Was Webseitenbetreiber jetzt beachten sollten

EuGH fordert aktive Einwilligung für Webseiten-Cookies

Auf Betreiber von Webseiten kommt wieder einmal Arbeit zu. Grund dafür ist eine Entscheidung des Europäischen Gerichtshofs (EuGH).

Cookies sind Daten, die fast alle Webseiten auf den Rechnern ihrer Besucher speichern. Mit ihrer Hilfe erkennen die Betreiber einen Nutzer wieder. Manche Prozesse, wie die Verwaltung des Warenkorbs in einem Online-Shop, funktionieren ohne sie nicht. Der Seitenbesucher profitiert im Gegenzug zum Beispiel davon, dass er sich nicht immer wieder neu anmelden muss.

Geregelt sind die rechtlichen Voraussetzungen für Cookies bislang noch in der E-Privacy-Richtlinie 2002/58/EG (im Volksmund „Cookie-Richtlinie“ genannt). Ob diese wirksam in das deutsche Recht umgesetzt wurde, ist bis heute umstritten. Mit Einführung der EU-Datenschutz-Grundverordnung (DSGVO) 2018 mussten alle Webseitenbetreiber, die Cookies nutzen, ihre Datenschutzerklärungen neu formulieren: Es ist seitdem obligatorisch, dort die Rechtsgrundlagen für das Verwenden von Cookies zu nennen. Mit der DSGVO sollte eigentlich auch eine neue ePrivacy-Verordnung in Kraft treten, um die Bereiche Tracking und Cookies zu regeln. Das ist bisher nicht geschehen und wird frühestens für 2020 erwartet.

Bereits auf Grundlage des aktuellen Rechts hat der EuGH nun eine Entscheidung getroffen, wie mit Cookies bis zum Inkrafttreten der neuen ePrivacy-Verordnung umzugehen ist. Die Richter urteilten, dass der Besucher einer Webseite der Speicherung von nicht notwendigen Cookies aktiv zustimmen muss (Opt-in). Es genüge nicht, ein bereits voreingestelltes Häkchen zur Zustimmung zu deaktivieren (Opt-out). Dabei mache es keinen Unterschied, ob personenbezogene Daten verarbeitet werden. Der Besucher einer Webseite sei vielmehr vor jedem Eingriff in seine Privatsphäre zu schützen. Er müsse daher insbesondere darüber informiert werden, wie lange der Cookie gespeichert wird und ob Dritte darauf zugreifen könnten. Nur so sei eine informierte Einwilligung möglich.

Noch keine einheitliche Handhabung

Derzeit wird die Problematik auf deutschen Webseiten noch sehr unterschiedlich gehandhabt.

Die ganz riskante Variante: Seitenbetreiber, die sich auf einen Hinweis in ihrer Datenschutzerklärung beschränken, handeln definitiv gegen die aktuellen Aussagen des EuGH und die Vorgaben der Datenschutzbehörden.

Der nicht ganz ungefährliche Kompromiss: Schon heute informieren viele Seiten den Nutzer beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht per „Cookie-Banner“, verzichten allerdings auf die Einwilligung. Der Nutzer muss weder klicken noch bestätigen. Einige Auflagen bleiben unerfüllt.

Auf der sicheren Seite: Wer kein Risiko eingehen will, blendet eine „Cookie Warning“ ein und lässt sich Einwilligungen von den Nutzern erteilen. Am besten erscheint der Einwilligungstext mit dem Cookie-Hinweis gleich beim ersten Aufruf der Seite. Der Text formuliert so konkret wie möglich, um welche Daten es geht, wozu diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Der Nutzer wird genau über alle Dienste informiert werden, die Cookies setzen und Daten übertragen. Er bestätigt dann ausdrücklich, dass er damit einverstanden ist. Bevor diese Zustimmung erteilt ist, dürfen keine Daten übertragen werden.

Wie auch immer sollte die Datenschutzerklärung auf der Webseite den Nutzer auf eines deutlich hinweisen: nämlich wie er verhindern kann, dass überhaupt Cookies gesetzt werden, aber auch, dass dies gegebenenfalls Folgen für den Funktionsumfang der Webseite hat.

Kontakt:

Daniel Kühn
Telefon (069) 8207-225
kuehn@offenbach.ihk.de