Achtung: Simpler Cookie-Banner nicht mehr ausreichend

Gestern hat der EUGH weitreichend zur Frage der Zustimmung des Setzens von Cookies entschieden (siehe hier).

Wie schon in dem Artikel gestern geschrieben, sind noch einige Fragen ungeklärt und es gibt durchaus noch Streit, ob das Urteil nicht doch technisch notwendige Cookies betreffen könnte. Rein faktisch hat der EuGH darüber nämlich nicht entschieden. Wirklich entschieden hat der EuGH nur, dass das ein voreingestellter Haken in einem Kontrollkästchens keine wirksame Einwilligungshandlung darstellt, woraus auch folgt, dass die Weiternutzung einer Webseite keine Einwilligung für den konkreten Fall einer Cookie-Nutzung darstellt.

Da aber selbst der vzbv (der das Planet49 Verfahren angestrengt hat) davon ausgeht, dass technische Cookies, also solche, die den Loginstatus kontrollieren, sich die Sprachauswahl merken oder überhaupt erst Dinge wie einen Warenkorb in einem Onlineshop ermöglichen, kein Problem darstellen, ist die Diskussion zur Abgrenzung wohl eher akademischer Natur. Problematisch sind natürlich alle Arten von Marketingcookies, die gerade auch Onlineshops setzen, um das Einkaufsverhalten oder Ähnliches zu überwachen.

Dies gilt erst recht, wenn derartige Cookies von Drittanbietern gesetzt werden, die Dinge wie das Surfverhalten oder bisherige Einkäufe überwachen und optimieren sollen.  Dabei ist übrigens egal, ob technisch gesehen wirklich Cookies, also Textdateien verwendet werden oder ob sonstige, neuartige Fingerprinttechnologien eingesetzt werden.

Betreiber von Webseiten müssen also handeln, denn klar ist, dass

• • Einfache Cookiebanner, die nur über Cookies informieren, genügen nicht mehr. Europaweit waren diese schon lange nicht mehr ausreichend. Der deutsche Sonderweg ist nun jedoch auch Geschichte. Natürlich gilt dies nur, wenn man, aus sonstigen Gründen, überhaupt zur Information von Cookies verpflichtet ist und vor dem Setzen dieser Cookies, entsprechend der gestrigen Entscheidung, eine eigen bestimmte Einwilligung des Nutzers einholen muss!
  • Es reichen nur sogenannte Cookie-Consent-Lösungen, wie z.B. Complianz.io aus, die umfangreich über die genau gesetzten Cookies informieren, auch Dinge wie “Do not track”- im Browser respektieren (was z.B. WordPress nicht out-of-the-box macht) und nicht technische Cookies erst dann freigeben, wenn der Nutzer sein Einverständnis erteilt hat.
  • Der Nutzer muss auf der Seite selber die Möglichkeit haben, sein Einverständnis zu widerrufen. Diese Möglichkeit muss offensichtlich und leicht zu erreichen sein. Bei mir findet sich dieser Hinweis in der Cookie-Richtline.
  • Für jeden nicht technischen Cookie muss über die Lebensdauer des Cookies, den Anbieter, den Inhalt, den Namen und die eventuellen Datenschutzbestimmungen des Anbieters informiert werden.

Natürlich besteht weiterhin die Möglichkeit auf Cookies vollständig zu verzichten 😉

Es gibt noch zahlreiche Details, die in den nächsten Monaten entweder von Datenschutzbehörden oder in letzter Konsequenz von Gerichten zu klären sein werden. Unter anderem gehören dazu zahlreiche Fragen, was alles technische Cookies sind (also solche, die zur Nutzung von Funktionen der Webseite zwingend notwendig sind) und was keine funktionalen Cookies sind.

Die eigene Webseite überprüfen sollte aber jeder, um sich zumindest nicht dem Vorwurf auszusetzen, tatenlos gewesen zu sein.