Reicht ein Cookie-Hinweis heute wirklich nicht mehr aus?
Viele Unternehmen verwenden auf ihren Internetseiten Cookies. Dies sind kleine Textdateien, die auf dem Computer des jeweiligen Seitenbesuchers gespeichert werden, um diesen zuordnen zu können.
Gesetzt werden diese Cookies aus unterschiedlichen Gründen. Einige sind technisch notwendig, um die Internetseite herstellen zu können oder stabil zu halten. Andere wiederum dienen dem Tracking und Analysen oder anderen Marketing-Zwecken.
Fraglich war bisher, wie Cookies datenschutzrechtlich zu behandeln sind, auf welcher Rechtsgrundlage solche gesetzt werden dürfen und ob ein einfacher Cookie-Hinweis bereits ausreicht, um DSGVO-konform zu sein.
Eine explizite Regelung zur Verwendung von Cookies ist in der Datenschutz-Grundverordnung (DSGVO) nicht enthalten. Vielmehr sind die allgemeinen Grundsätze der DSGVO anzuwenden und zu beachten.
EU-Cookie-Richtlinie:
Die europäische Richtlinie („EU-Cookie-Richtlinie“) sieht zwar eine ausdrückliche Einwilligung des Nutzers für die Verwendung von Cookies vor; jedoch wurde diese EU-Richtlinie nie ins nationale Recht (als Gesetz) umgesetzt. Aus diesem Grund entfaltet diese Regelung in Deutschland keine Wirkung.
Telemediengesetz:
Zurückgegriffen wurde auf die Regelung im Telemediengesetz (TMG), wonach der Nutzer zu unterrichten und auf sein Widerspruchsrecht hinzuweisen war. Dieser Vorgang erfolgt nach dem „Opt-Out-Prinzip“.
Mit Einführung der DSGVO im Mai 2018 schien dieser Weg gängige Praxis zu sein. Unternehmen setzen Cookies auf ihrer Internetseite ein und stützen sich dabei auf das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Hiernach wurden die Cookies beim Seitenbesuch automatisch gesetzt und seitens des Unternehmens über einen Informations-Banner (Cookie Hinweis) mitgeteilt, dass Cookies auf dieser Seite verwendet werden. Weitere Informationen sind in der Datenschutzerklärung erhältlich gewesen.
Teilweise wurde die Möglichkeit des Widerrufs eingeräumt, sodass eine Cookie-Setzung im Nachhinein deaktiviert werden konnte. Dies bedurfte jedoch einer aktiven Handlung des Seitenbesuchers die Cookies zu verhindern.
Andere Internetseiten informierten den Seitenbesucher in einem Banner über die Verwendung von Cookies und ließen sich durch:
„OK“, „Einverstanden“, „Ich stimme zu“
…oder eine andere Bezeichnung eine Bestätigung geben. Diese Bestätigung hatte auf das Setzen von Cookies jedoch keine wirkliche Auswirkung, da die Cookies mit oder ohne Bestätigung sowieso gesetzt waren. Eine wirkliche Entscheidungsfreiheit hatte der Seitenbesucher also nicht.
Urteil:
Am 01.10.2019 erging vom Europäischen Gerichtshof (EuGH), Az.: C-673/17, ein richtungsweisendes Urteil, welches mehr Klarheit in der Cookie-Thematik schaffen soll.
Ausführungen des EuGH zur ordnungsgemäßen Verwendung von Cookies:
Die Richter des EuGH stellten in ihrem ergangenen Urteil klar, dass Unternehmen eine ausdrückliche Einwilligung des Seitenbesuchers einholen müssen, wenn sie Cookies (für Tracking, Analysen und andere Marketing-Zwecke) verwenden möchten.
Die Einwilligung durch den Seitenbesucher muss demnach aktiv vorgenommen werden.
Ein vorausgefülltes Ankreuzfeld, wie es bislang die Mehrheit an Internetseiten genutzt hat, ist laut dem EuGH nicht wirksam. Cookies (für Tracking, Analysen und andere Marketing-Zwecke) seien nur noch über das Opt-In-Verfahren (aktives einwilligen) und nicht mehr über die Opt-Out-Methode möglich.
In diesem Zuge ist der Seitenbesucher, vor Erteilung der Einwilligung und Setzung der Cookies, über die möglichen Cookies zu informieren; insbesondere dahingehend, welcher Zweck verfolgt wird, welche Daten verarbeitet werden und wann der Cookie (bzw. die Daten) gelöscht wird.
Erst nach Erteilung der Einwilligung dürfen die entsprechend durch den Seitenbesucher gewählten Cookies auf der Internetseite gesetzt werden.