Mit seinem Urteil hat der Europäische Gerichtshof (EuGH) am 01.10.2019 einen Schlussstrich um die ewig währende Frage nach der europarechtlich einwandfreien Verwendung von Cookies gezogen. Die Luxemburger Richter entschieden, dass das Setzen von nicht unbedingt erforderlichen Cookies der vorherigen, aktiven Einwilligung des Internet-Nutzers bedarf – es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
Der Einsatz von Cookies ist grundsätzlich nur dann gestattet, wenn der betreffende Website-Besucher auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung dazu gegeben hat. So ist die Nutzung von Analyse-, Tracking- und Retargeting-Tools oder Affiliate-Programmen, die Cookies setzen, nur nach vorheriger Einwilligung zulässig. Eine wirksame Einwilligung muss wiederum freiwillig und aktiv erteilt werden und muss so formuliert sein, dass für den Betroffenen klar erkennbar ist, in was er einwilligt. Der Gerichtshof stellt ferner klar, dass Dienstanbieter gegenüber dem Nutzer hinsichtlich der Cookies Angaben zur Funktionsdauer und Zugriffsmöglichkeit Dritter machen müssen.
Ausnahmen bestehen nur in ganz engen Grenzen für solche Cookies, die unbedingt notwendig sind, um das Angebot zur Verfügung stellen zu können. Diese liegen mitunter vor, wenn die Speicherung unverzichtbar ist, um die Verwendung eines vom Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen (z. B. Warenkorbfunktion eines Web-Shops für die vorübergehende Speicherung von ausgewählten Artikeln).
Allen Website-Besuchern, die keine Einwilligung erteilen, muss es aber weiterhin möglich sein, das Online-Angebot zu nutzen, ohne dass Cookies gesetzt werden.
Neue Form der Information und Einwilligung einrichten
Um die seitens des EuGH formulierten Anforderungen umsetzen zu können, reichen einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, als Einwilligung nicht mehr aus. Die Einwilligung hat freiwillig, informiert, konkret und durch eine eindeutig bestätigende Handlung des Nutzers zu erfolgen. Für diese Form der Einholung von Einwilligungen auf Websites haben sich sog. Consent-Tools etabliert. Dabei wird durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website die Einwilligung eingeholt bevor Cookies gesetzt werden.
- Während das Cookie-Banner angezeigt wird, sind alle Skripte der Website, die Nutzerdaten erfassen, blockiert. Zustimmungsbedürftige Cookies dürfen noch nicht gesetzt werden. Der Zugriff auf Impressum und Datenschutzerklärung muss weiterhin möglich sein.
- Erst nachdem der Nutzer seine Einwilligung durch eine aktive Handlung – im Regelfall das Setzen eines Häkchens – erteilt hat, dürfen die einwilligungsbedürftigen Datenverarbeitungsprozesse beginnen.
- Der betroffene Nutzer hat das Recht, die Einwilligung jederzeit zu widerrufen und muss vor Abgabe der Einwilligung über dieses Recht informiert werden. Der Widerruf muss in ebenso einfacher Weise wie die Einwilligung möglich sein.
- Die erteilten Einwilligungen sind zu protokollieren, damit im Streitfall der Nachweis einer korrekt erteilten Einwilligung erbracht werden kann. Die informierte Einwilligung muss so formuliert sein, dass für den Betroffenen erkennbar ist, für welche konkreten Datenverarbeitungen er einwilligt.
- Die Datenschutzbehörden plädieren dafür, dass Cookie-Banners in Zukunft eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge beinhalten soll. Jeder beteiligten Akteur soll benannt und deren Funktion sowie die beabsichtigten Verarbeitungen ausreichend erklärt werden. Über ein Auswahlmenü sollen diese einzeln aktiviert werden können.
Anpassung der Datenschutzerklärung erforderlich!
Auf der Website ist in der Datenschutzerklärung über alle Datenverarbeitungsprozesse explizit zu informieren. Das bedeutet, für Tools und Cookies, die nur noch mit Einwilligung verwendet werden dürfen, muss in der Datenschutzerklärung auch über die Einwilligung als Rechtsgrundlage informiert werden. Aus diesem Grund ist die Datenschutzerklärung hinsichtlich der Angaben zu den eingesetzten Cookies sowie deren Kategorie und Funktionsweise unbedingt zu prüfen und entsprechend der konkreten Verwendung anzupassen.
02.10.2019
Photo by Christina Branco on Unsplash