Letzten Dienstag fällte der Europäische Gerichtshof EuGH ein Urteil zur Einholung von Cookie-Zustimmungen, das weithin als Paukenschlag wahrgenommen wurde. Warum? Weil der EuGH die bislang meist verbreitetste Lösung der Zustimmungseinholung als unzulässig befand — nämlich die reine Information bei bereits aktivierter Cookie-Setzung unter Angebot einer Möglichkeit, diese zu deaktivieren „Opt-out-Lösung“. Was ist nun zu tun – ist dringender Handlungsbedarf angesagt?
Die Antwort ist: jein – es kommt darauf an:
- Wer derzeit reine Hinweise auf Cookies nutzt,
- die Zustimmung implizit einholt (durch Voreinstellung, Scrollen, „weitere Nutzung der Site“…) und
- dabei mehr als nur rein „technisch notwendige“ Cookies setzt,
MUSS schnell handeln.
- Wer ausschließlich rein „technisch notwendige“ Cookies nutzt und
- darüber ausreichend deutlich informiert,
hat KEINEN Handlungsbedarf.
In der Praxis bedeutet dies für viele reine Content-Websites ohne Integration von Marketingfunktionen – aber auch Shops, die lediglich Cookies für den Warenkorb o.ä. einsetzen: Hier kann man sich beruhigt wieder hinlegen.
Allerdings dürften die wenigsten professionellen Websites so geführt werden, dass rein „technisch notwendige“ Cookies verwendet werden. Die meisten werden darüber hinaus Tracking-/Analyse-Funktionen enthalten sowie weitere Funktionen, die als nicht technisch essentiell für die Funktion der Website anzusehen sind.
Soviel im Schnelldurchlauf. Hier die Details:
Sitebetreiber müssen „liefern“
Dass nach den Bestimmungen der DSGVO die Sitebetreiber die Nutzer ihrer Websites aufklären müssen, dass Cookies auf ihrem Rechner gespeichert werden — und welche dies genau sind — ist bekannt.
In der Folge gibt es heute wohl kaum noch eine Website, die nicht einen mehr oder minder störend platzierten Cookie-Hinweis enthält — den die meisten Nutzer dann durch pauschales „wegklicken“ oder gar rein über Scrollen auf der Seite „quittieren“.
Eigentlich ebenfalls längst bekannt ist, dass die nun kommende ePrivacy-Verordnung die Pflichten bezüglich der Cookiesetzung konkretisieren wird. Und zwar soweit bereits bekannt dahingehend, dass es dem Nutzer möglich sein muss, eine Auswahl zu treffen, welche Cookies er akzeptieren will und welche nicht. Ebenfalls nicht neu ist, dass die Nutzung einer Website auch erlaubt sein muss, ohne bestimmte Cookies zu akzeptieren.
Dabei sind die Sitebetreiber in der Pflicht, neben der umfangreichen Information eben auch das Aktivieren/Deaktivieren über Websitefunktionen anzubieten. Während also denkbar wäre, dass die Nutzer auch auf die Mechanismen der Browser verwiesen werden könnten, nimmt bereits in der DSGVO der Gesetzgeber die Sitebetreiber in die Pflicht.
Opt-out ist tot, Opt-in tut Not
Dass die verbreitetste Praxis der Cookie-Information, bei der auf die Cookies nur hingewiesen und die Zustimmung des Nutzers an den Besuch bzw. die weitere Nutzung der Website gebunden ist, nicht ausreicht, um dem Gesetz genüge zu tun, war nun die Aussage des Gerichtes.
Dass das Gericht so urteilen würde, war allerdings — liest man die DSGVO und insbesondere die ePrivacy-Entwürfe als Konkretisierung der DSGVO in diesem Punkt aufmerksam — wie gesagt im Grunde vorauszusehen. Spätestens mit dem Inkrafttreten der ePrivacy-Verordnung wäre diese Konkretisierung also eh gekommen.
Dennoch ist das Urteil als Paukenschlag aufgenommen worden, da es die bisher am häufigsten verwendete Praxis kassiert, nämlich die Nutzer nur zu informieren und eine Zustimmung mehr oder minder zu erzwingen.
Stattdessen muss der Websitebesucher vor dem Setzen der Cookies nun explizit gefragt werden und dabei darf die Zustimmung weder vorausgefüllt sein noch zur Bedingung für die Websitenutzung gemacht werden.
Es muss vielmehr die explizite Zustimmung des Nutzers eingeholt werden.
Ausnahme „technisch notwendige Cookies“
Dabei hat das Urteil allerdings glücklicherweise zwischen verschiedenen Arten von Cookies unterschieden. So sieht das Gesetz — und entsprechend auch das Gericht — dass es Cookies gibt, die technisch notwendig sind.
Als Beispiel sind Cookies genannt, die beispielsweise eine Warenkorbfunktion vermitteln oder solch, die den Zugang zu internen Websitebereichen ermöglichen.
Für Shopbetreiber ist dies zunächst eine gute Nachricht. Leider aber ist der Begriff „technisch notwendig“ recht schwammig. Leider nicht darunter fallen beispielsweise Marketingfunktionen, Google Analytics etc. Dabei dürften Onlinehändler gerade manche Marketingfunktionen durchaus als technisch notwendig ansehen — denkt man beispielsweise an Remarketingfunktionen oder an Funktionen, die die Preise entsprechend anpassen, z.B. um über Preisportale eingehende Kunden mit den korrekten (Werbe-)Preisen bedienen zu können.
Cookies zunächst deaktiviert halten
In der Praxis dürfte jeder professionelle Onlineshop daher sowohl Cookies setzen, für die nach der aktuellen Rechtsprechung die Zustimmung erzwungen werden darf, als auch solche, die nun vom Nutzer freiwillig ANgewählt werden müssen.
Das bedeutet: Während Session-Cookies sowie auch das Cookie, das die Cookie-Entscheidung des Nutzers festhält, automatisch aktiviert sein dürfen, müssen Funktionen, die Analytics-Cookies und ähnliches setzen, zunächst deaktivert sein. Erst wenn der Nutzer diese über ein Formular aktiv auswählt und bestätigt, dürfen diese Cookies dann gesetzt werden.
Grauzone: Welche Cookies müssen freiwillig sein?
Welche Cookies genau in welche der beiden Gruppen fallen — technisch notwendig oder freiwillig anzuwählen — ist dabei wie gesagt nicht detailliert klar. Hier werden im Zweifelsfall weitere Urteile immer mal wieder zu Neusortierungen führen.
Denn dass die nun per EuGH-Urteil weiter festgezurrten Pflichten eine Steilvorlage für Abmahnungen sind, steht sicherlich außer Frage.
Erhebliche Auswirkungen
Denn es hat teilweise erhebliche Auswirkungen, wenn marketingrelevante Cookies vom Nutzer erst ausdrücklich angeschaltet werden müssen.
Tatsächlich werden viele Nutzer von der Möglichkeit Gebrauch machen, diese Cookies deaktiviert zu belassen. Dadurch fehlen in den Analysen viele Besucher. Zudem verlieren manche Daten auch an Schärfe. Beispielsweise werden Besucher, wenn sie das Analytics-Cookie erst aktivieren, während sie sich ja bereits auf der Website/im Shop befinden, zunächst automatisch als Direct-Besucher gezählt — est bei späteren Besuchen greift das Tracking der Herkunft dann.
All dies stellt eine starke Einschränkung der Markting-Möglichkeiten dar, soweit diese über Cookies vermittelt werden. Händler, die sich nun an die (gar nicht wirklich so) neuen Regelungen halten, haben damit einen Nachteil gegenüber Händlern, die nicht reagieren.
Abmahnungen wären damit eine logische Konsequent — und im Grunde angesichts der Nachteile auch nicht wirklich unfair.
Weitere Quellen/Handlungsanleitungen gibt es hier:
Herzlich aus Hürth
Nicola Straub
Bildnachweis: rawpixel/pixabay, CC0