Hinweis: Dieser Blogbeitrag stellt keine Rechtsberatung dar. Für die Vollständigkeit, Aktualität und Richtigkeit der folgenden Inhalte übernehmen wir entsprechend keine Haftung.
Das Wichtigste zum neuen EuGH-Urteil zu Cookies im Überblick
- Am 1.10.2019 urteilte der EuGH, dass Webseiten-Betreiber Cookies nur noch mit ausdrücklicher Einwilligung der Nutzer (= Cookie-Opt-In, z. B. durch Setzen eines Häkchens) einsetzen dürfen.
- Die bisher vielfach verwendeten Cookie-Banner mit kurzer Info über den Cookie-Einsatz, die Nutzer vor vollendete Tatsachen stellen (= voreingestellte Einwilligung), sind rechtlich nun nicht mehr ausreichend.
- Webseiten-Betreiber müssen von Nutzern nicht nur die aktive Einwilligung zu Cookies einholen, sondern sie auch über die entsprechenden Cookie-Anbieter, -Arten und -Funktionsweisen sowie die Speicherdauer informieren.
- Sie als Webseiten-Betreiber sind seit dem 1. Oktober 2019 in der Pflicht, die Anforderungen umzusetzen. Eine praktische Möglichkeit bieten sogenannte Cookie Consent Tools.
Die Hintergründe zum Urteil: Warum muss überhaupt etwas geändert werden?
Gerade erst hatten sich Internetnutzer an das Wegklicken der Cookie-Banner per “Ok”-Button gewöhnt, nun sollen sie aktiv Häkchen setzen und entscheiden, welche Cookies sie akzeptieren wollen. Warum es zum neuen Urteil des Europäischen Gerichtshofs kam, für welche Arten von Cookies Sie das Einverständnis der User einholen müssen und auf welche Weise Sie dies rechtskonform tun, lesen Sie im Folgenden.
Das Urteil gegen Planet49
Hintergrund des neuen Urteils zu den Cookie-Informationspflichten ist der Rechtsstreit zwischen VZBV (Verbraucherzentrale Bundesverband) und der Gewinnspielfirma Planet49, den der BGH (Bundesgerichtshof) an den EuGH weitergereicht hatte:
Was der VZBV anklagte, war ein vorangehaktes Kontrollkästchen für Cookies, das User bei der Teilnahme an einem Gewinnspiel von Planet49 automatisch bestätigten, wenn sie einen “Ok”-Button klickten. Die Planet49 GmbH hatte im Rahmen solcher Gewinnspiele Nutzerdaten zu Werbezwecken Dritter gesammelt. Das Urteil EuGH, 1.10.2019 – C-673/17 “planet49” regelt nun klar,
- dass Nutzer aktiv dem Einsatz technisch nicht relevanter Cookies zustimmen müssen (sie müssen also aktiv ein Häkchen setzen anstatt ein vorangehaktes Kästchen per Button-Klick zu bestätigen),
- dass ein nicht erfolgendes Weghaken eines solchen Kontrollkästchens keine wirksame Einwilligung darstellt
- und dass Webseiten-Betreiber ihre User ausführlich über das Sammeln der Nutzerdaten und die Verwendung der Cookies informieren müssen.
Warum der einfache Cookie-Hinweis und Opt-Out-Lösungen nicht mehr genügen
Vielleicht denken Sie schon die ganze Zeit beim Lesen dieses Artikels: “Aber ich habe doch längst einen Cookie-Banner auf meiner Webseite! Reicht das nicht?” Die ernüchternde Antwort lautet: Nein.
Diese beiden Cookie-Banner sind seit dem 1. Oktober 2019 per Gesetz nicht mehr ausreichend:
- Einfache Cookie-Hinweis-Banner: Hier bestätigt der Nutzer lediglich, dass er sich durch das Weiternutzen der Webseite mit der Cookie-Nutzung einverstanden erklärt. Rechtlich problematisch: Das Banner lässt sich durch einen Klick auf “Ok” schließen, eine aktive Einwilligung erfolgt nicht. Einen Einfluss darauf, ob die Cookies geladen und wie sie verarbeitet werden, kann der User bei dieser Variante nicht nehmen.
- Opt-out-Banner für Cookies: Die Opt-out-Lösung geht zwar einen Schritt weiter als der einfache Hinweis-Banner. Denn hier hat der Nutzer immerhin die Möglichkeit, dem Setzen des Cookies im Nachhinein zu widersprechen. Dennoch werden schon beim Aufrufen der Webseite die Cookies und die dazugehörigen Scripte geladen, was jedoch gemäß des aktuellen EuGH-Urteils einer vorangehenden, aktiven Einwilligung des Nutzers bedarf.
Welche Bedingungen muss das Opt-in- bzw. Cookie-Consent-Tool erfüllen?
Um den Einsatz von Cookies rechtlich unbedenklich auf Ihrer Webseite einzubinden, brauchen Sie eine Opt-in-Lösung, umsetzbar z. B. über ein Cookie-Consent-Tool. Welche Voraussetzungen eine solche Lösung erfüllen muss, haben wir im Folgenden zusammengestellt:
- Cookies dürfen erst dann gesetzt werden und ihre Skripte erst dann laufen, wenn der Nutzer explizit zugestimmt hat, sprich: Das Tool funktioniert nur in Kombination mit entsprechenden Content-Blockern (bei einigen Tools bereits enthalten), die den Einsatz der nicht gestatteten Cookies unterbinden.
- Beim erstmaligen Anzeigen des Cookie-Banners bzw. -Tools muss darin für jedes eingesetzte Cookie infomiert werden, wie die Cookie-Daten verarbeitet werden und welche Akteure in welcher Funktion an dieser Verarbeitung beteiligt sind. Da dies mitunter richtig viele Informationen sind, dürfen Sie aus dem Banner heraus auf Ihre Datenschutzerklärung verweisen, in der die Information dann umfassend erfolgen muss.
- Die Cookie-Auswahlmöglichkeiten im Banner dürfen nicht vorausgewählt sein (Ausnahme: technisch notwendige Cookies).
2 Dinge, die Sie jetzt als Webseiten-Betreiber oder Blogger tun sollten
Natürlich können Sie den Kopf in den Sand stecken, nichts tun und das damit einhergehende Risiko einer Abmahnung bzw. Bußgeldstrafe in Kauf nehmen. Wenn Sie aber auf Nummer Sicher gehen wollen, empfehlen wir Ihnen, die folgenden Schritte so bald wie möglich umzusetzen:
- Schaffen Sie auf Ihrer Webseite die Möglichkeit, das Einverständnis von Nutzern zum Setzen von Cookies einzuholen. Wie oben beschrieben, ist es wichtig, dass Nutzer ihr Einverständnis dabei z. B. über ein Cookie-Consent-Tool im Opt-in-Verfahren erklären. Ihnen fehlen die nötigen Programmier-Kenntnisse? Dann beauftragen Sie am besten eine Agentur.
Ihre Webseite oder Ihr Blog sind mit WordPress gebaut? Dann haben Sie Glück, denn dann können Sie sich einfach ein Plugin besorgen, das die Anforderungen des aktuellen EuGH-Urteils rechtskonform umsetzt. Tatsächlich gibt es bereits mehrere solcher Plugins, von denen sich eines in seiner Nutzerfreundlichkeit und den Designmöglichkeiten besonders bewährt hat: das Borlabs Cookies Plugin.
- Passen Sie Ihre Datenschutzerklärung wie oben erklärt an und informieren Sie Nutzer über die Cookiedaten-verarbeitenden Unternehmen sowie über die Funktionsweise und -dauer der Cookies. Textliche Anpassungen sollten Sie für die Klauseln zu jenen Anwendungen vornehmen, die auf Cookie-Basis Informationen erheben, speichern, auswerten oder übermitteln.
Bieten Sie dem Nutzer außerdem die Möglichkeit, seinem einmal erteilten Einverständnis auch im Nachhinein noch zu widersprechen, z. B. über einen Button in der Datenschutzerklärung. Wichtig: Datenschutzerklärung und Impressum sollten immer erreichbar sein und dürfen nicht von einem Cookie-Banner überdeckt werden.
Um ein mögliches Risiko von Abmahnungen und Bußgeldern zu vermeiden, empfehlen wir Ihnen, jetzt tätig zu werden und die Anforderungen des Europäischen Gerichtshofes auf Ihrer Webseite umzusetzen.
Übrigens: Webseiten und Online-Shops, die durch mich betreut werden, sind rechtlich stets auf dem aktuellen Stand. Wie immer bei neuen Urteilen, die sich auf das Betreiben von Internetseiten beziehen, haben wir unsere Kunden natürlich rechtzeitig informiert.