Aktive Einwilligung für Cookies erforderlich
Der EuGH definiert mit seinem Urteil vom 01.10.2019 - Planet49 – Anforderungen an Cookie-Banner.
Auf nahezu jeder Website befinden sich Cookies im Einsatz. Einige sind technisch notwendig, andere nicht. Meist werden beim Aufruf einer Website sämtliche Cookies automatisch gesetzt. Die Nutzer werden per Cookie-Banner lediglich informiert, da die Banner häufig so konfiguriert sind, dass der Nutzer sie einfach stehen lassen oder allen gesetzten Cookies mit einem Klick zustimmen kann.
Das Urteil des Europäischen Gerichtshof (EuGH) besagt, dass solch ein Verhalten gegen die gesetzlichen Bestimmungen verstößt. Der EuGH hat entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung (Opt-In) des Nutzers bedarf. Dies gilt unabhängig davon, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das automatische Setzen ist nur gestattet, sofern Cookies für die Nutzung einer Website aus technischer Sicht notwendig sind. Angenommen ein Unternehmen betreibt einen Online-Shop, so darf das Cookie gesetzt werden, welches die Funktionalität des Warenkorbs sicherstellt. In Summe sind dies jedoch vergleichsweise wenige Cookies. Bereits Cookies, die z.B. der Webanalyse dienen, gelten nicht als technisch notwendig. Somit dürfen sie auch nicht automatisch gesetzt werden.
Ist das auch in Deutschland umzusetzen?
Das Telemediengesetz (TMG) in Deutschland erachtet – im Gegensatz zur E-Privacy-Richtlinie der EU – bisher eine Opt-Out Lösung zwar als ausreichend und die E-Privacy-Verordnung der EU (die unmittelbar auch in Deutschland gelten würde) lässt weiter auf sich warten, es empfiehlt sich gleichwohl die vom EuGH formulierten Anforderungen umzusetzen. Das Bundeswirtschaftsministerium kündigte bereits eine Änderung des TMG an und die E-Privacy-Verordnung könnte bald verabschiedet werden.
Welche Maßnahmen müssen Seitenbetreiber ergreifen?
Schritt 1: Zunächst sollten Unternehmen eine Analyse der Ist-Situation vornehmen. Es ist zu prüfen, ob und welche Cookies zum Einsatz gelangen. Anschließend wird ermittelt, wann diese gesetzt werden und ob sie als technisch notwendig gelten oder eine Einwilligung des Nutzers erfordern.
Schritt 2: Befindet sich ein Cookie-Banner im Einsatz, ist ergänzend zu prüfen, ob dieses den datenschutzrechtlichen Anforderungen gerecht wird, indem u.a. keine unzulässige Vorbelegung stattfindet.
Schritt 3: Im nächsten Schritt sind technische Maßnahmen zu ergreifen, damit ein datenschutzkonformes Setzen der Cookies erfolgt. Darüber hinaus kann die Notwendigkeit bestehen, die Datenschutzerklärung der Website anzupassen.
Fazit
Der EuGH hat eine Entscheidung von großer Reichweite getroffen. Sie betrifft so gut wie alle Unternehmen, da Dritte leicht ermitteln können, ob ein Seitenbetreiber die geltenden Cookie-Regeln einhält oder ob ein Verstoß vorliegt. In den meisten Fällen besteht damit Handlungsbedarf.
Urteil des Gerichtshof vom 01.10.19