Am 01.10.2019 hat sich der Europäische Gerichtshof in seinem Urteil (C-637/17) zur Setzung von Cookies geäußert.

I. Worum ging es in dem Urteil?

Geklagt hatte der Bundesverband der deutschen Verbraucherzentrale auf Unterlassung. Die angeklagte Gesellschaft hatte ein Gewinnspiel online gestellt, mit welchem sie auch Daten für Werbezwecke sammelte. Auf der Anmeldeseite war unter anderem auch ein vorausgefülltes Kästchen zur Einwilligung der Cookie-Speicherung integriert. Der EuGH stellt klar, dass voreingestellte Cookies unzulässig sind. In dem Sachverhalt hatten die Gewinnspielteilnehmer sich nämlich mit dem Gewinnspiel einverstanden erklärt, nicht aber mit der Setzung von Cookies.

II. Welche Folgen hat das Urteil für Internetseitenbetreiber?

Grundsätzlich ist die E-Privacy-Verordnung, welche insbesondere auch die Verfahrensweise bei Cookies regeln soll, noch im Entwurfsstadium. In dem Urteil des EuGHs wird aber nunmehr explizit klargestellt, dass insbesondere bei Tracking- und Werbemaßnahmen eine vorherige Einwilligung einzuholen ist.

Bisher herrschte immer noch Unklarheit, inwieweit der Cookie-Banner gestaltet werden muss. Zumeist haben Webseitenbesucher bisher die Möglichkeit Cookies mittels Opt-Out Verfahren abzuwählen. Bei einer strengen Auslegung der DS-GVO ist der Einsatz von Cookies nur möglich, wenn im Vorfeld eine Einwilligung nach Art. 4 Nr. 11 DS-GVO des Webseitennutzers eingeholt wurde. Ausgenommen vom Einwilligungserfordernis sind dabei Cookies die für den technischen Betrieb einer Internetseite unbedingt erforderlich sind. Beispielhaft können technisch notwendige Cookies solche sein, die für den Anmeldevorgang benötigt werden, das Senden einer Nachricht ermöglichen oder das Funktionieren des Warenkorbs sicherstellen.

Wer nun also auch Cookies einsetzt, die nicht notwendig sind, muss vom Webseitenbesucher nun eine explizite Einwilligung nach dem Opt-In-Verfahren abfragen. Werden Cookies zu Zwecken wie Marketing und Tracking eingesetzt, reicht nach dem Urteil ein allgemeiner Cookie-Banner nicht aus. Der Webseitenbesucher muss aktiv durch z.B. Setzen eines Hakens bestätigen, dass diese Cookies eingesetzt werden können. Grundsätzlich noch nicht gänzlich geklärt ist, ob für bestimmte Kategorien von Cookies eingewilligt werden kann oder, ob für jedes Cookie einzeln eine Einwilligung eingeholt werden muss. Ebenfalls herrscht auch Unsicherheit darüber, ob und in welchem Umfang (z.B. Session-Cookies) erforderliche Cookies gespeichert werden dürfen.

III. Was müssen Sie nun konkret klären?

In erster Line muss geklärt werden, welche Cookies eingesetzt werden. Sofern auch nicht notwendige Cookies eingesetzt werden, muss entsprechend vor Nutzung der Webseite eine Einwilligung abgefragt werden. Grundsätzlich gilt, um auf der sicheren Seite zu sein, dass für jedes Cookie bzw. den entsprechenden Cookie-Vorgang eine Einwilligung erfolgen muss. In der Praxis ist hier eine Checkbox mit Aktiven Setzen eines Hackens sinnvoll. Erst nach dem Setzen des Hakens darf dann mit der Cookie-Nutzung begonnen werden. Für die Implementierung solcher Checkboxen gibt es verschiedene Plugins auf dem Markt, welche wiederum vor Einsatz auf Datenschutzkonformität überprüft werden sollten.

In der Checkbox sollte der Nutzer über Art und Funktion des Cookies informiert werden, Angaben zur Lebensdauer der Cookies erhalten und über die Datenverarbeitungsvorgänge und mögliche Datenübermittlungen aufgeklärt werden. Um sich auch über die allgemeine Datenverarbeitung informieren zu können, sollte auch die Datenschutz- bzw. Transparenzerklärung verlinkt werden.