EuGH-Urteil zum Cookie-Hinweis Braucht jetzt jede Website einen Cookie-Hinweis?
Das Thema Cookie-Hinweis geht vielen auf den Keks. Doch wer Bescheid weiß, muss kein DSGVO-Bußgeld fürchten.

Das Thema Cookie-Hinweis geht vielen auf den Keks. Doch wer Bescheid weiß, muss kein DSGVO-Bußgeld fürchten.© PolaRocket / photocase.de

Der EuGH hat DSGVO-Unsicherheiten zum Cookie-Hinweis beseitigt: Nutzer müssen Einwilligungen aktiv erteilen – vorangekreuzt gilt nicht! Was bedeutet das für Website-Betreiber? Die wichtigsten Antworten.

Muss sich nach dem EuGH-Urteil jeder Website-Betreiber mit dem Thema Cookie-Hinweis befassen?

Nach dem Urteil der Richter am Europäischen Gerichtshof (AZ C-673/17, einfach erklärt in dieser Pressemitteilung) ist klar: Mit Cookie-Hinweisen müssen sich alle Website-Betreiber beschäftigen, die auf ihrer Seite mehr bieten als reine Informationen – inzwischen also so gut wie alle. Sobald eine Website beispielsweise ein Youtube-Video zeigt, das Google-Maps-Tool auf der Anfahrts-Seite nutzt, die Reichweite mit Google Analytics misst oder einen Online-Shop bereitstellt, setzt sie Cookies ein – und darüber müssen Nutzer laut Datenschutzgrundverordnung (DSGVO) informiert werden.

Was sind Cookies?

Cookies sind Textdateien, die Webbrowser auf dem Computer von Nutzern speichern. Besucht ein Nutzer eine Website zum ersten Mal, wird ein Cookie im Browser angelegt, der Informationen sammelt. Zu diesen Daten gehört eine zufällig erstellte Nummer, über die eine Website den Nutzer quasi wiedererkennt, wenn dieser sie ein zweites Mal aufruft.

Anzeige

Cookies speichern zudem etwa Einstellungen, die der Nutzer auf der Website vorgenommen hat (beispielsweise zur Sprache), Angaben zur Zeit, die er auf der Seite verbracht hat – sowie persönliche Daten, die Nutzer über Formulare selbst eingegeben haben, etwa Name und Email-Adresse. Zudem legen Cookies Informationen zur Frage ab, welche Unterseiten ein Nutzer besucht oder welche Begriffe er in die Suchmaske eingibt.

Allein mithilfe solcher Cookies ist es etwa möglich, im Online-Shop einen Warenkorb zwischenzuspeichern, die Reichweite einer Seite zu messen – oder personalisierte Werbeangebote einzublenden.

Was ist ein Cookie-Hinweis?

Website-Betreiber sind laut DSGVO verpflichtet, Nutzer darüber aufzuklären, wenn ihre Seite Cookies nutzt, welche Daten diese speichern – und inwieweit sie an Dritte weitergeleitet werden. Eine beliebte Möglichkeit, diese Pflicht zu erfüllen, ist der Cookie-Hinweis, auch Cookie-Banner genannt: eine Einblendung auf der Homepage, die Besucher darüber informiert, dass die Website Cookies setzt – und auf die Datenschutzerklärung mit genaueren Angaben verweist.

Wie war die Rechtslage in Sachen Cookie-Hinweis bisher?

Das große Problem: Die meisten der aktuell genutzten Cookie-Banner sind nicht konform mit dem Datenschutzrecht.

Das hat vor allem drei Gründe:

  1. Die DSGVO regelt zwar grundsätzliche Pflichten von Website-Betreibern – was genau das für den Cookie-Hinweis bedeutet, ist jedoch umstritten.
  2. Es fehlen derzeit einheitliche europäische Regelungen zu Cookies, da die geplante ePrivacy-Verordnung bislang nicht verabschiedet ist. Sie soll beispielsweise vorgeben, dass insbesondere Tracking-Cookies nur mit Einwilligung der Nutzer zulässig sind.
  3. Die meisten Cookie-Banner bieten dem Nutzer derzeit keinerlei Einflussmöglichkeit. Ob er auf „akzeptieren“ klickt oder nicht – das Tracking läuft so oder so. Nur in den wenigsten Fällen können Website-Besucher eine Auswahl treffen, welche Cookies sie akzeptieren und welche nicht.

Entsprechend ernüchternd fällt das Urteil von Experten wie David Oberbeck aus, Rechtsanwalt mit Schwerpunkt Datenschutz und IT-Recht: „Aktuell gleicht die Cookie-Praxis dem Autofahren ohne Sicherheitsgurt vor der Anschnallpflicht: Es gibt keine Vorschriften, jeder macht in Wildwest-Manier, was er will – und beruft sich dabei auf die sogenannte Interessensabwägung.“

Was bedeutet das aktuelle Urteil für die Rechtslage zum Cookie-Hinweis?

In dem aktuellen Verfahren vor dem Europäischen Gerichtshof (EuGH, AZ: C-673/17, Stand: Oktober 2019) haben die Richter geregelt: Entscheiden sich Website-Betreiber dafür, Nutzern die Möglichkeit zu geben, in die jeweilige Cookie-Praxis einzuwilligen, dann reicht es nicht, ein voreingestelltes, angekreuztes Kästchen zu präsentieren, das der Nutzer abwählen muss, um seine Einwilligung zu verweigern (die sogenannte „Opt-out“-Lösung). Dies verstoße gegen die Bestimmungen der DSGVO: Sie schreibt vor, dass Nutzer ihre Einwilligung aktiv erteilen müssen. Und das, so die Richter, gehe nur, indem Website-Betreiber darüber informieren, welche Art Cookies sie nutzen – und dem Nutzer die Möglichkeit geben, selbst über Anklick-Boxen zu entscheiden, mit welchen Cookies sie einverstanden sind (die sogenannte „Opt-in“-Lösung).

Außerdem entschieden die Richter: Website-Betreiber haben die Pflicht, die Nutzer ihrer Seiten klar und umfassend darüber zu informieren, welche Art Cookies wie lange genutzt werden – und inwieweit sowie für welche Dauer Dritte Zugriff auf die erhobenen Daten erhalten.

Damit folgten die Richter dem Schlussantrag des Generalanwalts. „Dieses Urteil zeigt deutlich auf, wo die Reise hingeht“, so Rechtsanwalt Oberbeck. „Jetzt ist klar: Es werden weitere konkrete Regelungen in Sachen Datenschutz bei Cookie-Hinweisen kommen – und unter Umständen erfordern, dass die Website-Betreiber neue technische Lösungen nutzen, die einen höheren Aufwand und höhere Kosten bedeuten. Der Druck auf sie ist mit diesem Urteil deutlich gestiegen.“

Wenn die meisten aktuellen Cookie-Hinweise gegen Datenschutzrecht verstoßen – droht eine Bußgeld-Welle?

Mit dem aktuellen Urteil des EuGH ist das Risiko deutlich gestiegen, wegen eines unzureichenden oder fehlenden Cookie-Hinweises eine Abmahnung und ein Bußgeld zu kassieren. „Auch wenn der EuGH in seinem Urteil gar nicht darüber entschieden hat, ob Website-Betreiber überhaupt generell für Cookies eine Einwilligung einholen müssen, so haben Verbraucherschutz-Verbände und Aufsichtsbehörden durch die Erklärungen der Richter Rückenwind bekommen“, erklärt Rechtsanwalt Oberbeck. „Viele haben die Entscheidung des EuGH noch abgewartet und fühlen sich nun gestärkt in ihrer Einschätzung, dass die gängige Cookie-Praxis nicht in Ordnung ist. Und das wird sich natürlich darin äußern, dass Behörden und Verbände mehr Verfahren anstrengen.“

Diese Entwicklung werde sich weiter verstärken, so der Experte. „Ich gehe davon aus, dass der EuGH demnächst entscheiden wird, dass zumindest für Third-Party-Cookies und solchen zu Werbezwecken zwingend eine Einwilligung einzuholen ist. Und da die Richter mit ihrem aktuellen Urteil festgelegt haben, dass die aktive Opt-in-Einwilligung die datenschutzrechtlich einzig mögliche ist, führt langfristig am Consent-Banner kein Weg vorbei“, so Oberbeck weiter. „Und das wiederum kann in Zukunft durchaus eine Abmahn-Welle zur Folge haben. Die ersten Verfahren dazu liegen schon auf meinem Tisch.“

Allerdings sei es wichtig  zu wissen: Auch wenn die DSGVO bei sehr schweren Verstößen gegen den Datenschutz Bußgelder von bis zu vier Prozent des Jahresumsatzes festschreibt, werden diese nicht gegenüber kleineren Unternehmen verhängt. „Die Bußgelder müssen verhältnismäßig sein“, erklärt Rechtsanwalt Oberbeck. „Die ersten bekannten Bußgelder nach der DSGVO in Deutschland bewegen sich eher im unteren fünfstelligen Bereich – und betreffen bislang auch nicht das Thema Cookie-Banner.“

Was sollten Website-Betreiber in Sachen Cookie-Hinweis unternehmen, um Bußgeldern vorzubeugen?

Sollte eine Aufsichtsbehörde eine Website unter die Lupe nehmen, funktioniert eine Argumentation à la „Aber andere Seiten nutzen doch auch Cookies ohne Cookie-Hinweis“ nicht. Um das Risiko zu verringern, empfiehlt Experte Oberbeck eine der folgenden Lösungen.

Die Basis-Lösung (mit Restrisiko!)

  • Schritt 1:

Als erstes sollten Website-Betreiber prüfen, ob ihre Seite Cookies setzt. Wenn ein Programmierer die Homepage erstellt hat und diese allein Informationen zum Unternehmen bietet, müssen Betreiber nichts fürchten. Allerdings: Ist eine Website nach dem Homepage-Baukasten-Prinzip erstellt, weist sie häufig voreingestellte Plug-ins auf, die nicht rechtskonform sind. Sogenannte Tracking-Detektoren wie CookieMetrix oder Ghostery helfen, die eigene Seite zu prüfen.

Zudem sollten Betreiber beim Anbieter nachfragen, welche Cookies die Seite setzt – und ihn auffordern, diese zu entfernen, wenn sie nicht zwingend nötig sind (etwa für einen Warenkorb). Passiert das nicht, ist ein Anbieter-Wechsel die sichere Option.

Hat ein Programmierer die Seite erstellt, sollten Website-Inhaber diesen nach der aktuellen Cookie-Hinweis-Praxis fragen – und danach, inwieweit sich der Cookie-Gebrauch stoppen ließe.

  • Schritt 2:

Der Website-Anbieter will die Cookies nicht entfernen – und ein Wechsel wäre zu aufwändig? Oder ein Verzicht auf Cookies ist unmöglich, weil die Seite etwa einen Online-Shop präsentiert? Dann sollten Website-Betreiber einen ausführlichen Cookie-Hinweis auf der Startseite einblenden – und darin auf die Datenschutzerklärung verlinken. Wer bereits einen kurzen Cookie-Hinweis ohne Link hat, sollte diesen ergänzen.

Die laut DSGVO gesetzlich vorgeschriebene Datenschutzerklärung muss dann einen ausführlichen Abschnitt zum Thema Cookies aufweisen: Unternehmer sollten hier erklären, dass sie sich auf Grundlage der Interessensabwägung für den Gebrauch von Cookies entschieden haben. Und anschließend genau benennen, welche Cookies die Seite setzt, welche Daten diese konkret erheben – und welche eingebundenen Plug-ins und Tools von Drittanbietern Cookies nutzen.

Hier sollte außerdem stehen, welcher Kategorie die einzelnen Cookies angehören – ob es sich also etwa um Sitzungs-Cookies (oder „Session-Cookies“) handelt, die automatisch gelöscht werden, wenn der Nutzer die Sitzung beendet. Oder beispielsweise um permanente Cookies (oder „Protokoll-Cookies“), die etwa persönliche Einstellungen von Nutzern wiederherstellen – und erst nach einem definierten Ablaufdatum verschwinden.

„Sollte je eine Aufsichtsbehörde eine Website in den Blick nehmen, hilft eine solche Datenschutzerklärung zu belegen, dass der Inhaber überhaupt etwas getan hat, um die Rechte der Nutzer zu wahren“, erklärt Rechtsanwalt Oberbeck.

  • Schritt 3:
    Sofern die Homepage ein Kontaktformular bereitstellt, sollte die Datenerhebung zwischen Website und Besucher verschlüsselt erfolgen – nach aktuellem „TLS“-Standard. Auch das hilft, im Zweifelsfall vor Aufsichtsbehörden zu bestehen.

„Diese Lösung lässt sich relativ schnell umsetzen. WebsiteBetreiber, die sie wählen, müssen sich jedoch darüber im Klaren sein, dass das Restrisiko auf eine Abmahnung nach dem aktuellen EuGH-Urteil deutlich gewachsen ist“, erklärt Experte Oberbeck. „Und: Diese Option ist eher eine Übergangslösung. Sobald der EuGH darüber entschieden hat, ob generell eine aktive Einwilligung zu Werbe- und Third-Party-Cookies der Nutzer erforderlich ist, müssen Website-Betreiber diese Lösung zugunsten eines Consent-Banners umbauen.“

Die Premium-Lösung (ohne Restrisiko)

  • Schritt 1:

Website-Betreiber lassen ihren Programmierer statt eines Cookie-Hinweises ein sogenanntes „Consent-Banner“ („Consent“ = „Zustimmung“) gestalten: Dieses ist der eigentlichen Website vorgeschaltet und informiert über die verschiedenen Arten und Funktionen der genutzten Cookies (s. oben). Außerdem holt es über Checkboxen die aktive Einwilligung des Besuchers ein: Dieser muss bei jeder Art von Cookie ein Häkchen setzen („Opt-in“), um sein Einverständnis dafür zu erteilen, dass dieses gesetzt wird. Oder er lässt es – und lehnt damit die Einwilligung aktiv ab.

Wichtig: Ein Hinweistext auf dem Consent-Banner sollte deutlich machen, dass sich die Einwilligung jederzeit widerrufen lässt. Nur so ist garantiert, dass Besucher ihre Einwilligung „vorab, freiwillig, aktiv und mit dem Wissen um das Recht auf Widerruf“ erteilen, wie es die DSGVO vorschreibt.

  • Schritt 2:

Nun sollten Website-Betreiber eine umfangreiche Datenschutzerklärung erstellen, die das Thema Cookies aufgreift (s. Schritt 2, Basis-Lösung).

„Website-Betreiber, die beide Schritte umsetzen, kommen damit jener Pflicht nach, die die Richter des EuGH in ihrem Urteil formuliert haben“, so Oberbeck.

Wie kommen Website-Betreiber an Muster für gute Cookie-Hinweistexte?

Es stehen verschiedene, teilweise kostenlose Generatoren bereit, um den Cookie-Hinweis-Text möglichst konkret an die individuelle Cookie-Praxis von Website-Inhabern anzupassen – wie etwa avalex.de oder Datenschutz-Generator.de. Diese eignen sich für die allermeisten Seiten.

Wer jedoch beispielsweise einen Online-Shop betreibt oder seine Seite über personalisierte Werbung finanziert, sollte sich unbedingt von einem IT-Rechtsexperten beraten lassen. Die Kosten für einen anwaltlich formulierten Cookie-Hinweis samt Datenschutzerklärung liegen in einfachen Fällen zwischen 300 und 600 Euro.

 

Vermeiden Sie Abmahnungen und Bußgelder

... ohne ständig neue Verordnungen und Gesetzestexte zu wälzen. Erfahren Sie zwei Mal im Monat, welche rechtlichen Änderungen für Ihr Unternehmen relevant sind und was Sie konkret tun müssen - kompakt und verständlich. Jetzt 30 Tage kostenlos testen!
9 Kommentare
  • Norman 17. Oktober 2019 16:45

    Hallo,

    ein guter Artikel. Dann solltet Ihr diese Richtlinie bei Euch auf der Website auch einführen, da ihr aktuell von mir Daten sammelt ohne meine Einwilligung. :-)

    • Lisa Büntemeyer
      Lisa Büntemeyer 17. Oktober 2019 16:52

      Hallo Norman,

      danke für das Kompliment. Und: Wir arbeiten bereits an einer Lösung.

      Beste Grüße vom impulse-Team

  • Laura 11. Oktober 2019 10:49

    Was bedeutet bei der Premium-Lösung „der eigentlichen Website vorgeschaltet“? Bevor die Webseite erscheint?

    Vielen Dank erstmal für den ausführlichen Text!

  • Richard 10. Oktober 2019 12:13

    Für die normalen Webseiten kann man sich hier einen Cookie Banner erstellen der zumindest für den Anfang ausreichen sollte. Dieser Generator ist aber nicht für Kommerzielle Onlineshops geeignet.

    https://www.smartlife-online.de/cb/

    Ich suche selber nach einem geeigneten Tool für einen JTL Shop und bin auf der Suche dabei auf das oben benannte Tool gestoßen.

    Vielleicht hilft es ja jemanden.

  • Beate 10. Oktober 2019 10:22

    Und warum wird hier nur darüber berichtet und das Urteil für diese Website nicht umgesetzt?

    • Angelika Unger
      Angelika Unger 10. Oktober 2019 12:51

      Guten Tag Beate,

      wir arbeiten bereits an einer Lösung.

      Herzliche Grüße vom impulse-Team

  • Daniel 2. Oktober 2019 13:51

    http://curia.europa.eu/juris/document/document.jsf;jsessionid=ED264952091FDEA5D749A4BE9D6D5CA6?text=&docid=218462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1586898

    Es ging um knapp 200,- € Bußgeld und eine Einzelfallentscheidung die eigentlich nichts mit Cookies, sondern mit erfassten personenbezogenen Daten und den daraus folgenden Cookies zu tun hat. Offenbar liest jeder aktuell nur das Urteil ohne Kontext ….

  • Reto 2. Oktober 2019 09:36

    Cookies dürfen also nur noch mit ausdrücklicher Einwilligung der Nutzer eingesetzt werden, sowie muss der Webseitenbetreiber den Besucher über die Anbieter, Arten und Funktionsweisen sowie die Speicherdauer informieren.
    Die Frage für den Webseitenbetreiber ohne Herrschar von Anwälten im Hintergrund ist wie dies sauber umgesetzt wird. Zumal noch unklar ist, wie die Einwilligung mit Cookie-Gruppen geschehen soll. Können diese anstelle in die diversen Anbieter (FB-Pixel, Google Analytics, Hotjar etc.) nach Funktionen wie Statistik, Onlinemarketing, (externe) Medien oder Essenziell unterteilt werden?

    Der 0815 Webseiten-Betreiber wird mir zustimmen, dass die Umsetzung auch wieder einmal auf dem Buckel der Kleinen geschehen soll. Die Angst vor Abmahnungen ist sicher nicht unbegründet…

    WordPress Benutzer wird eine Reihe von Plugins Angeboten um das Problem zu beheben. Ich selbst nutze dieses hier [bitte keine Links, siehe unsere Netiquette – die Redaktion], welches mir die Umsetzung der immer neuen Anforderungen leicht macht. Die Empfehlung ist den Lesern die aktive Einwilligung ab sofort anzubieten. Webseitenbetreiber sollten also noch heute tätig werden.

  • Thorsten 1. Oktober 2019 13:23

    Legt das Urteil nicht nahe, dass gerade die Basis-Lösung (mit Restrisiko) nicht mehrfunktioniert, da hier eine aktive Einwilligung nicht vorhanden ist?

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)