Das Wichtigste in Kürze
- Voreingestellte Haken und bloße Weiternutzung einer Webseite stellen keine wirksame Cookie-Einwilligung dar.
- Einfache Cookie-Banner sind nicht mehr ausreichend; detaillierte Cookie-Consent-Lösungen sind erforderlich.
- Technisch notwendige Cookies sind unproblematisch, Marketing-Cookies erfordern jedoch eine explizite Zustimmung des Nutzers.
- Nutzer müssen die Möglichkeit haben, ihre Einwilligung jederzeit und leicht widerrufen zu können.
- Website-Betreiber sollten ihre Consent-Lösungen proaktiv anpassen, um rechtliche Risiken und Bußgelder zu vermeiden.
EuGH-Urteil zu Cookies: Was Website-Betreiber jetzt beachten müssen
Das jüngste Urteil des Europäischen Gerichtshofs (EuGH) hat weitreichende Konsequenzen für die Nutzung von Cookies und die Einholung der Nutzereinwilligung. Wie bereits in unserem gestrigen Artikel (lesen Sie hier) thematisiert, sind noch einige Fragen offen.
Der EuGH hat jedoch klargestellt, dass ein voreingestellter Haken in einem Kontrollkästchen keine wirksame Einwilligungshandlung darstellt. Daraus folgt auch, dass die bloße Weiternutzung einer Webseite keine Einwilligung für die konkrete Cookie-Nutzung darstellt.
Abgrenzung: Technisch notwendige Cookies und Marketing-Cookies
Die Diskussion zur Abgrenzung zwischen verschiedenen Cookie-Arten ist oft eher akademischer Natur. Selbst der vzbv, der das Planet49-Verfahren angestrengt hat, geht davon aus, dass technische Cookies unproblematisch sind. Hierzu zählen beispielsweise Cookies, die den Loginstatus kontrollieren, die Sprachauswahl speichern oder Funktionen wie einen Warenkorb in Onlineshops ermöglichen.
Problematisch sind hingegen alle Arten von Marketing-Cookies, die insbesondere von Onlineshops gesetzt werden. Diese dienen der Überwachung des Einkaufsverhaltens oder ähnlicher Aktivitäten. Dies gilt erst recht, wenn solche Cookies von Drittanbietern eingesetzt werden, die das Surfverhalten oder bisherige Einkäufe verfolgen und optimieren sollen.
Dabei ist es übrigens unerheblich, ob technisch gesehen wirklich Cookies (also Textdateien) verwendet werden oder ob sonstige, neuartige Fingerprint-Technologien zum Einsatz kommen. Die rechtlichen Anforderungen bleiben dieselben.
Konkrete Anforderungen an Cookie-Consent-Lösungen
Betreiber von Webseiten müssen nun handeln, denn es ist klar, dass sich die Rechtslage geändert hat. Folgende Punkte sind dabei entscheidend:
- Einfache Cookie-Banner, die lediglich über Cookies informieren, genügen nicht mehr. Dieser deutsche Sonderweg ist nun auch Geschichte. Das gilt, wenn Sie zur Information über Cookies verpflichtet sind und vor dem Setzen dieser Cookies eine eigenbestimmte Einwilligung des Nutzers einholen müssen.
- Es sind nur sogenannte Cookie-Consent-Lösungen ausreichend, die umfassend über die genau gesetzten Cookies informieren. Beispiele hierfür sind Lösungen wie Complianz.io. Sie müssen auch "Do not track"-Einstellungen im Browser respektieren (was zum Beispiel WordPress nicht standardmäßig tut) und nicht-technische Cookies erst dann freigeben, wenn der Nutzer sein Einverständnis erteilt hat.
- Der Nutzer muss auf der Seite selbst die Möglichkeit haben, sein Einverständnis jederzeit zu widerrufen. Diese Möglichkeit muss offensichtlich und leicht zu erreichen sein. Bei uns findet sich dieser Hinweis in der Cookie-Richtlinie.
- Für jeden nicht-technischen Cookie muss über dessen Lebensdauer, den Anbieter, den Inhalt, den Namen und die eventuellen Datenschutzbestimmungen des Anbieters informiert werden.
Eine weitere Option besteht natürlich darin, vollständig auf die Nutzung von Cookies zu verzichten.
Offene Fragen und Handlungsempfehlungen für Website-Betreiber
Es gibt noch zahlreiche Details, die in den nächsten Monaten entweder von Datenschutzbehörden oder in letzter Konsequenz von Gerichten zu klären sein werden. Dazu gehören viele Fragen, was genau unter "technisch notwendige Cookies" fällt und was keine funktionalen Cookies sind. Es ist entscheidend, die Einwilligung der Nutzer korrekt einzuholen, um wettbewerbsrechtliche Konflikte zu vermeiden.
Jeder Website-Betreiber sollte seine eigene Webseite überprüfen, um sich zumindest nicht dem Vorwurf der Tatenlosigkeit auszusetzen. Eine proaktive Anpassung ist dringend geboten, insbesondere angesichts der Neuerungen im Datenschutzrecht, die zu erhöhten Bußgeldern führen können.
Fazit
Das aktuelle EuGH-Urteil unterstreicht die Notwendigkeit einer ausdrücklichen und informierten Einwilligung für das Setzen von Cookies. Website-Betreiber müssen ihre Consent-Lösungen anpassen und maximale Transparenz gewährleisten. Dies schützt nicht nur vor rechtlichen Konsequenzen, sondern stärkt auch das Vertrauen der Nutzer in den Umgang mit ihren Daten.