Cookies (fast) nur noch mit Opt-In möglich
Bereits Ende Juli haben wir aufgrund des „Fashion ID“-Urteils vom 05.07.2019 über die Pflicht zur Einwilligung für Cookies auf Webseiten informiert. Am 01.10.2019 nun hat der EuGH in einem weiteren Urteil (im sog. „Planet49“-Verfahren) die Pflicht zur Einwilligung für „nicht notwendige“ Cookies auf Webseiten bekräftigt. (Das Urteil)
Ein Auszug aus der Pressemeldung:
„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. [betrifft Frage 1. a) und c)]
Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. [betrifft Frage 1. b)
Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.
Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss. [betrifft Frage 2.]“
Konkret bedeutet dies nun, dass für alle nicht notwendigen Cookies eine vorherige Einwilligung erforderlich ist, denn alle nicht notwendigen Cookies sind nur auf der Rechtsgrundlage der Einwilligung (Artikel 6 Abs. 1 lit. a DSGVO) einsetzbar. Hierzu bietet sich der Einsatz von Cookie Consent Tools / Cookie Opt-In Bannern an.
Weiterhin dürfen die Ankreuzhäkchen/Checkboxen NICHT voreingestellt sein, sondern müssen vom Webseitenbesucher aktiv gesetzt werden. Erst dann dürfen die Cookies gesetzt werden. Ausnahmen bilden „notwendige“ Cookies, also solche, die für den funktionierenden Betrieb der Seite während des Besuchs erforderlich sind. Diese können vom Webseitenanbieter auf Basis seines berechtigten Interesses (Artikel 6 Abs. 1 lit. f DSGVO) ohne Einwilligung eingesetzt werden. Hier wird jedoch eine enge Auslegung erwartet.
Folgende Cookies dürften als „notwendig“ gelten:
• Warenkorb-Cookies eines Onlineshops,
• Login-Status in Foren,
• Sprachauswahl der Webseite,
• Cookies, die eine Cookie-Einwilligung speichern.
Cookies für Zwecke des (Re-)Marketings oder der Analyse dürften jedoch keinesfalls als notwendig eingestuft werden. Hier kann zukünftig nur die informierte Einwilligung als Rechtsgrundlage infrage kommen.
Darüber hinaus muss jedoch auch die Informationspflicht gemäß Artikel 13 DSGVO erfüllt sein, weshalb es beispielsweise erforderlich ist, die Speicherdauer der Cookies konkret zu benennen. Dies kann im Cookie-Banner selbst oder in der Datenschutzerklärung erfolgen, aus Gründen der Transparenz empfehlen wir ersteres.
Übrigens geht es hierbei nicht nur um Cookies, sondern um alle möglichen Technologien, die Daten auf den Geräten der Besucher speichern und/oder auslesen oder diese erkennbar machen (Fingerprints z.B.).
Mit folgenden Maßnahmen sollten Sie sich nun kurzfristig auseinandersetzen:
1. Zunächst gilt es, Ruhe zu bewahren.
2. Analysieren Sie für Ihre Webseiten, ob und welche Cookies eingesetzt werden. Prüfen Sie kritisch, ob alle Cookies tatsächlich benötigt werden. Alles was weg kann, sollte auch dringend weg.
3. Klassifizieren Sie die übrig gebliebenen Cookies in „notwendig“ und „nicht notwendig“. Daraus ergibt sich die Rechtsgrundlage für den Einsatz des jeweiligen Cookies.
4. Implementieren Sie entsprechende Cookie Banner / Consent Tools, um für die „nicht notwendigen“ Cookies die Opt-Ins einzuholen. Es empfiehlt sich hier auf Drittanbieter Tools zurückzugreifen, z.B.: Cookie-Bot, Usercentrics, Borlabs (nur WordPress), etc. WICHTIG: Cookie-Banner / Consent Tool müssen so konfiguriert sein, dass nicht notwendige Cookies erst nach dem Opt-In aktiviert/gesetzt werden.
5. Nun müssen noch die Informationstexte zu den Cookies und in der Datenschutzerklärung überprüft und ggf. angepasst werden.
Bei all diesen Maßnahmen werden Sie vermutlich Unterstützung durch Ihre Webseiten-Agentur sowie Ihren Datenschutzbeauftragten benötigen. Daher ist hier eine saubere Koordination essentiell wichtig.
