Recht + Steuern -

Aktive Einwilligung EuGH-Urteil: Worauf Unternehmen bei Cookies jetzt achten müssen

Der EuGH hat entschieden, dass für das Setzen von bestimmten Cookies künftig eine aktive Einwilligung des Nutzers im Sinne eines Opt-Out-Verfahrens erforderlich ist. Allerdings ändert sich kurzfristig noch nichts an der bisherigen Rechtslage, da nun zunächst wieder der deutsche Gesetzgeber und der Bundesgerichtshofs am Zug sind.

Ursache des Rechtstreits war eine Klage des Bundesverbands der Verbraucherzentralen gegen den Betreiber der Webseite Planet49. Dieser hatte im Zuge eines Gewinnspiels zwei Hinweistexte platziert. Der erste Hinweis bezog sich auf die Verarbeitung der Personendaten zu Werbezwecken und war nicht vorangekreuzt (sogenanntes Opt-In-Verfahren). Der zweite Hinweistext aber war vorangekreuzt (Opt-Out-Verfahren) und informierte über den Einsatz eines Analysetools welches Cookies zur Auswertung des Nutzer- und Surfverhaltens auf den Endgeräten der Gewinnspielteilnehmer speichern wollte.

Der EuGH entschied, dass eine Einwilligung ein aktives Verhalten der Nutzer zur Speicherung und zum Abruf von Informationen auf seinem Endgerät voraussetzt. Dies kann nach Ansicht des Gerichts nicht durch eine voreingestellte Opt-out-Funktion ermöglicht werden, bei der die User das Häkchen in der Checkbox entfernen müssen. Denn es besteht immer die Gefahr, dass einzelne User diese Checkbox übersehen. Sie haben dann keineswegs aktiv zugestimmt, da sie gar nicht wahrgenommen haben, dass hier Auswahlmöglich bestand.

Cookie ist nicht gleich Cookie

Allerdings hat der Europäische Gerichtshof auch klargestellt, dass es weiterhin Ausnahmen von der Einwilligungserfordernis gibt. Sofern "die Speicherung von Informationen oder der Zugriff auf Informationen, (...) unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann". Dies bedeutet beispielsweise für Online-Shops, dass Warenkorb- und Session-Cookies nicht unter die strengeren Vorgaben fallen werden.

Von diesem Urteil betroffen sind einerseits die oft eher unseriösen Vorgehensweisen wie der Einsatz von "Spyware", "Web-Bugs" oder "Hidden Identifiers" ebenso aber auch gängige (Re-) Targeting Analyse-Tools die Adserver mit Cookie-Funktionen nutzen. Solche Anbieter, nutzen Technologien, die es Webseitenbetreibern erlauben, Besucher, die bereits die eigene Website besucht haben, wieder zu finden und sie zu bewerben. Ziel ist es, abgesprungene Kunden zurückzugewinnen. Aber auch im normalen Target-Marketing werden Cookies verwendet. Beispielsweise um Kunden auf anderen Seiten weitere Angebote präsentieren zu können. Beides fällt dann künftig unter die strengeren Vorgaben.

Das Aus für das Re-Tageting?

Der Einsatz solcher Programme wird natürlich weiterhin möglich sein, nur wird der User dann künftig vorher aktiv zustimmen müssen. Hierbei reicht es nicht aus, einen Hinweis einzublenden wie "Diese Webseite verwendet Cookies" welcher dann mit einem "OK" bestätigt werden kann, doch nur bei einen "damit bin ich nicht einverstanden" wird der Einsatz nicht stattfinden. Stattdessen kann der Einsatz dieser Instrumente künftig nur noch stattfinden, wenn der User wirklich zugestimmt hat. Also erst nach dem "Ok". Dieser kleine aber feine Unterschied könnte die Erfolgsaussichten eines Re-Targetings verringern, sollten viele User das "OK" verweigern.  

Erweiterte Informationspflichten?

Im Zuge des Verfahrens beschäftigte sich der EuGH darüber hinaus mit der Frage, welche Informationen über den Einsatz und die Funktionsweise der Cookies dem Endnutzer künftig zur Verfügung gestellt werden müssen. Hierbei stellte der Europäische Gerichtshof klar, dass der User in die Lage versetzt werden muss, das genaue Ausmaß seiner erteilten Einwilligung abzuschätzen. Hierunter fallen beispielsweise die Empfänger der gesammelten Daten (Drittanbieter und Softwareanbieter) und die Dauer der Datenspeicherung. Die Informationen müssen zudem klar und verständlich formuliert werden. Viele der sogenannten Cookie-Banner enthalten derzeit aber noch keine detaillierten Informationen über das Ausmaß der Datenspeicherung. Dies wird sich ändern müssen.

Der Ball liegt jetzt beim Bundesgerichtshof. Dieser muss nach dem Vorabentscheid des EuGH eine entsprechende Auslegung oder Anpassung deutscher Normen finden. Das Wirtschaftsministerium  wiederum plant eine Anpassung des deutschen Telemediengesetzes um die Widersprüche zu den europäischen Normen zu beheben. Bis es so weit ist, müssen Webseiten- und Online-Shop-Betreiber noch nichts unternehmen, empfehlenswert wäre es aber bereits im Vorfeld folgendes zu prüfen:

1. Welche Cookies werden gesetzt und welche davon sind unbedingt erforderlich, um den Nutzer den Aufruf der Webseite zu ermöglichen?

2. Welche Cookies enthalten personenbezogene Daten?  Für diese gelten die strengeren Vorgaben der DSGVO.

3. Gibt es bereits einen Cookie-Banner und wie wurde dieser gestaltet? Ein "Friss oder stirb" ist nicht mehr möglich. Die Banner müssen künftig ausreichende Informationen enthalten und nach dem Opt-In-Prinzip gestaltet werden.

© deutsche-handwerks-zeitung.de 2019 - Alle Rechte vorbehalten