Letzten Dienstag fällte der Europäische Gerichtshof EuGH ein Urteil zur Einholung von Cookie-Zustimmungen, das weithin als Paukenschlag wahrgenommen wurde. Warum? Weil der EuGH die bislang meist verbreitetste Lösung der Zustimmungseinholung als unzulässig befand — nämlich die reine Information bei bereits aktivierter Cookie-Setzung unter Angebot einer Möglichkeit, diese zu deaktivieren „Opt-out-Lösung“. Was ist nun zu tun – ist dringender Handlungsbedarf angesagt?
Die Antwort ist: jein – es kommt darauf an:
- Wer derzeit reine Hinweise auf Cookies nutzt,
- die Zustimmung implizit einholt (durch Voreinstellung, Scrollen, „weitere Nutzung der Site“…) und
- dabei mehr als nur rein „technisch notwendige“ Cookies setzt,
MUSS schnell handeln.
- Wer ausschließlich rein „technisch notwendige“ Cookies nutzt und
- darüber ausreichend deutlich informiert,
hat KEINEN Handlungsbedarf.
In der Praxis bedeutet dies für viele reine Content-Websites ohne Integration von Marketingfunktionen – aber auch Shops, die lediglich Cookies für den Warenkorb o.ä. einsetzen: Hier kann man sich beruhigt wieder hinlegen.
Allerdings dürften die wenigsten professionellen Websites so geführt werden, dass rein „technisch notwendige“ Cookies verwendet werden. Die meisten werden darüber hinaus Tracking-/Analyse-Funktionen enthalten sowie weitere Funktionen, die als nicht technisch essentiell für die Funktion der Website anzusehen sind.
Soviel im Schnelldurchlauf. Hier die Details:
Sitebetreiber müssen „liefern“
Dass nach den Bestimmungen der DSGVO die Sitebetreiber die Nutzer ihrer Websites aufklären müssen, dass Cookies auf ihrem Rechner gespeichert werden — und welche dies genau sind — ist bekannt.
In der Folge gibt es heute wohl kaum noch eine Website, die nicht einen mehr oder minder störend platzierten Cookie-Hinweis enthält — den die meisten Nutzer dann durch pauschales „wegklicken“ oder gar rein über Scrollen auf der Seite „quittieren“.
Eigentlich ebenfalls längst bekannt ist, dass die nun kommende ePrivacy-Verordnung die Pflichten bezüglich der Cookiesetzung konkretisieren wird. Und zwar soweit bereits bekannt dahingehend, dass es dem Nutzer möglich sein muss, eine Auswahl zu treffen, welche Cookies er akzeptieren will und welche nicht. Ebenfalls nicht neu ist, dass die Nutzung einer Website auch erlaubt sein muss, ohne bestimmte Cookies zu akzeptieren.
Dabei sind die Sitebetreiber in der Pflicht, neben der umfangreichen Information eben auch das Aktivieren/Deaktivieren über Websitefunktionen anzubieten. Während also denkbar wäre, dass die Nutzer auch auf die Mechanismen der Browser verwiesen werden könnten, nimmt bereits in der DSGVO der Gesetzgeber die Sitebetreiber in die Pflicht.
Opt-out ist tot, Opt-in tut Not
Dass die verbreitetste Praxis der Cookie-Information, bei der auf die Cookies nur hingewiesen und die Zustimmung des Nutzers an den Besuch bzw. die weitere Nutzung der Website gebunden ist, nicht ausreicht, um dem Gesetz genüge zu tun, war nun die Aussage des Gerichtes.
Dass das Gericht so urteilen würde, war allerdings — liest man die DSGVO und insbesondere die ePrivacy-Entwürfe als Konkretisierung der DSGVO in diesem Punkt aufmerksam — wie gesagt im Grunde vorauszusehen. Spätestens mit dem Inkrafttreten der ePrivacy-Verordnung wäre diese Konkretisierung also eh gekommen.
Dennoch ist das Urteil als Paukenschlag aufgenommen worden, da es die bisher am häufigsten verwendete Praxis kassiert, nämlich die Nutzer nur zu informieren und eine Zustimmung mehr oder minder zu erzwingen.
Stattdessen muss der Websitebesucher vor dem Setzen der Cookies nun explizit gefragt werden und dabei darf die Zustimmung weder vorausgefüllt sein noch zur Bedingung für die Websitenutzung gemacht werden.
Es muss vielmehr die explizite Zustimmung des Nutzers eingeholt werden.
Ausnahme „technisch notwendige Cookies“
Dabei hat das Urteil allerdings glücklicherweise zwischen verschiedenen Arten von Cookies unterschieden. So sieht das Gesetz — und entsprechend auch das Gericht — dass es Cookies gibt, die technisch notwendig sind.
Als Beispiel sind Cookies genannt, die beispielsweise eine Warenkorbfunktion vermitteln oder solch, die den Zugang zu internen Websitebereichen ermöglichen.
Für Shopbetreiber ist dies zunächst eine gute Nachricht. Leider aber ist der Begriff „technisch notwendig“ recht schwammig. Leider nicht darunter fallen beispielsweise Marketingfunktionen, Google Analytics etc. Dabei dürften Onlinehändler gerade manche Marketingfunktionen durchaus als technisch notwendig ansehen — denkt man beispielsweise an Remarketingfunktionen oder an Funktionen, die die Preise entsprechend anpassen, z.B. um über Preisportale eingehende Kunden mit den korrekten (Werbe-)Preisen bedienen zu können.
Cookies zunächst deaktiviert halten
In der Praxis dürfte jeder professionelle Onlineshop daher sowohl Cookies setzen, für die nach der aktuellen Rechtsprechung die Zustimmung erzwungen werden darf, als auch solche, die nun vom Nutzer freiwillig ANgewählt werden müssen.
Das bedeutet: Während Session-Cookies sowie auch das Cookie, das die Cookie-Entscheidung des Nutzers festhält, automatisch aktiviert sein dürfen, müssen Funktionen, die Analytics-Cookies und ähnliches setzen, zunächst deaktivert sein. Erst wenn der Nutzer diese über ein Formular aktiv auswählt und bestätigt, dürfen diese Cookies dann gesetzt werden.
Grauzone: Welche Cookies müssen freiwillig sein?
Welche Cookies genau in welche der beiden Gruppen fallen — technisch notwendig oder freiwillig anzuwählen — ist dabei wie gesagt nicht detailliert klar. Hier werden im Zweifelsfall weitere Urteile immer mal wieder zu Neusortierungen führen.
Denn dass die nun per EuGH-Urteil weiter festgezurrten Pflichten eine Steilvorlage für Abmahnungen sind, steht sicherlich außer Frage.
Erhebliche Auswirkungen
Denn es hat teilweise erhebliche Auswirkungen, wenn marketingrelevante Cookies vom Nutzer erst ausdrücklich angeschaltet werden müssen.
Tatsächlich werden viele Nutzer von der Möglichkeit Gebrauch machen, diese Cookies deaktiviert zu belassen. Dadurch fehlen in den Analysen viele Besucher. Zudem verlieren manche Daten auch an Schärfe. Beispielsweise werden Besucher, wenn sie das Analytics-Cookie erst aktivieren, während sie sich ja bereits auf der Website/im Shop befinden, zunächst automatisch als Direct-Besucher gezählt — est bei späteren Besuchen greift das Tracking der Herkunft dann.
All dies stellt eine starke Einschränkung der Markting-Möglichkeiten dar, soweit diese über Cookies vermittelt werden. Händler, die sich nun an die (gar nicht wirklich so) neuen Regelungen halten, haben damit einen Nachteil gegenüber Händlern, die nicht reagieren.
Abmahnungen wären damit eine logische Konsequent — und im Grunde angesichts der Nachteile auch nicht wirklich unfair.
Weitere Quellen/Handlungsanleitungen gibt es hier:
Herzlich aus Hürth
Nicola Straub
Bildnachweis: rawpixel/pixabay, CC0
Lädt...
IT-Recht im Juli – Ein Rückblick für Online-Händler
Rückblick: Die wichtigsten Urteile und Gesetze im Juni 2017
HHeinemann meint
9. Oktober 2019 um 08:07Einwilligung für jede Cookie-Art erforderlich
Der EuGH differenziert ausdrücklich NICHT zwischen einem Cookie, welches personenbezogene Daten speichert, und solchen Cookies, die das nicht tun.
Nicola Straub meint
9. Oktober 2019 um 15:23Das ist korrekt. Darum unterscheide ich in dem Artikel ebenfalls /nicht/ danach. Darüber hinaus geht es auch /nicht/ darum, ob ein Cookie von einer dritten Seite aus gesetzt wird (z.B. Annalyse-Cookies, VGWort-Cookies etc.) oder von der besuchten Website selbst. „Cookie ist Cookie, alle krümeln“ könnte man es scherzhaft zusammenfassen — es muss über JEDE Cookiesetzung entsprechend umfassend informiert werden und wie beschrieben muss jede Cookiesetzung freiweillig ANgeschaltet werden vom Nutzer, mit Ausnahme eben von „technisch notwendigen“ Cookies.
Herzlich aus Hürth
Nicola Straub
HHeinemann meint
11. Oktober 2019 um 10:33hallo, das ist nicht ganz richtig, denn der Gerichtshof hat sich in seinem Urteil nur mit Cookies befasst, für die eine Einwilligung erforderlich ist, und für diese Cookies die Frage geklärt, wie diese Einwilligung gegeben werden muss. Der Gerichtshof hat sich nicht mit Cookies befasst, für die nach Artikel 5 Absatz 3 Satz 2 der Datenschutzrichtlinie für elektronische Kommunikation (2002/58) keine Einwilligung erforderlich ist (siehe dazu Randnummer 10 des Urteils).
Nicola Straub meint
22. Oktober 2019 um 15:07Entweder habe ich etwas übersehen, oder ich verstehe den Einwand nicht: Genau das habe ich doch geschrieben, dass generell immer solche Cookies ausgenommen sind, die technisch notwendig sind… Im übrigen muss aber auch über diese informiert werden, nur dürfen sie eben voraktiviert sein und eine Deaktivierung muss nicht ermöglicht werden. Genau das habe ich allerdings auch ausgeführt. Oder was genau meinen Sie?
Herzlich, Nicola Straub
Oliver meint
17. Dezember 2019 um 13:35Danke für den Artikel.
Ich setze gerade einen neuen Shop auf und überlege, ob ich Google Anlaytics, Facebook und Konsorten einfach weg lasse.
Welcher Besucher hat denn die Zeit, sich meinen „Cookie-Pop-Up durch zu lesen und Häckchen zu setzen. Aus Marketing Sicht ist das eine absolute Bremse.
Also kann mich sich das Ganze doch bis zur nächsten Entscheidung sparen, da die Daten dann nicht mehr relevant sind, oder wie sehen Sie das?
Eine Verständnisfrage, da ich kein Programmierer bin, wird mit klicken auf Gefällt mir und den anderen SocialMediaWidgets auch Cookies gesetzt?
Liben Dank
Oliver