Toms IT-Tipp – Wer Cookies einsetzen will, benötigt die Einwilligung der Besucher der Website

Der Europäische Gerichtshof (EuGH) hat heute ein Urteil (vom 1. Oktober 2019, Rechtssache C‑673/17) erlassen, das erhebliche Auswirkungen auf eine Vielzahl von Webseitenbetreiber haben wird. 

In diesem Urteil wurde festgestellt, „dass ein voreingestelltes Ankreuzkästchen keine wirksame Einwilligung zum Setzen von Cookies darstellt, dass Art. 6 I a der DSGVO nicht unterschiedlich auszulegen ist, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht und der Anbieter einer Website dem Nutzer Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu geben hat“. 

Diese Feststellungen haben es in sich und verpflichten die meisten Betreiber zu einigen wichtigen Änderungen auf ihren Webseiten:

So sind die bislang üblichen und vielfach verwendeten Cookie-Banner, die unterstellen, dass der Besucher einer Website mit der Setzung von Cookies einverstanden ist, nicht mehr zulässig. Ebenso wenig reicht ein reiner Hinweis in den Datenschutzerklärungen. 

In Zukunft muss der Anbieter die Besucher seiner Website ausführlich über die Nutzung der Cookies informieren und benötigt für deren Verwendung eine ausdrückliche Einwilligung! 

Außerdem muss der Betreiber der Website darüber informieren, welche Daten zu welchen Zwecken verarbeitet werden, welcher Dienst die Cookies verarbeitet und wie lange deren Lebensdauer ist.

Die ausdrückliche Einwilligung kann nur über eine leere Checkbox oder ähnliches erfolgen, die vom Besucher der Website angeklickt wird. 

Es gibt nur sehr wenige Fälle, in denen eine Einwilligung nicht zwingend notwendig ist und zwar dann, wenn das Setzen eines Cookies „unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen“ (s. Art. 5 III der ePrivacy-Richtlinie). Hierzu gehören zum Beispiel Session-Cookies für den Warenkorb und das Einloggen, aber auf keinen Fall Cookies für Analyse- oder Werbezwecke.

Im Ergebnis bleibt festzuhalten, dass enormer Handlungsbedarf besteht. Die Änderungen sollten von Webseitenbetreibern zügig umgesetzt werden. Die Rechtssache wurde zwar zunächst an den BGH zurückverwiesen, der dann abschließend in dieser Sache entscheiden wird. Das EuGH-Urteil ist aber für den BGH bindend, sodass es zu keiner anderen Entscheidung mehr kommen wird. Dieses Urteil gilt im Übrigen auch ausdrücklich für die Regelungen der DSGVO.

Außerdem ist davon auszugehen, dass die Aufsichtsbehörden für den Datenschutz dieses Urteil bei Ihren Prüfungen, Anordnungen und Bußgeldverfahren bereits jetzt schon umsetzen werden, zumal sie sich durch den EuGH sicherlich in ihrer bisherigen Einschätzung in Sachen Cookies bestätigt sehen. In der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (Stand März 2019) und den FAQ zu Cookies und Tracking des LfDI Baden-Württemberg kamen die Behörden letztlich zum identischen Ergebnis: Ohne Einwilligung keine Cookies!