Der Europäische Gerichtshof (EuGH) hat Anfang Oktober 2019 die bisher umstrittene und wichtige Frage geklärt, unter welchen Voraussetzungen eine Website Cookies setzen darf (EuGH, 1.10.2019 – C-673/17 „planet49“).
Aktive ausdrückliche Einwilligung ist Voraussetzung
Der EuGH hat nun klargestellt, dass dafür eine aktive, ausdrückliche Einwilligung des Nutzers Voraussetzung ist.
Es reicht also nicht aus:
- einen bloßen Cookie-Hinweis zu setzen, der die Nutzer über die gesetzten Cookies lediglich informiert oder
- eine Cookie-Einwilligungsabfrage zur Verfügung zu stellen, in der die Einwilligung in Cookies voreingestellt (vorangehakt) ist.
Denn ein passives „Nicht-Abhaken“ der Einwilligung in Cookies erstellt laut Urteil keine ausdrückliche Einwilligung dar.
Vorangehakte Einwilligung und bloßer Cookie-Hinweistexte reichen nicht aus
Damit sind die Zeiten bloßer Cookie-Hinweistexte definitiv vorbei. Als Website-Betreiber können Sie sich nämlich ab sofort nicht mehr damit herausreden, dass die Rechtslage bisher nicht eindeutig gewesen sei. Denn ab sofort ist sie es in diesem Punkt.
Eine fehlende und wirksame Cookie-Einwilligungsabfrage ist deshalb ab heute auf jeder Webseite Pflicht, die Cookies verwendet, die nicht unbedingt notwendig sind.
Notwendige Cookies erlaubt, doch welche Cookies sind notwendig?
Denn notwendige Cookies dürfen weiterhin auch ohne Einwilligung gesetzt werden. Dabei ist sicherlich nicht immer klar, welche Cookies nun konkret notwendig sind und welche nicht.
Ziemlich sicher zu den notwendigen Cookies gehören:
- Cookies über den Login-Status bei Websites, bei denen Sie sich anmelden können,
- bei Online-Shops ein Warenkorb-Cookie und
- bei mehrsprachigen Websites ein Cookie, der die Auswahl der Sprache festhält.
Marketing-Cookies sind KEINE notwendigen Cookies
Marketing-Cookies gehören definitiv nicht (!) zu den notwendigen Cookies in diesem Sinne, auch wenn Werbetreibende das sicherlich persönlich ganz anders sehen.
Darüber hinaus müssen Sie als Website-Betreiber die Nutzer über die Anbieter, Arten und Funktionsweisen der Cookies informieren, außerdem über die Speicherdauer. Auch das stellt das Urteil klar. Diese Informationen sollten Sie möglichst in der Datenschutzerklärung liefern.
Separate Einwilligung in Cookies einzelner Anbieter?
Nicht klar ist nach dem Urteil, ob in die einzelnen Cookies der einzelnen Anbieter (Facebook, Google) auch separat eingewilligt werden muss. Die Klärung dieser Frage bleibt wohl einem späteren Urteil vorbehalten. Wer auf Nummer sicher gehen möchte, sollte dies tun. Es wird derzeit jedoch auch für ausreichend angesehen, die Cookies in Kategorien zu unterteilen, zum Beispiel Marketing, Statistik, externe Medien etc.
Opt-Out zur Verfügung stellen
In der Cookie-Einwilligungsabfrage müssen Sie die Nutzer auf die Freiwilligkeit der Einwilligung hinweisen. Außerdem auf das Widerrufsrecht bzw. die Möglichkeit zum Opt-Out, die Sie dem Nutzer auf der Website geben müssen. Der Nutzer muss also auf der Website die Möglichkeit haben, seine Cookie-Einwilligung wieder zu ändern.
Cookie-Einwilligung als Zugangsvoraussetzung?
Ebenfalls nicht geklärt wurde die Frage, ob die Nicht-Einwilligung in Cookies dazu führen darf, dass der Nutzer die Website nicht besuchen darf. Hier wird es wohl eher auf eine Einzelfallbetrachtung hinauslaufen. Bei essenziellen Informationen etwa einer Gesundheitsbehörde oder auch eines Arztes muss das wahrscheinlich eher verneint werden. Bei privaten Websites wird es wohl erlaubt sein. Dazwischen liegt eine ziemlich breite Grauzone.
Zugangsgebühr für cookiefreien Besuch wohl zulässig
Die Nutzung einer Website ohne Cookie-Einwilligung von der Zahlung einer Zugangsgebühr abhängig zu machen, wird derzeit wohl überwiegend als zulässig angesehen. Vor allem dann, wenn die Zugangsgebühr im moderaten Bereich liegt.
Was ist nun zu tun? Fragen Sie am besten sofort in Ihrer IT-Abteilung bzw. bei Ihrem IT-Dienstleister nach, ob die Behandlung der Cookie-Einwilligung auf Ihren Websites den Erfordernissen des aktuellen EuGH-Urteils entspricht. Falls nicht, sollten Sie das schnellstmöglich ändern lassen.
Gern helfen wir weiter!
karsten@dr-fingerle.de
2.10.2019
Referat Datenschutz
Uwe Karsten
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Fachanwalt für Verkehrsrecht
Betrieblicher Datenschutzbeauftragter