Artikel
EuGH-Urteil zu Cookies: Was müssen Website-Betreiber in Zukunft beachten?
Die in der Praxis am häufigsten verwendeten Cookie-Banner-Lösungen wie beispielsweise „Wir verwenden Cookies auf unserer Website – mit der Nutzung unserer Website erklären Sie sich mit der Nutzung von Cookies einverstanden“ oder „Ja, ich erkläre mich mit der Verwendung von Cookies einverstanden“ sind infolge einer aktuellen Entscheidung des Europäische Gerichtshof (EuGH; C‑673/17) nicht mehr zulässig.
Kurz zum Sachverhalt: Was ist überhaupt passiert?
Ein deutsches Unternehmen (Planet 49) veranstaltete auf einer Website ein Gewinnspiel zu Werbezwecken. Bei Aufruf der Website erschien am unteren Bildschirmrand ein Cookie-Banner mit vorangekreuzten Checkboxes (Kästchen), wodurch der Websitenutzer dem Setzen von Cookies auf seinem Endgerät vorab einwilligte (die Entscheidung zur Einwilligung wird dem User sozusagen vorweggenommen). Der deutsche Bundesverband der Verbraucherzentralen erachtete dies für unzulässig und erhob eine Unterlassungsklage gegen Planet 49. Der deutsche Bundesgerichtshof ersuchte den Europäischen Gerichtshof (EuGH) um Klarstellung.
EuGH stellt Anforderungen für Cookie-Banner
Der EuGH entschied zunächst, dass die Nutzung vorangekreuzter Kästchen jedenfalls unzulässig ist, da es sich dabei um keine freiwillige Einwilligung handelt. Daran ändert auch der Umstand nichts, dass der Websitenutzer die vorangekreuzten Kästchen nachträglich abwählen (Haken entfernen) kann.
Weiters stellte der EuGH klar, dass dies für jede Art von Cookies gilt und zwar unabhängig davon, ob diese personenbezogene Daten verarbeiten oder nicht.
Schließlich hob der EuGH auch hervor, dass das Ankreuzen von leeren Kästchen alleine nicht ausreicht. Vielmehr müssen die Websitenutzer ausreichend über die Datenverarbeitungen informiert werden, da sie andernfalls die Tragweite ihrer (durch das Anhaken der Kästchen) Entscheidung nicht übersehen können.
Und all dies, so der EuGH, muss erfolgen bevor bei Abruf der Website irgendwelche Daten des Websitenutzers verarbeitet werden.
Für notwendige Cookies, die für die Nutzung der Website benötigt werden, bedarf es keiner Einwilligung. Aktuell gibt es jedoch keinen klar definierten Katalog an notwendigen Cookies für Website-Betreiber.
Jetzt alles klar?
Mit der vorliegenden Entscheidung beantwortet der EuGH einige, aber doch nicht alle Fragen zur korrekten Implementierung von Cookies. Eindeutig und für die Websitebetreiber wichtig ist, dass die Cookies nicht vorangekreuzt sein dürfen, zu den einzelnen Cookies umfassende Informationen (insbesondere zu deren Zweck, Funktionsdauer, Datenweitergabe an Dritte etc.) zu erteilen sind und eine Datenverarbeitung nicht vor erteilter Einwilligung und Informationserteilung erfolgen darf.
Offen bleibt, ob bestimmte Cookies dennoch keiner gesondert zu erteilenden Zustimmung bedürfen. Viele Websitebetreiber definieren daher eine Kategorie „notwendige Cookies“ und belassen diese Kategorie mit einem vorangekreuzten (und auch nicht abwählbaren) Haken. Ob dies wirklich zulässig ist, ist fraglich.
Jedenfalls, und das ist unbestritten, müssen Websitebetreiber nach der vorliegenden EuGH Entscheidung Cookie-Banner umfassend neu regeln, um nicht gegen die Datenschutzgrundverordnung zu verstoßen. Hier nicht zu handeln, wäre mit dem Risiko der Verhängung von Geldbußen durch die Datenschutzbehörde verbunden.