Cookie-Banner ohne Zustimmung sind (endgültig) ungesetzlich

02.10.2019 - Michael Kornfeld

Durch ein aktuelles Urteil des EuGH (hier auch die leichter lesbare Presseinfo dazu) sind mit einem Schlag geschätzte 95% der Cookie-Banner ungesetzlich und müssen geändert werden. (Worauf wir übrigens seit Jahren in unserem Datenschutz-Seminar hingewiesen haben).

 

Anlass war ein Unternehmen, das für das Setzen von Cookies eine Checkbox anbot, die bereits vorangehakt war. Der EuGH stellte in seinem Urteil klar, dass damit keine wirksame Einwilligung erteilt wird.

 

Was bedeutet das Urteil?

Das Urteil macht auch klar, dass es bei Cookie-Banner eine Auswahl-Möglichkeit für die Besucher geben muss, d.h. es muss das Setzen von Cookies auch abgelehnt werden können und es eine aktive Einwilligung sein muss. Die vielfach verwendete Formulierung „Mit dem Fortsetzen des Besuchs stimmen Sie der Verwendung von Cookies zu.“ ist also nicht ausreichend.

 

(Das gilt übrigens nicht für technisch notwendige Cookies, zum Beispiel für einen Warenkorb; diese Cookies dürfen gesetzt werden.)

 

Also: Das Setzen von Cookies erfordert die aktive und informierte Einwilligung des Users. Dabei müssen – auch das stellte der EuGH nun unmissverständlich klar - u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter auf die Informationen gemacht werden müssen. Auch das ist eigentlich nichts Neues.

 

Außerdem muss die Einwilligung für den konkreten Fall eingeholt werden; eine „Blanko-Zustimmung“ ist also ebenfalls nicht ausreichend.

 

Gilt auch für nicht-personenbezogene Daten

In dem Urteil ist ein Absatz besonders bemerkenswert. Es macht laut EuGH nämlich keinen  Unterschied,  ob  es  sich  bei  den  im  Gerät  des  Nutzers  gespeicherten oder   abgerufenen   Informationen   um   personenbezogene   Daten   handelt oder   nicht:  „Das Unionsrecht   soll   den   Nutzer   nämlich   vor   jedem   Eingriff   in   seine   Privatsphäre   schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.“ so die Begründung.

 

Was müssen Unternehmen nun tun?

Wenn ein Unternehmen auf der eigenen Website Cookies einsetzt, sollte zuerst einmal durchgeatmet werden. Dann sollte überprüft werden, ob die Cookies technisch zwingend notwendig sind – oder ob es sich dabei (auch) um sog. „Marketing-Cookies“ handelt. Denn für das Setzen von diesen muss eben eine Zustimmung eingeholt werden.

 

Dementsprechend sollte der aktuelle Cookie-Banner der Website  überprüft werden:

  • Wird das Cookie bereits vor der Zustimmung gesetzt (wie das leider bei der Mehrheit der Cookie-Banner faktisch der Fall ist)? Wenn ja, muss das geändert werden.
  • Kann der Benutzer das Setzen der (Marketing-) Cookies auch ablehnen? Wenn nein, muss das geändert werden.
  • Sind die Informationen, die dem User gegeben werden, ausreichend? Wird zum Beispiel auf die Dauer der Speicherung oder die eventuelle Weitergabe an Dritte hingewiesen? Wenn nein, muss das geändert werden.

 

Das Ende von Remarketing & Co?

Spannend wird das Urteil zum Beispiel für Remarketing-Cookies. Denn es ist zu bezweifeln, dass Website-Besucher diesen massenhaft zustimmen, wenn sie nun explizit darauf hingewiesen und ihnen aktiv (!) ihre Einwilligung geben müssen.

 

Die Online-Werbeindustrie wird nun sicher den Untergang des Abendlandes ausrufen; und tatsächlich wird das Urteil vermutlich weitreichende Konsequenzen für Online-Werbung haben. Andererseits hat der EuGH mit dem Urteil den Datenschutz klar in den Vordergrund gestellt. Und wer sagt, dass es nicht möglich ist, eine Cookie-Einwilligung zu bekommen?

 

Inwieweit das Urteil praktikabel ist und wie die Industrie darauf reagieren wird, bleibt abzuwarten. Es bleibt jedenfalls spannend!

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus