Das neue Cookie-Urteil des EuGh sollte im Fokus aller Websitebetreiber stehen. Doch worum geht es genau? Der Europäische Gerichtshof hat am 01.10.2019 entschieden, dass der Einsatz von nicht funktionalen Cookies nur dann zulässig ist, wenn der Nutzer seine aktive Einwilligung gibt. Der konkrete Anlass für dieses Urteil war die Klage der Verbraucherzentrale gegen ein Online-Gewinnspiel, bei dem die Teilnehmer durch ein bereits voreingestelltes Ankreuzfeld ihre Einwilligung für die Speicherung von Cookies erteilten. Die gespeichterten Userdaten wurden dann zu Marketingzwecken verwendet.
Laut EuGH ist mit einer Voreinstellung, die vom Nutzer aktiv abgewählt werden muss, keine explizite und damit gültige Einwilligung gegeben. Als zweite Voraussetzung für eine wirksame Einwilligungserklärung nennt der EuGH die Informationspflicht. Nach dieser muss der Nutzer in der Datenschutzerklärung (DSE) einer Website ausreichend über den Einsatz von Cookies aufgeklärt werden. Dazu gehören Informationen über
- die Funktion der verwendeten Cookies
- Rechtsgrundlage und Dauer der Datennutzung
- Zugriffsmöglichkeiten von Drittunternehmen
- die Widerspruchsmöglichkeit im Falle einer Einwilligung des Nutzers
Für welche Cookies gilt keine Einwilligungspflicht?
In dem Urteil vom 01.10.2019 beruft sich der EuGH auf die EU-Cookie-Richtlinie von 2002. Auf Basis dieser Richtlinie benötigen Cookies, die eine rein technische Funktion erfüllen, keine Einwilligungspflicht. Hierzu zählen alle Cookies, die für den bedarfsgerechten Betrieb einer Website benötigt werden. Mit der Funktionalität der Cookies verfolgt der Betreiber nach DSGVO Art. 6, 1f ein berechtigtes Interesse. Technisch notwendige und funktionale Cookies gehören zu den First Party Cookies. Diese Cookies werden auf dem Browser des Nutzers gespeichert und in der Regel nur von der besuchten Seite selbst genutzt.
Technisch notwendige Cookies sind z.B. Session Cookies, die Nutzereinstellungen für eine Browser-Sitzung speichern. Ihre Funktion besteht darin, den Online-Einkauf einfacher und angenehmer zu gestalten. Zu diesen Cookies gehören bspw. Warenkorb Cookies, Login-Cookies oder Cookies, mit denen die Sprachauswahl des Nutzers gespeichert wird. Auch Cookies von ausgewählten Zahlungsanbietern sind rein funktional, wenn die verwendeten Daten ausschließlich zur Abwicklung der Zahlung genutzt werden.
Rein funktionale Cookies dürfen also:
- Daten nur begrenzt nutzen
- keine Tracking des Nutzerverhaltens vornehmen
- keine Daten an Drittanbieter weiterleiten (Google, Facebook, etc.)
Das müssen Sie beim Einsatz von rein funktionalen Cookies beachten:
Auch wenn technisch notwendige Cookies keine Einwilligung benötigen, muss ihre Nutzung in der Datenschutzerklärung vermerkt sein. Außerdem muss die Datenschutzerklärung (DSE) über eine Opt-Out-Lösung verfügen, mit welcher der Einsatz von funktionalen Cookies verweigert werden kann.
Für welche Cookies gilt die Genehmigungspflicht?
Nach Art. 6 Abs. 1a der DSGVO ist die Verwendung von „personenbezogenen Daten für einen oder mehrere bestimmte Zwecke“ nur dann rechtmäßig, wenn die „betroffene Person (…) ihre Einwilligung zu der Verarbeitung“ gegeben hat.
Diese Einwilligungspflicht gilt für Cookies, die zur Optimierung von Marketingstrategien genutzt werden. Hierzu gehören alle Cookies, die das Nutzerverhalten für Werbe- und/oder Analysezwecke tracken und damit zur Profilbildung beitragen. Third Party Cookies, die Tracking-Daten an Drittunternehmen übermitteln, benötigen eine aktive Einwilligung des Nutzers.
In der rechtlichen Grauzone befinden sich momentan Tracking-Cookies, die das Nutzungsverhalten in pseudonomysierter Form analysieren (z.B. Google Analytics). Laut Telemediengesetz (TMG) § 15 Abs. 3 dürfen pseudonimisierte Nutzerprofile auch ohne Einwilligung erstellt werden, wenn der Nutzer darüber in der DSE informiert wird. Die deutsche Datenschutzkonferenz (DSK) nimmt hingegen den o.g. Art. 6 Abs. 1a der DSGVO als Rechtsgrundlage und erklärt auf dieser Basis jegliches Tracking für einwilligungspflichtig. Die Ausnahmeregelung des Telemediengesetzes ist für die DSK damit außer Kraft gesetzt.
Klarheit soll hier die ePrivacy Verordnung bringen. Mit dem Inkraftreten dieser Verordnung ist jedoch erst ab 2021 zu rechnen. Auf Nummer sicher gehen Sie also mit der Handlungsempfehlung der DSK.
Die sieben Kriterien für eine gültige Einwilligung:
- Aktive Bestätigung: Die Einwilligung des Nutzers muss über ein Cookie-Banner abgefragt und aktiv bestätigt werden.
- Freiwillige Einwilligung: Die Einwilligung muss freiwillig erfolgen. Der Nutzer muss also die Möglichkeit haben, den Einsatz von Cookies abzulehnen. Es ist nicht zulässig, die Nutzung einer Website nur bei Aktivierung der Cookies zu ermöglichen.
- Tracking-Start: Das Tracking personenbezogener Daten darf erst nach der aktiven Einwilligung beginnen.
- Widerrufsinformationen: Das Cookie-Banner muss über eine Widerrufsmöglichkeit der Einwilligung informieren.
- Opt-Out Möglichkeit: Der Widerruf muss über einen Opt-Out-Link in der DSE möglich sein.
- Notwendige Cookie-Informationen: In der DSE sind explizite Informationen zur Funktionsdauer der Cookies und zur Datenübermittlung an Drittunternehmen aufzuführen.
- Dokumentationpflicht: Die Einwilligung Ihres Nutzers muss mitsamt Datum und Einwilligungstext für einen möglichen Nachweis im System gespeichert werden.
Rechtlicher Hinweis:
Dieser Blogbeitrag ersetzt keine rechtliche Beratung für Ihr Unternehmen, es werden lediglich Hintergrundinformationen bereitgestellt. Wir weisen Sie deshalb darauf hin, dass wir trotz sorgfältiger Recherche für Vollständigkeit und Richtigkeit der Angaben keine Haftung übernehmen.
