Seit Einführung der DSGVO im Mai 2018 kommen die neuen Richtlinien nicht aus den Schlagzeilen. Von Beginn an war es Ziel der EU, die Verbraucher zu schützen und den Datenschutz verständlich zu machen. Ein Profiling sollte verhindert werden und jeder Einzelne sollte die Möglichkeit bekommen, Herr über seine Daten zu werden.

Aktuell geht es um den Cookie-Einsatz auf Ihrer Website. Nach Einführung der Richtlinie kamen verschiedene Modelle zum Tragen und heiß diskutiert wurden die verschiednen Möglichkeiten der Umsetzung. Angefangen bei einfachen Cookie-Bannern über verschiedene Auswahlfelder und Anklick- bzw. Abklick-Möglichkeiten kursierten die unterschiedlichsten Varianten.

DAS AKTUELLE COOKIE-URTEIL

Anfang November 2019 entschied der Europäische Gerichtshof (EuGH) in der Rechtssache Planet49, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Dies gilt unabhängig davon, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht. In den Erwägungsgründen folgt der Gerichtshof den Schlussanträgen des Generalanwalts.

Mit diesem Urteil wurde klargestellt, dass Cookies nicht einfach ausgewählt sein dürfen. Der Verbraucher bzw. der Internetnutzer darf frei entscheiden ob und was er zulassen möchte.

MEHR ZUM URTEIL UND ZU DEM WAS PASSIERT IST.

Die Verbraucherzentrale Bundesverband (vzbv) hat gegen Planet49, ein Adresshändler und Gewinnspielbetreiber, auf Unterlassung geklagt. Gewinnspielteilnehmer mussten den Nutzungsbedingungen weitestgehend zustimmen, sie hatten keine wirkliche Entscheidungsmöglichkeit. Insgesamt mussten sie 57 Unternehmen erlauben, sie telefonisch, per E-Mail oder per Post zu kontaktieren. Bereits 2014 erklärte das Landgericht Frankfurt, dass Verbraucher bei einer so weitgehenden Einschränkung wie der Telefonwerbung eine explizitere Zustimmung geben müssten.

Die Praxis zu den Cookies…

Im konkreten Verfahren vor dem EuGH ging es vor allem darum, dass sich der Betreiber der Website das Recht einräumen ließ, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Die Einwilligung dazu wurde in Form von verschiedenen Hinweistexten eingeholt und das entsprechende Auswahlkästchen war bereits vorangekreuzt. Erst mit einem zusätzlichen Klick konnten Nutzer die Zustimmung widerrufen.

Strenge Ansicht des Generalanwalts

Bereits im März veröffentlichte Generalanwalt Maciej Szpunar seinen Schlussantrag der die Auffassung dokumentiert, dass die deutschen Gesetze zum Cookie-Einverständnis nicht dem europäischen Recht entsprechen. Cookies, die technisch nicht erforderlich sind (insbesondere die Werbe- und Analysezwecken dienen) benötigen demnach eine Einwilligung des Nutzers.

Die „vorangekreuzte“ Einwilligung ist demnach sowohl nach alter wie auch nach neuer Rechtslage aus drei Gründen unwirksam (Rz. 84-93):

• Die Einwilligung sei nicht aktiv erteilt, da – anders als etwa bei dem Setzen eines Häkchens – objektiv nicht nachvollzogen werden könne, dass der Nutzer aktiv zugestimmt habe.
• Sie sei zudem nicht gesondert erteilt, weil die Einwilligung einen Teil der Handlung „Teilnahme am Gewinnspiel“ darstelle. Das Setzen oder Entfernen des Häkchens sei lediglich als vorbereitende Handlung für die eigentlich bindende Handlung (die Gewinnspielteilnahme) zu verstehen.
• Auch mangele es an der Informiertheit der Einwilligung. Zwar sei die Teilnahme am Gewinnspiel auch ohne Ankreuzen der zweiten Einwilligung möglich gewesen – darüber sei aber nicht ausreichend informiert worden.

Eine Einwilligung erfordert demnach immer eine aktive Zustimmung des Nutzers

Auch wenn es sich bislang um eine Empfehlung handelt, kann man bereits davon ausgehen, dass die Verwendung von Cookies konkretisiert wird. Der EuGH schließt sich der Auffassung des Generalanwalts an:

• Das Erfordernis einer „Willensbekundung“ der betroffenen Person deute auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziere aber kein aktives Verhalten eines Nutzers einer Website (Rn. 52).

Personenbezug bei Cookie-Einwilligung unerheblich

Auch ließ der EuGH die Begründung nicht gelten, dass es sich bei Cookies nur um pseudonymisierte Daten (IP-Adresse anonymisiert) handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsste die explizite Zustimmung zur Datenverarbeitung erteilt werden.

• „Das Unionsrecht soll Nutzer vor jedem Eingriff in ihre Privatsphäre schützen, insbesondere gegen „Hidden Identifiers“ oder ähnliche Instrumente.“

So heißt es in der Pressemitteilung des Gerichtshofs.

Der Gerichtshof stellt ferner klar, dass Webseitenbetreiber gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen müssen.

Das sind klare Anforderungen an Cookie-Banner

Um die vom EuGH formulierten Anforderungen zukünftig umsetzen zu können, sind einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, als Einwilligung nicht ausreichend. Unternehmen sollten demnach schnellstens reagieren, da bereits weitere Verhandlungen zur Konkretisierung der Anforderungen anstehen.

Rechtspolitischer Ausblick

Deutschland war bisher der Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz (§ 15 TMG) bereits EU-rechtskonform umgesetzt seien. Diese Interpretation erforderte lediglich eine Opt-Out-Lösung. Das aktuelle Urteil kann (auch) als klare Ansage an den deutschen Gesetzgeber verstanden werden, das deutsche Recht an die EU-Regeln anzupassen. Das Bundeswirtschaftsministerium kündigte bereits eine Änderung des Telemediengesetzes an.

ePrivacy-Verordnung

Der europäische Gesetzgeber könnte dieser Entscheidung jedoch noch zuvorkommen und die ePrivacy-Verordnung verabschieden. Gerade weil der EuGH in seinem aktuellen Urteil einen harten Kurs fährt, dürften nun deutlich mehr Parteien an einer Regelung in der ePrivacy-Verordnung interessiert sein. Im Interesse der Rechtsklarheit wäre eine solche Lösung absolut wünschenswert.

FAZIT ZUM EINSATZ DES COOKIE BANNER

Nach einem aktuellen Urteil des EuGH dürfen die personenbezogenen Daten des Webseitenbesuchers erst nach Erteilung der entsprechenden Einwilligung an das soziale Netzwerk oder eine andere Website etc. übermittelt werden. Daher ist darauf zu achten, dass durch Setzen des Häkchens in der entsprechenden Checkbox die Einwilligung erteilt wird.

Einen Cookie-Banner richtig, d.h. rechtskonform, zu gestalten ist kein Hexenwerk. Und es ist auch kein Nachteil für den Webseitenbetreiber. Denn auch mit den Besuchern einer Webseite sollte fair umgegangen werden. Hierzu gehört eben auch, dass zunächst über die Cookies transparent informiert wird, um dann eine Entscheidung zu treffen, ob und gegebenenfalls welche Daten sie von sich preisgeben möchten – genau so wie viele Webseitenbetreiber ihrerseits ungern von Dritten ausgespäht werden, sollten sie auch den Besuchern ihrer eigenen Webseite die Möglichkeit geben, selbst zu entscheiden, welche Daten sie von sich preisgegeben möchten oder nicht.

COOKIE-BANNER OHNE PROBLEME INTEGRIEREN

Folgende Möglichkeiten gibt es:

Cookie Banner mit Opt-In
Die Opt-in Variante entspricht den aktuellen gesetzlichen Forderungen. Denn dabei wird beim Betreten der Webseite kein Cookie gesetzt. Erst, wenn der Surfer sein OK gibt, wird der Tracker aktiv. Wenn der Nutzer dies nicht tut oder auf einen Ablehnen-Button klickt, werden auch keine Cookies gesetzt.
Empfohlen wird diese Handhabung z.B. für Google Adsense (von Google selbst gefordert), Google Analytics (mit Remarketing) und Facebook Pixel.
Unabhängig davon sollten Sie beachten: In der Datenschutzerklärung selbst müssen die Informationen zu den Cookies festgehalten werden.
Unklar scheint aktuell noch zu sein, wie so ein Cookie Opt-In Banner genau gestaltet werden soll. Hier muss man wohl noch etwas abwarten.

Mögliche Cookie-Plugins sind Borlabs Cookie, Cookiebot, DSGVO Pixelmate oder Cookie Notice for GDPR von dfactory für kleine (private) Websites

Sollten Sie Hilfe benötigen helfen wir Ihnen gerne. Bitte nehmen Sie Kontakt zu uns auf oder senden Sie uns eine E-Mail unter hallo@kexdesign.de.