Planet49: EuGH entscheidet zu Cookies – Was jetzt zu tun ist

Der Europäische Gerichtshof (EuGH) hat aktuell entschieden, dass Website-Betreiber vor dem Setzen von Cookies eine Einwilligung der Nutzer einholen müssen. Ausnahmen gelten für Cookies, die funktionsnotwendig sind. Website-Betreiber müssen auf das Urteil reagieren und ihre Websites umstellen.

Was sind Cookies?

Cookies sind kleine Dateien, die der Browser auf der Festplatte ablegt. Cookies enthalten Informationen, mit denen ein Webserver den Besucher auf Folgeseiten wiedererkennen kann. Daher sind sie wichtig für Webshops, um den Warenkorb zu steuern. Cookies ermöglichen auch, dass der Webserver den Besucher beim nächsten Besuch der Website wiedererkennt. Das erleichtert den Zugang zu der Website, ohne jedes Mal die Passwörter neu eingeben zu müssen. Cookies können aber auch genutzt werden, um Besucher der Website zu tracken und Werbung anzuzeigen.

Wie war bisher die Rechtslage?

Seit Einführung des Internets war rechtlich umstritten, wie Cookies genutzt werden dürfen. Überwiegend nahm man an, dass die Opt out-Lösung gilt: Der Betreiber der Website muss in der Datenschutzerklärung auf die Cookies hinweisen. Website-Besucher, die keine Cookies wünschten, konnten ihren Browser entsprechend einstellen.

Dagegen nahmen die deutschen Datenschutzbehörden an, Cookies seien nur zulässig, wenn der Website-Besucher zuvor seine Einwilligung gegeben habe. Eine Ausnahme gelte nur für funktionsnotwendige Cookies.

Was hat der EuGH entschieden?

Der Europäische Gerichtshof hat sich nunmehr der Auffassung angeschlossen, dass Cookies nur nach vorheriger Einwilligung gesetzt werden dürfen. Zur Begründung stützt sich der EuGH sowohl auf die EU-Richtlinie 2002/58 vom 7.3.2002 als auch auf die Datenschutz Grundverordnung (DSGVO), die seit Mai 2018 gilt. Das Urteil kam nicht überraschend. Der Generalanwalt hat bereits im März 2019 dieselbe Ansicht vertreten. In einem Urteil von Juli 2019 hat sich abgezeichnet, dass der EuGH eine Einwilligung vor dem Setzten von Cookies verlangen wird.

Der EuGH hat in seinem Urteil außerdem entschieden, dass die Einwilligung zum Setzen der Cookies aktiv eingeholt werden muss. Es reicht nicht aus, ein Ankreuzkästchen (Checkbox) voreinzustellen, das der Nutzer abwählen muss. Der Nutzer muss selbst einen Haken setzen oder einen Button anklicken. Es kommt hinzu, dass der Betreiber der Website den Besuchern der Seite Informationen zu den Cookies geben muss, u. a. zur Identität des Verantwortlichen, zu den Zwecken der Verarbeitung, zu evtl. Dritten, die Zugriff auf die Cookies haben sowie zur Speicherdauer.

Was bedeutet das Urteil für die Praxis?

Website-Betreiber müssen jetzt analysieren, welche Cookies ihre Website setzt.

Soweit es sich um Cookies handelt, die für das Funktionieren der Website erforderlich sind, ist keine Einwilligung notwendig. Hier reicht eine Beschreibung in der Datenschutzerklärung. Dies gilt bspw. für Session-Cookies zur Steuerung eines Warenkorbes in einem Webshop.

Andere Cookies, wie z. B. Tracking-Cookies für Werbezwecke oder für Analytics, sind technisch nicht unbedingt erforderlich. Hierfür muss der Betreiber der Website eine Einwilligung einholen.

Eine Einwilligung holt man am besten über ein Banner ein. In das Banner werden wichtige Informationen aufgenommen. Dazu kommt ein Link zu einer ausführlichen Cookie-Policy. Über das Banner hat dann der Website-Besucher die Möglichkeit, den Cookies zuzustimmen. Erst wenn diese Zustimmung erklärt ist, dürfen die Cookies gesetzt werden.

Die Gestaltung des Banners und der Cookie Policy ist anspruchsvoll. Texte wie „Habe verstanden“ reichen nicht aus. Wichtig ist es, dass der Besucher sich „einverstanden“ erklärt oder die Cookies „akzeptiert“. Er muss auch die Möglichkeit haben, Cookies abzulehnen. In der Cookie-Policy müssen die Cookies benannt und ihre Funktionen, die Zwecke der Verarbeitung sowie die Speicherdauer u.a. beschrieben werden.

(EuGH, Urteil v. 1.10.2019, Rechtssache C – 673/17 – Planet49)

Arnd Böken, Rechtsanwalt und Notar
Berlin

Arnd Böken

Arnd Böken

ist Rechtsanwalt und Notar bei GvW Graf von Westphalen in Berlin. Er verfügt über langjährige Erfahrung im Bereich Informationstechnologie und Datenschutz. Arnd Böken berät Unternehmen zu Datenschutzprojekten, wie Datentransfer im internationalen Konzern, Datenschutzverträgen, Kundenbindungsprogrammen, Connected Car oder Compliance-Untersuchungen und bei der Einführung von IT-Anwendungen.


Oktober 2019


JETZT ANMELDEN