Gestern hat der EUGH weitreichend zur Frage der Zustimmung des Setzens von Cookies entschieden (siehe hier).

Wichtigste Punkte

EUGH entschied, dass ein voreingestellter Haken in einem Kontrollkästchen keine wirksame Einwilligung darstellt.
Die Weiternutzung einer Webseite gleichwertet nicht die Einwilligung zur Cookie-Nutzung.
Technische Cookies, wie für Loginstatus oder Warenkorb, stellen in der Regel kein Problem dar.
Marketingcookies von Drittanbietern sind problematisch und unterliegen strengeren Regelungen.
Einfaches Cookiebanner reicht nicht mehr; Cookie-Consent-Lösungen wie Complianz.io sind erforderlich.
Nutzer müssen ihre Einwilligung einfach zurückziehen können, mit offensichtlichem Hinweis.
Vollständiger Verzicht auf Cookies bleibt eine Option; Webseiten sollten jedoch überprüft werden.

Wie schon in dem Artikel gestern geschrieben, sind noch einige Fragen ungeklärt und es gibt durchaus noch Streit, ob das Urteil nicht doch technisch notwendige Cookies betreffen könnte. Rein faktisch hat der EuGH darüber nämlich nicht entschieden. Wirklich entschieden hat der EuGH nur, dass das ein voreingestellter Haken in einem Kontrollkästchens keine wirksame Einwilligungshandlung darstellt, woraus auch folgt, dass die Weiternutzung einer Webseite keine Einwilligung für den konkreten Fall einer Cookie-Nutzung darstellt.

Da aber selbst der vzbv (der das Planet49 Verfahren angestrengt hat) davon ausgeht, dass technische Cookies, also solche, die den Loginstatus kontrollieren, sich die Sprachauswahl merken oder überhaupt erst Dinge wie einen Warenkorb in einem Onlineshop ermöglichen, kein Problem darstellen, ist die Diskussion zur Abgrenzung wohl eher akademischer Natur. Problematisch sind natürlich alle Arten von Marketingcookies, die gerade auch Onlineshops setzen, um das Einkaufsverhalten oder Ähnliches zu überwachen.

Dies gilt erst recht, wenn derartige Cookies von Drittanbietern gesetzt werden, die Dinge wie das Surfverhalten oder bisherige Einkäufe überwachen und optimieren sollen. Dabei ist übrigens egal, ob technisch gesehen wirklich Cookies, also Textdateien verwendet werden oder ob sonstige, neuartige Fingerprinttechnologien eingesetzt werden.

Betreiber von Webseiten müssen also handeln, denn klar ist, dass

- Einfache Cookiebanner, die nur über Cookies informieren, genügen nicht mehr. Europaweit waren diese schon lange nicht mehr ausreichend. Der deutsche Sonderweg ist nun jedoch auch Geschichte. Natürlich gilt dies nur, wenn man, aus sonstigen Gründen, überhaupt zur Information von Cookies verpflichtet ist und vor dem Setzen dieser Cookies, entsprechend der gestrigen Entscheidung, eine eigen bestimmte Einwilligung des Nutzers einholen muss!
- Es reichen nur sogenannte Cookie-Consent-Lösungen, wie z.B. Complianz.io aus, die umfangreich über die genau gesetzten Cookies informieren, auch Dinge wie „Do not track“- im Browser respektieren (was z.B. Wordpress nicht out-of-the-box macht) und nicht technische Cookies erst dann freigeben, wenn der Nutzer sein Einverständnis erteilt hat.
- Der Nutzer muss auf der Seite selber die Möglichkeit haben, sein Einverständnis zu widerrufen. Diese Möglichkeit muss offensichtlich und leicht zu erreichen sein. Bei mir findet sich dieser Hinweis in der Cookie-Richtline.
- Für jeden nicht technischen Cookie muss über die Lebensdauer des Cookies, den Anbieter, den Inhalt, den Namen und die eventuellen Datenschutzbestimmungen des Anbieters informiert werden.

Natürlich besteht weiterhin die Möglichkeit auf Cookies vollständig zu verzichten 😉

Es gibt noch zahlreiche Details, die in den nächsten Monaten entweder von Datenschutzbehörden oder in letzter Konsequenz von Gerichten zu klären sein werden. Unter anderem gehören dazu zahlreiche Fragen, was alles technische Cookies sind (also solche, die zur Nutzung von Funktionen der Webseite zwingend notwendig sind) und was keine funktionalen Cookies sind.

Die eigene Webseite überprüfen sollte aber jeder, um sich zumindest nicht dem Vorwurf auszusetzen, tatenlos gewesen zu sein.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: Datenschutz Information KI Marketing