Lange Zeit war die Notwendigkeit des Einsatzes von sog. “Cookie-Bannern” umstritten und selbst Aufsichtsbehörden für den Datenschutz waren sich nicht einig, ob ein Hinweis auf Cookies, untergebracht in der Datenschutzerklärung einer Webseite, nicht ausreichend ist, um den gesetzlichen Pflichten nachzukommen.
Worum geht es?
Nunmehr hat der Europäische Gerichtshof (EuGH) mit Urteil vom 01. Oktober 2019 diesen Streit faktisch entschieden, indem er sich klar für eine ausdrücklich einzuholende Einwilligung vor dem Setzen von Cookies auf dem Gerät des Nutzers ausgesprochen hat. Mithin sollten zukünftig vor dem Setzen aller technisch nicht notwendigen Cookies zuvor Einwilligungen der Betroffenen eingeholt werden und das mittels aktiver Handlung. Das bedeutet, dass ein passives, nicht erfolgendes Weghaken einer Checkbox (“Opt-Out”) oder der Hinweis, dass sich der Besucher einer Webseite durch seinen Besuch mit dem Setzen von Cookies einverstanden erklärt, nicht mehr ausreichen. Die Weiternutzung einer Webseite nach einem solchen Hinweis stellt laut EuGH keine Einwilligung für das Platzieren von Cookies dar.
Übrigens ist es hierbei irrelevant, ob die Cookies personenbezogene Daten enthalten oder nicht.
Soweit die Theorie. Wie dies in der Praxis tatsächlich umzusetzen ist wird sich allerdings noch zeigen, da bisher nicht geklärt ist, ob es genügt, dass Nutzer dem Setzen bestimmter “Cookie-Gruppen” zustimmen, oder ob tatsächlich für jedes einzelne Cookie eine gesonderte Einwilligung eingeholt werden muss. Zwar haben sich verschiedene Aufsichtsbehörden auf unsere Anfragen hin dergestalt geäußert, dass eine Zustimmung zum Setzen von “Cookie-Gruppen” als ausreichend angesehen wird, eine offizielle und ggf. sogar einstimmige Stellungnahme der Behörden steht hier allerdings noch aus.
Technisch notwendige Cookies ausgenommen
Ausgenommen von dem Einwilligungserfordernis sind lediglich sog. technisch notwendige Cookies. Vereinfacht gesagt, solche, die notwendig sind, um die durch den Nutzer angefragten Services zu erbringen.
Wann solche gegeben sind ist bisher allerdings nicht abschließend geklärt, jedoch dürften zumindest solche darunter fallen, über die die Warenkorbfunktion eines Online-Shops, oder der Login-Status auf einer Webseite gespeichert werden. Auch ein Cookie, der die erteilte Einwilligung zum Setzen von Cookies speichert, darf ohne Einwilligung des Nutzers auf dessen Gerät platziert werden.
Cookies, die Marketing- oder Trackingzwecken dienen, dürften jedoch in den allermeisten Fällen nicht unter diese Ausnahme fallen. Zuletzt ist darauf hinzuweisen, dass es in dem Urteil zwar lediglich um sog. Cookies ging, diese jedoch stellvertretend auch für alle anderen Trackingmechanismen stehen, so dass das Urteil sich auch auf diese auswirkt.
Handlungsbedarf
Wir empfehlen Unternehmen, sofern dies noch nicht der Fall ist, sich mit ihrer Webdesignagentur in Verbindung zu setzen und diese anzuweisen ein entsprechendes “Cookie-Banner” auf der Unternehmenswebseite anzubringen. Über das Banner, welches auf die Datenschutzerklärung der Webseite verlinken sollte, muss der Nutzer mindestens über folgende Punkte hinsichtlich der gesetzten Cookies informiert werden:
- Identität des Verantwortlichen
- Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind
- Weitere Informationen beispielsweise zu Empfängern oder Kategorien von Empfängern der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten
Sofern Unternehmen keine (technisch nicht notwendigen) Cookies einsetzen muss ein solches Banner selbstverständlich nicht gesetzt werden. Dennoch ist über diese in der Datenschutzerklärung zu informieren. Wie bereits erwähnt muss die Einwilligung ausdrücklich, d.h. mittels eines Klicks auf eine Schaltfläche, erfolgen. Ein Opt-Out ist nach dem Urteil des EuGH nicht mehr zulässig. Und zuletzt muss eine Einwilligung auch immer widerrufbar sein. Aus diesem Grund ist Nutzern eine entsprechende Möglichkeit einzuräumen.
Bei Fragen der praktischen Umsetzung sollte Ihnen Ihr Webdesigner hilfreich zur Seite stehen können.