EuGH-Urteil zum Cookie-Hinweis
Braucht jetzt jede Website einen Cookie-Hinweis?

Der EuGH hat DSGVO-Unsicherheiten zum Cookie-Hinweis beseitigt: Nutzer müssen Einwilligungen aktiv erteilen – vorangekreuzt gilt nicht! Was bedeutet das für Website-Betreiber? Die wichtigsten Antworten.

, von

Das Thema Cookie-Hinweis geht vielen auf den Keks. Doch wer Bescheid weiß, muss kein DSGVO-Bußgeld fürchten.
Das Thema Cookie-Hinweis geht vielen auf den Keks. Doch wer Bescheid weiß, muss kein DSGVO-Bußgeld fürchten.
© PolaRocket / photocase.de

Muss sich nach dem EuGH-Urteil jeder Website-Betreiber mit dem Thema Cookie-Hinweis befassen?

Nach dem Urteil der Richter am Europäischen Gerichtshof (AZ C-673/17, einfach erklärt in dieser Pressemitteilung) ist klar: Mit Cookie-Hinweisen müssen sich alle Website-Betreiber beschäftigen, die auf ihrer Seite mehr bieten als reine Informationen – inzwischen also so gut wie alle. Sobald eine Website beispielsweise ein Youtube-Video zeigt, das Google-Maps-Tool auf der Anfahrts-Seite nutzt, die Reichweite mit Google Analytics misst oder einen Online-Shop bereitstellt, setzt sie Cookies ein – und darüber müssen Nutzer laut Datenschutzgrundverordnung (DSGVO) informiert werden.

Was sind Cookies?

Cookies sind Textdateien, die Webbrowser auf dem Computer von Nutzern speichern. Besucht ein Nutzer eine Website zum ersten Mal, wird ein Cookie im Browser angelegt, der Informationen sammelt. Zu diesen Daten gehört eine zufällig erstellte Nummer, über die eine Website den Nutzer quasi wiedererkennt, wenn dieser sie ein zweites Mal aufruft.

Cookies speichern zudem etwa Einstellungen, die der Nutzer auf der Website vorgenommen hat (beispielsweise zur Sprache), Angaben zur Zeit, die er auf der Seite verbracht hat – sowie persönliche Daten, die Nutzer über Formulare selbst eingegeben haben, etwa Name und Email-Adresse. Zudem legen Cookies Informationen zur Frage ab, welche Unterseiten ein Nutzer besucht oder welche Begriffe er in die Suchmaske eingibt.

Allein mithilfe solcher Cookies ist es etwa möglich, im Online-Shop einen Warenkorb zwischenzuspeichern, die Reichweite einer Seite zu messen – oder personalisierte Werbeangebote einzublenden.

Was ist ein Cookie-Hinweis?

Website-Betreiber sind laut DSGVO verpflichtet, Nutzer darüber aufzuklären, wenn ihre Seite Cookies nutzt, welche Daten diese speichern – und inwieweit sie an Dritte weitergeleitet werden. Eine beliebte Möglichkeit, diese Pflicht zu erfüllen, ist der Cookie-Hinweis, auch Cookie-Banner genannt: eine Einblendung auf der Homepage, die Besucher darüber informiert, dass die Website Cookies setzt – und auf die Datenschutzerklärung mit genaueren Angaben verweist.

Wie war die Rechtslage in Sachen Cookie-Hinweis bisher?

Das große Problem: Die meisten der aktuell genutzten Cookie-Banner sind nicht konform mit dem Datenschutzrecht.

Zur Person
David Oberbeck ist Partner der Hamburger Datenschutzkanzlei Herting Oberbeck. Der Rechtsanwalt berät vor allem in Fragen des Wettbewerbs-, IT- und Datenschutzrechts. Zu diesen Themen hält er auch Vorträge und gibt Seminare.

Das hat vor allem drei Gründe:

  1. Die DSGVO regelt zwar grundsätzliche Pflichten von Website-Betreibern – was genau das für den Cookie-Hinweis bedeutet, ist jedoch umstritten.
  2. Es fehlen derzeit einheitliche europäische Regelungen zu Cookies, da die geplante ePrivacy-Verordnung bislang nicht verabschiedet ist. Sie soll beispielsweise vorgeben, dass insbesondere Tracking-Cookies nur mit Einwilligung der Nutzer zulässig sind.
  3. Die meisten Cookie-Banner bieten dem Nutzer derzeit keinerlei Einflussmöglichkeit. Ob er auf „akzeptieren“ klickt oder nicht – das Tracking läuft so oder so. Nur in den wenigsten Fällen können Website-Besucher eine Auswahl treffen, welche Cookies sie akzeptieren und welche nicht.

Entsprechend ernüchternd fällt das Urteil von Experten wie David Oberbeck aus, Rechtsanwalt mit Schwerpunkt Datenschutz und IT-Recht: „Aktuell gleicht die Cookie-Praxis dem Autofahren ohne Sicherheitsgurt vor der Anschnallpflicht: Es gibt keine Vorschriften, jeder macht in Wildwest-Manier, was er will – und beruft sich dabei auf die sogenannte Interessensabwägung.“

Was bedeutet das aktuelle Urteil für die Rechtslage zum Cookie-Hinweis?

In dem aktuellen Verfahren vor dem Europäischen Gerichtshof (EuGH, AZ: C-673/17, Stand: Oktober 2019) haben die Richter geregelt: Entscheiden sich Website-Betreiber dafür, Nutzern die Möglichkeit zu geben, in die jeweilige Cookie-Praxis einzuwilligen, dann reicht es nicht, ein voreingestelltes, angekreuztes Kästchen zu präsentieren, das der Nutzer abwählen muss, um seine Einwilligung zu verweigern (die sogenannte „Opt-out“-Lösung). Dies verstoße gegen die Bestimmungen der DSGVO: Sie schreibt vor, dass Nutzer ihre Einwilligung aktiv erteilen müssen. Und das, so die Richter, gehe nur, indem Website-Betreiber darüber informieren, welche Art Cookies sie nutzen – und dem Nutzer die Möglichkeit geben, selbst über Anklick-Boxen zu entscheiden, mit welchen Cookies sie einverstanden sind (die sogenannte „Opt-in“-Lösung).

Außerdem entschieden die Richter: Website-Betreiber haben die Pflicht, die Nutzer ihrer Seiten klar und umfassend darüber zu informieren, welche Art Cookies wie lange genutzt werden – und inwieweit sowie für welche Dauer Dritte Zugriff auf die erhobenen Daten erhalten.

Damit folgten die Richter dem Schlussantrag des Generalanwalts. „Dieses Urteil zeigt deutlich auf, wo die Reise hingeht“, so Rechtsanwalt Oberbeck. „Jetzt ist klar: Es werden weitere konkrete Regelungen in Sachen Datenschutz bei Cookie-Hinweisen kommen – und unter Umständen erfordern, dass die Website-Betreiber neue technische Lösungen nutzen, die einen höheren Aufwand und höhere Kosten bedeuten. Der Druck auf sie ist mit diesem Urteil deutlich gestiegen.“

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Wenn die meisten aktuellen Cookie-Hinweise gegen Datenschutzrecht verstoßen – droht eine Bußgeld-Welle?

Mit dem aktuellen Urteil des EuGH ist das Risiko deutlich gestiegen, wegen eines unzureichenden oder fehlenden Cookie-Hinweises eine Abmahnung und ein Bußgeld zu kassieren. „Auch wenn der EuGH in seinem Urteil gar nicht darüber entschieden hat, ob Website-Betreiber überhaupt generell für Cookies eine Einwilligung einholen müssen, so haben Verbraucherschutz-Verbände und Aufsichtsbehörden durch die Erklärungen der Richter Rückenwind bekommen“, erklärt Rechtsanwalt Oberbeck. „Viele haben die Entscheidung des EuGH noch abgewartet und fühlen sich nun gestärkt in ihrer Einschätzung, dass die gängige Cookie-Praxis nicht in Ordnung ist. Und das wird sich natürlich darin äußern, dass Behörden und Verbände mehr Verfahren anstrengen.“

Diese Entwicklung werde sich weiter verstärken, so der Experte. „Ich gehe davon aus, dass der EuGH demnächst entscheiden wird, dass zumindest für Third-Party-Cookies und solchen zu Werbezwecken zwingend eine Einwilligung einzuholen ist. Und da die Richter mit ihrem aktuellen Urteil festgelegt haben, dass die aktive Opt-in-Einwilligung die datenschutzrechtlich einzig mögliche ist, führt langfristig am Consent-Banner kein Weg vorbei“, so Oberbeck weiter. „Und das wiederum kann in Zukunft durchaus eine Abmahn-Welle zur Folge haben. Die ersten Verfahren dazu liegen schon auf meinem Tisch.“

Allerdings sei es wichtig  zu wissen: Auch wenn die DSGVO bei sehr schweren Verstößen gegen den Datenschutz Bußgelder von bis zu vier Prozent des Jahresumsatzes festschreibt, werden diese nicht gegenüber kleineren Unternehmen verhängt. „Die Bußgelder müssen verhältnismäßig sein“, erklärt Rechtsanwalt Oberbeck. „Die ersten bekannten Bußgelder nach der DSGVO in Deutschland bewegen sich eher im unteren fünfstelligen Bereich – und betreffen bislang auch nicht das Thema Cookie-Banner.“

Was sollten Website-Betreiber in Sachen Cookie-Hinweis unternehmen, um Bußgeldern vorzubeugen?

Sollte eine Aufsichtsbehörde eine Website unter die Lupe nehmen, funktioniert eine Argumentation à la „Aber andere Seiten nutzen doch auch Cookies ohne Cookie-Hinweis“ nicht. Um das Risiko zu verringern, empfiehlt Experte Oberbeck eine der folgenden Lösungen.

Die Basis-Lösung (mit Restrisiko!)

  • Schritt 1:

Als erstes sollten Website-Betreiber prüfen, ob ihre Seite Cookies setzt. Wenn ein Programmierer die Homepage erstellt hat und diese allein Informationen zum Unternehmen bietet, müssen Betreiber nichts fürchten. Allerdings: Ist eine Website nach dem Homepage-Baukasten-Prinzip erstellt, weist sie häufig voreingestellte Plug-ins auf, die nicht rechtskonform sind. Sogenannte Tracking-Detektoren wie CookieMetrix helfen, die eigene Seite zu prüfen.

Zudem sollten Betreiber beim Anbieter nachfragen, welche Cookies die Seite setzt – und ihn auffordern, diese zu entfernen, wenn sie nicht zwingend nötig sind (etwa für einen Warenkorb). Passiert das nicht, ist ein Anbieter-Wechsel die sichere Option.

In eigener Sache
Entdecken Sie Ihre inneren Kraftquellen
Gratis-Webinar
Entdecken Sie Ihre inneren Kraftquellen
Melden Sie sich jetzt kostenlos zum neuen Webinar mit Nikolaus Förster an. Nur für Unternehmerinnen und Unternehmer

Hat ein Programmierer die Seite erstellt, sollten Website-Inhaber diesen nach der aktuellen Cookie-Hinweis-Praxis fragen – und danach, inwieweit sich der Cookie-Gebrauch stoppen ließe.

  • Schritt 2:

Der Website-Anbieter will die Cookies nicht entfernen – und ein Wechsel wäre zu aufwändig? Oder ein Verzicht auf Cookies ist unmöglich, weil die Seite etwa einen Online-Shop präsentiert? Dann sollten Website-Betreiber einen ausführlichen Cookie-Hinweis auf der Startseite einblenden – und darin auf die Datenschutzerklärung verlinken. Wer bereits einen kurzen Cookie-Hinweis ohne Link hat, sollte diesen ergänzen.

Die laut DSGVO gesetzlich vorgeschriebene Datenschutzerklärung muss dann einen ausführlichen Abschnitt zum Thema Cookies aufweisen: Unternehmer sollten hier erklären, dass sie sich auf Grundlage der Interessensabwägung für den Gebrauch von Cookies entschieden haben. Und anschließend genau benennen, welche Cookies die Seite setzt, welche Daten diese konkret erheben – und welche eingebundenen Plug-ins und Tools von Drittanbietern Cookies nutzen.

Hier sollte außerdem stehen, welcher Kategorie die einzelnen Cookies angehören – ob es sich also etwa um Sitzungs-Cookies (oder „Session-Cookies“) handelt, die automatisch gelöscht werden, wenn der Nutzer die Sitzung beendet. Oder beispielsweise um permanente Cookies (oder „Protokoll-Cookies“), die etwa persönliche Einstellungen von Nutzern wiederherstellen – und erst nach einem definierten Ablaufdatum verschwinden.

„Sollte je eine Aufsichtsbehörde eine Website in den Blick nehmen, hilft eine solche Datenschutzerklärung zu belegen, dass der Inhaber überhaupt etwas getan hat, um die Rechte der Nutzer zu wahren“, erklärt Rechtsanwalt Oberbeck.

  • Schritt 3:
    Sofern die Homepage ein Kontaktformular bereitstellt, sollte die Datenerhebung zwischen Website und Besucher verschlüsselt erfolgen – nach aktuellem „TLS“-Standard. Auch das hilft, im Zweifelsfall vor Aufsichtsbehörden zu bestehen.

„Diese Lösung lässt sich relativ schnell umsetzen. WebsiteBetreiber, die sie wählen, müssen sich jedoch darüber im Klaren sein, dass das Restrisiko auf eine Abmahnung nach dem aktuellen EuGH-Urteil deutlich gewachsen ist“, erklärt Experte Oberbeck. „Und: Diese Option ist eher eine Übergangslösung. Sobald der EuGH darüber entschieden hat, ob generell eine aktive Einwilligung zu Werbe- und Third-Party-Cookies der Nutzer erforderlich ist, müssen Website-Betreiber diese Lösung zugunsten eines Consent-Banners umbauen.“

Die Premium-Lösung (ohne Restrisiko)

  • Schritt 1:

Website-Betreiber lassen ihren Programmierer statt eines Cookie-Hinweises ein sogenanntes „Consent-Banner“ („Consent“ = „Zustimmung“) gestalten: Dieses ist der eigentlichen Website vorgeschaltet und informiert über die verschiedenen Arten und Funktionen der genutzten Cookies (s. oben). Außerdem holt es über Checkboxen die aktive Einwilligung des Besuchers ein: Dieser muss bei jeder Art von Cookie ein Häkchen setzen („Opt-in“), um sein Einverständnis dafür zu erteilen, dass dieses gesetzt wird. Oder er lässt es – und lehnt damit die Einwilligung aktiv ab.

Wichtig: Ein Hinweistext auf dem Consent-Banner sollte deutlich machen, dass sich die Einwilligung jederzeit widerrufen lässt. Nur so ist garantiert, dass Besucher ihre Einwilligung „vorab, freiwillig, aktiv und mit dem Wissen um das Recht auf Widerruf“ erteilen, wie es die DSGVO vorschreibt.

  • Schritt 2:

Nun sollten Website-Betreiber eine umfangreiche Datenschutzerklärung erstellen, die das Thema Cookies aufgreift (s. Schritt 2, Basis-Lösung).

„Website-Betreiber, die beide Schritte umsetzen, kommen damit jener Pflicht nach, die die Richter des EuGH in ihrem Urteil formuliert haben“, so Oberbeck.

Wie kommen Website-Betreiber an Muster für gute Cookie-Hinweistexte?

Es stehen verschiedene, teilweise kostenlose Generatoren bereit, um den Cookie-Hinweis-Text möglichst konkret an die individuelle Cookie-Praxis von Website-Inhabern anzupassen – wie etwa avalex.de oder Datenschutz-Generator.de. Diese eignen sich für die allermeisten Seiten.

Wer jedoch beispielsweise einen Online-Shop betreibt oder seine Seite über personalisierte Werbung finanziert, sollte sich unbedingt von einem IT-Rechtsexperten beraten lassen. Die Kosten für einen anwaltlich formulierten Cookie-Hinweis samt Datenschutzerklärung liegen in einfachen Fällen zwischen 300 und 600 Euro.

Muss sich nach dem EuGH-Urteil jeder Website-Betreiber mit dem Thema Cookie-Hinweis befassen? Nach dem Urteil der Richter am Europäischen Gerichtshof (AZ C-673/17, einfach erklärt in dieser Pressemitteilung) ist klar: Mit Cookie-Hinweisen müssen sich alle Website-Betreiber beschäftigen, die auf ihrer Seite mehr bieten als reine Informationen – inzwischen also so gut wie alle. Sobald eine Website beispielsweise ein Youtube-Video zeigt, das Google-Maps-Tool auf der Anfahrts-Seite nutzt, die Reichweite mit Google Analytics misst oder einen Online-Shop bereitstellt, setzt sie Cookies ein – und darüber müssen Nutzer laut Datenschutzgrundverordnung (DSGVO) informiert werden. Was sind Cookies? Cookies sind Textdateien, die Webbrowser auf dem Computer von Nutzern speichern. Besucht ein Nutzer eine Website zum ersten Mal, wird ein Cookie im Browser angelegt, der Informationen sammelt. Zu diesen Daten gehört eine zufällig erstellte Nummer, über die eine Website den Nutzer quasi wiedererkennt, wenn dieser sie ein zweites Mal aufruft. Cookies speichern zudem etwa Einstellungen, die der Nutzer auf der Website vorgenommen hat (beispielsweise zur Sprache), Angaben zur Zeit, die er auf der Seite verbracht hat – sowie persönliche Daten, die Nutzer über Formulare selbst eingegeben haben, etwa Name und Email-Adresse. Zudem legen Cookies Informationen zur Frage ab, welche Unterseiten ein Nutzer besucht oder welche Begriffe er in die Suchmaske eingibt. Allein mithilfe solcher Cookies ist es etwa möglich, im Online-Shop einen Warenkorb zwischenzuspeichern, die Reichweite einer Seite zu messen – oder personalisierte Werbeangebote einzublenden. Was ist ein Cookie-Hinweis? Website-Betreiber sind laut DSGVO verpflichtet, Nutzer darüber aufzuklären, wenn ihre Seite Cookies nutzt, welche Daten diese speichern – und inwieweit sie an Dritte weitergeleitet werden. Eine beliebte Möglichkeit, diese Pflicht zu erfüllen, ist der Cookie-Hinweis, auch Cookie-Banner genannt: eine Einblendung auf der Homepage, die Besucher darüber informiert, dass die Website Cookies setzt – und auf die Datenschutzerklärung mit genaueren Angaben verweist. Wie war die Rechtslage in Sachen Cookie-Hinweis bisher? Das große Problem: Die meisten der aktuell genutzten Cookie-Banner sind nicht konform mit dem Datenschutzrecht. Das hat vor allem drei Gründe: Die DSGVO regelt zwar grundsätzliche Pflichten von Website-Betreibern – was genau das für den Cookie-Hinweis bedeutet, ist jedoch umstritten. Es fehlen derzeit einheitliche europäische Regelungen zu Cookies, da die geplante ePrivacy-Verordnung bislang nicht verabschiedet ist. Sie soll beispielsweise vorgeben, dass insbesondere Tracking-Cookies nur mit Einwilligung der Nutzer zulässig sind. Die meisten Cookie-Banner bieten dem Nutzer derzeit keinerlei Einflussmöglichkeit. Ob er auf „akzeptieren“ klickt oder nicht – das Tracking läuft so oder so. Nur in den wenigsten Fällen können Website-Besucher eine Auswahl treffen, welche Cookies sie akzeptieren und welche nicht. Entsprechend ernüchternd fällt das Urteil von Experten wie David Oberbeck aus, Rechtsanwalt mit Schwerpunkt Datenschutz und IT-Recht: „Aktuell gleicht die Cookie-Praxis dem Autofahren ohne Sicherheitsgurt vor der Anschnallpflicht: Es gibt keine Vorschriften, jeder macht in Wildwest-Manier, was er will – und beruft sich dabei auf die sogenannte Interessensabwägung.“ Was bedeutet das aktuelle Urteil für die Rechtslage zum Cookie-Hinweis? In dem aktuellen Verfahren vor dem Europäischen Gerichtshof (EuGH, AZ: C-673/17, Stand: Oktober 2019) haben die Richter geregelt: Entscheiden sich Website-Betreiber dafür, Nutzern die Möglichkeit zu geben, in die jeweilige Cookie-Praxis einzuwilligen, dann reicht es nicht, ein voreingestelltes, angekreuztes Kästchen zu präsentieren, das der Nutzer abwählen muss, um seine Einwilligung zu verweigern (die sogenannte „Opt-out“-Lösung). Dies verstoße gegen die Bestimmungen der DSGVO: Sie schreibt vor, dass Nutzer ihre Einwilligung aktiv erteilen müssen. Und das, so die Richter, gehe nur, indem Website-Betreiber darüber informieren, welche Art Cookies sie nutzen – und dem Nutzer die Möglichkeit geben, selbst über Anklick-Boxen zu entscheiden, mit welchen Cookies sie einverstanden sind (die sogenannte „Opt-in“-Lösung). Außerdem entschieden die Richter: Website-Betreiber haben die Pflicht, die Nutzer ihrer Seiten klar und umfassend darüber zu informieren, welche Art Cookies wie lange genutzt werden – und inwieweit sowie für welche Dauer Dritte Zugriff auf die erhobenen Daten erhalten. Damit folgten die Richter dem Schlussantrag des Generalanwalts. „Dieses Urteil zeigt deutlich auf, wo die Reise hingeht“, so Rechtsanwalt Oberbeck. „Jetzt ist klar: Es werden weitere konkrete Regelungen in Sachen Datenschutz bei Cookie-Hinweisen kommen – und unter Umständen erfordern, dass die Website-Betreiber neue technische Lösungen nutzen, die einen höheren Aufwand und höhere Kosten bedeuten. Der Druck auf sie ist mit diesem Urteil deutlich gestiegen.“ Wenn die meisten aktuellen Cookie-Hinweise gegen Datenschutzrecht verstoßen – droht eine Bußgeld-Welle? Mit dem aktuellen Urteil des EuGH ist das Risiko deutlich gestiegen, wegen eines unzureichenden oder fehlenden Cookie-Hinweises eine Abmahnung und ein Bußgeld zu kassieren. „Auch wenn der EuGH in seinem Urteil gar nicht darüber entschieden hat, ob Website-Betreiber überhaupt generell für Cookies eine Einwilligung einholen müssen, so haben Verbraucherschutz-Verbände und Aufsichtsbehörden durch die Erklärungen der Richter Rückenwind bekommen“, erklärt Rechtsanwalt Oberbeck. „Viele haben die Entscheidung des EuGH noch abgewartet und fühlen sich nun gestärkt in ihrer Einschätzung, dass die gängige Cookie-Praxis nicht in Ordnung ist. Und das wird sich natürlich darin äußern, dass Behörden und Verbände mehr Verfahren anstrengen.“ Diese Entwicklung werde sich weiter verstärken, so der Experte. „Ich gehe davon aus, dass der EuGH demnächst entscheiden wird, dass zumindest für Third-Party-Cookies und solchen zu Werbezwecken zwingend eine Einwilligung einzuholen ist. Und da die Richter mit ihrem aktuellen Urteil festgelegt haben, dass die aktive Opt-in-Einwilligung die datenschutzrechtlich einzig mögliche ist, führt langfristig am Consent-Banner kein Weg vorbei“, so Oberbeck weiter. "Und das wiederum kann in Zukunft durchaus eine Abmahn-Welle zur Folge haben. Die ersten Verfahren dazu liegen schon auf meinem Tisch.“ Allerdings sei es wichtig  zu wissen: Auch wenn die DSGVO bei sehr schweren Verstößen gegen den Datenschutz Bußgelder von bis zu vier Prozent des Jahresumsatzes festschreibt, werden diese nicht gegenüber kleineren Unternehmen verhängt. „Die Bußgelder müssen verhältnismäßig sein“, erklärt Rechtsanwalt Oberbeck. „Die ersten bekannten Bußgelder nach der DSGVO in Deutschland bewegen sich eher im unteren fünfstelligen Bereich – und betreffen bislang auch nicht das Thema Cookie-Banner.“ Was sollten Website-Betreiber in Sachen Cookie-Hinweis unternehmen, um Bußgeldern vorzubeugen? Sollte eine Aufsichtsbehörde eine Website unter die Lupe nehmen, funktioniert eine Argumentation à la „Aber andere Seiten nutzen doch auch Cookies ohne Cookie-Hinweis“ nicht. Um das Risiko zu verringern, empfiehlt Experte Oberbeck eine der folgenden Lösungen. Die Basis-Lösung (mit Restrisiko!) Schritt 1: Als erstes sollten Website-Betreiber prüfen, ob ihre Seite Cookies setzt. Wenn ein Programmierer die Homepage erstellt hat und diese allein Informationen zum Unternehmen bietet, müssen Betreiber nichts fürchten. Allerdings: Ist eine Website nach dem Homepage-Baukasten-Prinzip erstellt, weist sie häufig voreingestellte Plug-ins auf, die nicht rechtskonform sind. Sogenannte Tracking-Detektoren wie CookieMetrix helfen, die eigene Seite zu prüfen. Zudem sollten Betreiber beim Anbieter nachfragen, welche Cookies die Seite setzt – und ihn auffordern, diese zu entfernen, wenn sie nicht zwingend nötig sind (etwa für einen Warenkorb). Passiert das nicht, ist ein Anbieter-Wechsel die sichere Option. Hat ein Programmierer die Seite erstellt, sollten Website-Inhaber diesen nach der aktuellen Cookie-Hinweis-Praxis fragen – und danach, inwieweit sich der Cookie-Gebrauch stoppen ließe. Schritt 2: Der Website-Anbieter will die Cookies nicht entfernen – und ein Wechsel wäre zu aufwändig? Oder ein Verzicht auf Cookies ist unmöglich, weil die Seite etwa einen Online-Shop präsentiert? Dann sollten Website-Betreiber einen ausführlichen Cookie-Hinweis auf der Startseite einblenden – und darin auf die Datenschutzerklärung verlinken. Wer bereits einen kurzen Cookie-Hinweis ohne Link hat, sollte diesen ergänzen. Die laut DSGVO gesetzlich vorgeschriebene Datenschutzerklärung muss dann einen ausführlichen Abschnitt zum Thema Cookies aufweisen: Unternehmer sollten hier erklären, dass sie sich auf Grundlage der Interessensabwägung für den Gebrauch von Cookies entschieden haben. Und anschließend genau benennen, welche Cookies die Seite setzt, welche Daten diese konkret erheben – und welche eingebundenen Plug-ins und Tools von Drittanbietern Cookies nutzen. Hier sollte außerdem stehen, welcher Kategorie die einzelnen Cookies angehören – ob es sich also etwa um Sitzungs-Cookies (oder „Session-Cookies“) handelt, die automatisch gelöscht werden, wenn der Nutzer die Sitzung beendet. Oder beispielsweise um permanente Cookies (oder „Protokoll-Cookies“), die etwa persönliche Einstellungen von Nutzern wiederherstellen – und erst nach einem definierten Ablaufdatum verschwinden. „Sollte je eine Aufsichtsbehörde eine Website in den Blick nehmen, hilft eine solche Datenschutzerklärung zu belegen, dass der Inhaber überhaupt etwas getan hat, um die Rechte der Nutzer zu wahren“, erklärt Rechtsanwalt Oberbeck. Schritt 3: Sofern die Homepage ein Kontaktformular bereitstellt, sollte die Datenerhebung zwischen Website und Besucher verschlüsselt erfolgen – nach aktuellem „TLS“-Standard. Auch das hilft, im Zweifelsfall vor Aufsichtsbehörden zu bestehen. „Diese Lösung lässt sich relativ schnell umsetzen. Website-Betreiber, die sie wählen, müssen sich jedoch darüber im Klaren sein, dass das Restrisiko auf eine Abmahnung nach dem aktuellen EuGH-Urteil deutlich gewachsen ist“, erklärt Experte Oberbeck. „Und: Diese Option ist eher eine Übergangslösung. Sobald der EuGH darüber entschieden hat, ob generell eine aktive Einwilligung zu Werbe- und Third-Party-Cookies der Nutzer erforderlich ist, müssen Website-Betreiber diese Lösung zugunsten eines Consent-Banners umbauen.“ Die Premium-Lösung (ohne Restrisiko) Schritt 1: Website-Betreiber lassen ihren Programmierer statt eines Cookie-Hinweises ein sogenanntes „Consent-Banner“ („Consent“ = „Zustimmung“) gestalten: Dieses ist der eigentlichen Website vorgeschaltet und informiert über die verschiedenen Arten und Funktionen der genutzten Cookies (s. oben). Außerdem holt es über Checkboxen die aktive Einwilligung des Besuchers ein: Dieser muss bei jeder Art von Cookie ein Häkchen setzen („Opt-in“), um sein Einverständnis dafür zu erteilen, dass dieses gesetzt wird. Oder er lässt es – und lehnt damit die Einwilligung aktiv ab. Wichtig: Ein Hinweistext auf dem Consent-Banner sollte deutlich machen, dass sich die Einwilligung jederzeit widerrufen lässt. Nur so ist garantiert, dass Besucher ihre Einwilligung „vorab, freiwillig, aktiv und mit dem Wissen um das Recht auf Widerruf“ erteilen, wie es die DSGVO vorschreibt. Schritt 2: Nun sollten Website-Betreiber eine umfangreiche Datenschutzerklärung erstellen, die das Thema Cookies aufgreift (s. Schritt 2, Basis-Lösung). „Website-Betreiber, die beide Schritte umsetzen, kommen damit jener Pflicht nach, die die Richter des EuGH in ihrem Urteil formuliert haben“, so Oberbeck. Wie kommen Website-Betreiber an Muster für gute Cookie-Hinweistexte? Es stehen verschiedene, teilweise kostenlose Generatoren bereit, um den Cookie-Hinweis-Text möglichst konkret an die individuelle Cookie-Praxis von Website-Inhabern anzupassen – wie etwa avalex.de oder Datenschutz-Generator.de. Diese eignen sich für die allermeisten Seiten. Wer jedoch beispielsweise einen Online-Shop betreibt oder seine Seite über personalisierte Werbung finanziert, sollte sich unbedingt von einem IT-Rechtsexperten beraten lassen. Die Kosten für einen anwaltlich formulierten Cookie-Hinweis samt Datenschutzerklärung liegen in einfachen Fällen zwischen 300 und 600 Euro.