nutzers führt. Dort kann er dann ein zuvor angekreuztes Cookie wieder abwählen;
  • Gleichzeitig darf der Zugang zur Webseite nicht verwehrt werden. Was also nicht geht: Banner nach dem Motto „Entweder hier ankreuzen oder es geht nicht weiter“. Dies widerspricht nämlich der Freiwilligkeit, die auf jeden Fall gewahrt werden muss;
  • Praktisch geht das wohl nur mit einem professionellen Cookie-Consent-Tool.

Technisch nicht notwendig

Derzeit ist völlig unklar, welche Cookies technisch nicht notwendig sind. Aber man kann über folgende Cookies sagen, dass diese mit gewisser Wahrscheinlichkeit darunter fallen werden:

  • Cookies von Webseitentracking-Tools
  • Cookies von Werbenetzwerken
  • Cookies von Sozialen Netzwerken (auf der eigenen Webseite)
  • Cookies für Marketing, Remarketing etc.

Handlungsempfehlung

  1. Ruhe bewahren
  2. Es ist klar, dass sich etwas ändert. Um Abmahnungen und/oder Bußgelder zu vermeiden ist ein Handeln erforderlich.
  3. Bis zum endgültigen Urteil des BGH sollte die Zeit für Vorbereitungs- und Testmaßnahmen genutzt werden.
  4. Nach Veröffentlichung des BGH-Urteils sollte dann spätestens unverzüglich die eigene Webseite technisch angepasst werden.

Was kann ich jetzt tun?

  1. Verschaffen Sie sich mit Ihrer Agentur / Ihrem Webmaster / Ihrem Webdesigner einen Überblick über die aktuell genutzten Cookies.
  2. Überlegen Sie, auf welche Cookies eventuell komplett verzichtet werden kann.
  3. Überlegen Sie, welche Dienste Cookies setzen, auf die nicht verzichtet werden kann.
  4. Sortieren Sie die Cookies nach technisch notwendig / technisch nicht notwendig.
  5. Wenn Sie auf der Webseite technisch nicht notwendige Cookies setzen lassen wollen, entscheiden Sie sich für eine Cookie-Consent-Tool.
  6. Setzen Sie eine Testumgebung mit der neuen Konfiguration auf und prüfen, ob alles funktioniert.
  7. Behalten Sie den Kontakt mit Ihrem Rechtsberater, um zu entscheiden, wann die Änderungen live gehen müssen.

Cookie-Consent-Tools

Nachfolgend liste ich Ihnen ein paar solcher Tools auf. Ich habe diese Tools nicht geprüft und kann keine Empfehlung dafür abgeben. Es handelt sich vielmehr um einen nicht umfassenden Marktüberblick:

Aufgrund der europaweiten Auswirkungen ist zu vermuten, dass in den nächsten Wochen und Monaten eine Fülle neuer Tools auf den Markt kommen wird.

Google Analytics

Der unveränderte Einsatz von Google Analytics ist künftig als sehr kritisch einzustufen. Google beschreibt in seiner Developer-Abteilung eine Vorgehensweise, wie die Google-Analytics-Cookies deaktiviert werden können:

https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies

Ob diese Beschreibung funktioniert, kann ich nicht sagen. Das müssen IT-Techniker prüfen.

Matomo – Piwik

Auch ein selbst gehostetes Matomo setzt in der Regel Cookies auf dem Gerät des Nutzers. Wer den Code zur Einbindung von Matomo selbst ändern kann, findet hier eventuell ein Snippet:

https://matomo.org/faq/general/faq_157/

Ob diese Beschreibung funktioniert, kann ich nicht sagen. Das müssen IT-Techniker prüfen.

Wer WordPress für seine Webseite nutzt, wird häufig ein Plugin zur Einbindung von Matomo verwenden. Ein häufig verwendetes Tool ist „WP-Matomo“. Dort kann in den „WP-Piwik-Einstellungen“ unter dem Tab „Tracking aktivieren“ unter dem Punkt „Cookies deaktivieren“ das Kästchen angekreuzt werden. Ob dies funktioniert, bitte immer selbst überprüfen!

Ich wünsche gutes Gelingen… (und stehe für Ihre Fragen wie gehabt zur Verfügung)!

Nach oben scrollen