Cookies – EuGH Urteil

Der Europäische Gerichtshof (EuGH) hat mit gestrigem Urteil eine Änderung der Cookie Nutzung beschlossen. Seit langem wurde befürchtet, dass diese Verschärfung des Internetrechts in Kraft tritt. Cookies, welche den Zweck verfolgen, das Nutzungsverhalten des Besuchers zu tracken, müssen nun aktiv vom Nutzer bewilligt werden. Für diese Zustimmung muss eine Einwilligung gemäß Art. 6 Abs. 1 lit a) EU DSGVO eingeholt werden. Die Entscheidung bedeutet aber nicht das Ende des Cookie-Banners. Das Gericht stoppt damit nur die weit verbreitete Zustimmung per vorangekreuztem Häkchen.

Cookies, welche für die technische Bereitstellung des Dienstes unabdingbar sind, betrifft diese Verfahrensweise nicht.

Was sind Cookies?

Cookies

Cookies sind kleine Scripte, die zwischen dem Endgerät des Nutzers und den Servern des Anbieters Daten austauschen. Allgemein werden mit dem Begriff meist HTTP-Cookies bezeichnet, mit deren Hilfe Websites Nutzerdaten lokal und serverseitig speichern, um einzelne Funktionen und Webanwendungen wie Onlineshops, soziale Netzwerke und Foren nutzerfreundlicher gestalten zu können.

Welche Arten von Cookies gibt es?

Ohne Cookies ist ein Surfen im Internet nicht möglich. Cookies werden benötigt um:

  • die Einstellungen
  • die Sicherheit
  • die Prozesse
  • und den Sitzungsstatus

zu gewährleisten.

Vom Urteil betroffen sind Cookies, die

  • zu Werbezwecken oder
  • zu Analysezwecken

eingesetzt werden und damit unbemerkt Einfluss auf das Verhalten den Besuchers nehmen oder dieses auswerten. Dies betrifft unter anderem:

  • Google Analytics, Google Doubleclick
  • und Matomo

sowie aktive Inhalte von

  • Google Maps, Facebook, Instagram
  • Youtube,
  • Vimeo
  • Hubspot
  • Cross-Device Tracking
  • Remarketing
  • Profiling
Google Analytics
Google-Script auf der Website eines Anbieters

Vom Urteil betroffen sind Cookies, die zu Werbezwecken oder zu Analysezwecken eingesetzt werden und damit unbemerkt Einfluss auf das Verhalten den Besuchers nehmen oder dieses auswerten.

Wie kam es zu diesem Urteil?

Der EuGH sieht das Speichern von Informationen auf Endgeräten des Nutzers als Eingriff in die Privatsphäre an, welche durch die Europäische Konvention zum Schutz von Menschenrechten und Grundfreiheiten geschützt ist. „Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“, besagt das Urteil“. Bisher nutzten Websitebetreiber den Cookiebanner um den Besucher über die Verwendung von Cookies in Kenntnis zu setzen. Es war dem technischen Sachverstand des Nutzers überlassen, durch Veränderung der Einstellungen im Browser das Tracking zuzulassen oder zu verhindern.

Mit dem aktuellen Urteil des EuGH‘s geht die Pflicht nun auf den Websitebetreiber über. Dieser muss die Nutzer um aktive Einwilligung zur Verarbeitung des Nutzungsverhaltens auf der Website bitten. Darüber hinaus ist er verpflichtet, den Besucher, über die genutzten Tool‘s und die Verweildauer des Cookies auf dem Endgerät in Kenntnis zu setzen.

Fazit: Wie können Cookies konform verwendet werden?

Die sicherste Lösung

Die sicherste Lösung besteht unzweifelhaft darin, die Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster um aktive Einwilligung zu bitten. Dies geschieht, in dem der Nutzer via Opt-In zustimmt. Hier sollte natürlich darauf geachtet werden, dass an dieser Stelle vor der Einwilligung noch kein Tracking-Cookie gesetzt wird. Die meisten Nutzer werden es als lästig empfinden, so dass Ihre Conversion-Rates unter Umständen sinken. Das Design der Website wird durch diese Einwilligung auch in der Regel nicht schöner.

E-Privacy- Verordnung gibt weitere Restriktionen

Die E-Privacy-Verordnung, welche mit in Kraft treten der EU DSGVO verabschiedet werden sollte, wird einheitliche Vorgaben für den Einsatz von Cookies und das Betreiben von Websiten beinhalten. Derzeit ist jedoch noch nicht abzusehen, wann diese endgültig beschlossen wird. So lange sind einzelne EuGH Urteile richtungsweisend.

Muss die Datenschutzerklärung geändert werden?

Ja, die bestehenden Informationen der genutzten Trackinganbieter reichen nicht mehr aus, um den Informationspflichten gemäß Art. 12 ff. DSGVO nachzukommen. Die Rechtsgrundlage zur Nutzung der betroffenen Cookies stützt sich nun auf den Art. 6 Abs. 1 lit a) EU DSGVO. Desweiteren müssen zusätzliche Angaben in der Beschreibung enthalten sein, wie z.B. die Verweildauer des Cookies auf dem Endgerät.

Um Ihre Website an die aktuellen Anforderungen anzupassen, muss der Datenschutzbeauftragte in den Prozess involviert werden. Dieser stellt fest, welche Trackingtools auf der Website aktiv sind. Mit den Anbietern muss gegebenfalls eine Auftragsverarbeitungsvereinbarung geschlossen werden. Bei Übertragung von personenbezogenen Daten in ein Drittland gelten zusätzliche Vorschriften welche die Sicherheit gewährleisten können wie:

Cookie Website Check