EuGH-Urteil: Cookie-Banner ohne Opt-In rechtswidrig
Viele Cookie-Banner erfüllen aktuelle Anforderungen nicht
Paukenschlag des Europäischen Gerichtshofs (EuGH): Mit Urteil vom 1. 10. 2019 (Az. C‑673/17) hat das Gericht eine weit verbreitete Praxis zu Cookie-Hinweisen auf Webseiten für unzulässig erklärt. Ein Großteil der Webseiten auch von deutschen Anbietern dürfte aufgrund dieser Entscheidung datenschutzrechtlich zu beanstanden sein. Diese Webseiten müssen nun kurzfristig umgestaltet werden.
Welche Cookie-Hinweise der EuGH beurteilt hat
Dem EuGH war vom Bundesgerichtshof (BGH) u.a. die Frage vorgelegt worden, ob es ausreicht, wenn eine Webseite zwar auf die Verwendung von Cookies hinweist, nicht aber das Einverständnis des Besuchers der Webseite ausdrücklich erfragt.
Vielfach sind Webseiten nämlich so aufgebaut, dass
- der Besucher, also die „betroffene Person“, nur auf die Verwendung von Cookies hingewiesen wird („Unsere Webseite verwendet Cookies. Wir gehen von Ihrem Einverständnis aus, wenn Sie unsere Webseite nutzen.“)
- oder ein Cookie-Hinweis mit einem vorausgefüllten Kästchen (Checkboxen) angezeigt wird, das der Besucher abwählen muss, wenn er mit Cookies nicht einverstanden ist („Opt-Out“).
Der EuGH hat nun entschieden, dass diese beiden Varianten nicht den Anforderungen der EU-Datenschutzrichtlinie für elektronische Kommunikation entsprechen.
Besucher muss Cookies aktiv zustimmen
Gemäß EU-Recht (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation [Datenschutzrichtlinie für elektronische Kommunikation]) muss der Betreiber einer Webseite – dazu gehören auch Onlineshops – vor dem Einsatz von Cookies, die auf dem Gerät des Besuchers installiert werden, die „Einwilligung der betroffenen Person“ einholen.
Dazu sei es erforderlich, dass ein Besucher seine Einwilligung aktiv erklärt, z.B. durch Klicken auf einen entsprechenden Button („Ja, ich bin mit dem Einsatz von Cookies einverstanden“), auch als „Opt-In“ bezeichnet.
Die bloße Nutzung einer Webseite oder die Möglichkeit zum Widerspruch genügen nicht als Einwilligung.
Zusätzlich: Information über Einsatzzweck nötig
Als weitere Voraussetzung für den Einsatz von Cookies sieht der EuGH vor, dass der Betreiber einer Webseite „gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss“.
Ohne eine solche Information ist auch die aktiv erklärte Einwilligung unwirksam.
Anforderungen an die Gestaltung von Webseiten – handeln Sie jetzt!
Wie also müssen Webseiten gestaltet werden, die künftig rechtskonform Cookies einsetzen wollen? Sie müssen folgende Grundregeln beachten:
- Informieren Sie in Ihrem Cookie-Banner mindestens darüber,
- welche Informationen mit Ihren Cookies gespeichert werden,
- zu welchem Zweck Sie diese Informationen speichern,
- ob Sie Dritten Zugriff auf die Cookies gewähren, es sich also um einen Third-Party-Cookie handelt,
- wo der Besucher Ihre Datenschutzerklärung findet, um sich über Details zu informieren.
- Lassen Sie dem Besucher Ihrer Webseite eine echte Wahl, sich für oder gegen die Speicherung von Cookies zu entscheiden. Wenn Sie eine Checkbox für die Einwilligung verwenden, darf diese nicht vorausgefüllt sein. Die Voreinstellung muss immer ein Widerspruch gegen Cookies sein („Privacy by Default“).
Gericht stellt sich auch gegen „Hidden Identifiers“
Der EuGH stellt in seinem Urteil auch klar, dass die oben genannten Anforderungen nicht nur für solche Cookies gelten, die unmittelbar personenbezogene Daten speichern (Namen, Anschriften, E-Mail-Adressen etc.). Vielmehr gelten die Anforderungen auf für Cookies, die „nur“ gerätebezogene Merkmale („Unique Hardware IDs“) oder zufällige, aber eindeutige Kennzeichen (z.B. eine Seriennummer) enthalten.
Der EuGH begründet dies wie folgt: „Es macht keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.“
Sie brauchen Unterstützung?
Gern prüfen wir Ihre Webseite auf Übereinstimmung mit der aktuellen Rechtsprechung und begleiten Sie erforderlichenfalls bei der Umstellung auf die jetzigen Anforderungen.
Weiterführende Informationen:
Pressemitteilung des Europäischen Gerichtshofs (1. 10. 2019) als PDF