zuletzt aktualisiert am: 9. Juni 2021
Am 1.Oktober 2019 entschied der Europäische Gerichtshof (EuGH), dass Cookies bereits vor der Datenverarbeitung einer Einwilligung benötigen. Die bis dahin in Deutschland häufig noch genutzte Begründung des Opt-Out-Verfahrens auf Basis des TMG ist damit hinfällig.
Warum Cookies nur nach Einwilligung?
Die Entscheidung des EuGH schlägt aktuell im Internet große Wellen. Dabei kommt sie für Datenschützer nicht wirklich überraschend.
Bereits im April dieses Jahres hatte die Datenschutzkonferenz der Länder in ihrer Orientierungshilfe für Anbieter von Telemedien (OH TM) klargestellt, dass
mitgliedstaatliche datenschutzrechtliche Regelungen aufgrund des Anwendungsvorrangs der DSGVO durch diese verdrängt (werden), wenn es keine spezifischen Regelungen gibt, die ein Fortbestehen bereits existierender Regelungen anordnen oder Öffnungsklauseln Spielräume zur mitgliedstaatlichen Ausgestaltung offen lassen beziehungsweise vorgeben. (OH TM, S. 2)
Im selben Papier fordert die DSK folgerichtig eine Datenverarbeitung erst nach Einwilligung. Diese Auffassung unterstreicht das aktuelle Urteil.
Das Urteil AZ C 673/17 befasst sich über mehrere Abschnitte damit, dass eine Einwilligung aktiv erfolgen muss, da nur so die „Willensbekundung“ des Betroffenen „ohne jeden Zweifel“ nachgewiesen werden kann (vgl. Urteil Abs. 44 – 65) Die netten kleinen Info-Banner auf den meisten Seiten sind damit nutzlos. Genauso gut könnte man sie weglassen. Eine reine Vermutung, dass der Nutzer die Information gelesen hat, reicht nicht aus.
Fazit: Die Einwilligung muss „freiwillig für den bestimmten Fall, in informierter Weise unmissverständlich“ erfolgen. Eine Opt-Out-Lösung (voreingestellte Häkchen) sind somit rechtswidrig. Die Einwilligung muss zwingend vor der Verarbeitung erfolgen!
Session Cookies, die technisch unbedingt erforderlich sind (z.B. für die Warenkorb-Funktion) dürfen auch weiterhin ohne Einwilligung genutzt werden. Statistische Auswertung oder Retargeting-Maßnahmen jedoch sind ohne Einwilligung nicht mehr zulässig.
Warum also der ganze Wirbel?
Nun, die Entscheidung, dass eine aktive Einwilligung abzugeben ist, war zu erwarten. Überraschend ist jedoch, dass sich das Urteil auf sämtliche Cookies bezieht, also explizit auch auf diejenigen, die keine personenbezogenen Daten verarbeiten – einfach nur deshalb, weil sie auf dem Endgerät des Nutzers gespeichert werden.
In den Abschnitten 66 – 71 legt der EuGH fest, dass es „zum Schutz der Menschenrechte und Grundfreiheiten“ unerheblich ist, ob die gespeicherten Daten Personenbezug aufweisen oder nicht, da:
die in Endgeräten gespeicherten Informationen ein Teil der Privatsphäre der Nutzer sind. (Abs. 71)
Welche Informationen muss der Verantwortliche geben?
Dem Nutzer muss bei seiner Einwilligung klar sein, welche Konsequenzen seine Einwilligung hat. Die Informationen
müssen klar verständlich und detailliert genug sein, um es de Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen, (Abs. 74)
Zu den Informationen, die der Nutzer erhalten muss, gehören nach Abs. 75:
Angaben zur Funktionsdauer der Cookies und (), ob Dritte Zugriff auf die Cookies erhalten können.
Außerdem dürfen die Angaben nach Art. 13 DSGVO (Informationspflichten) nicht fehlen.
Detaillierte Infos zu den Vorgaben gibt der Landesdatenschutzbeauftragte von Baden-Württemberg in seiner Pressemitteilung und in den FAQ.
+++ Ergänzung vom Dezember 2020 +++
„No Nudging“
Die Landesdatenschutzbeauftragte in Niedersachsen hat im November 2020 eine Handreichung zum datenschutzkonformen Einholen der Einwilligung über Consent-Layer („Cookie-Banner“) veröffentlicht.
Darin macht sie deutlich, dass Banner nach dem Motto „Wir nutzen Cookies. Wenn Sie diese Seite weiter nutzen, gehen wir von Ihrem Einverständnis aus“ genauso unrechtmäßig ist, wie Banner, bei denen bereits voreingestellte Häkchen gesetzt sind und man diese nur mit einem Klick bestätigen muss.
Dieses so genannte „Nudging“ stellt keine datenschutzkonforme Einwilligung dar. Das heißt, alle Banner, bei denen die Einwilligung mit einem Klick (meist farblich hervorgehoben) möglich ist, die Nicht-Einwilligung jedoch umständlich durch Einzelabwahl erfolgen muss, sind nicht DSGVO-konform.
Zudem müssen auch Widerrufmöglichkeiten einfach gestalten sein.
Sollte sich Ihr Angebot an Kinder richten, sollten Sie auf den Einsatz von Cookies weitestgehend verzichten, da Sie andernfalls eine geeignete Altersverifikation einbauen müssten….
+++
Welche WordPress-Plugins setzen Cookies erst nach Einwilligung?
Da ich das Rad nicht neu erfinden muss, verweise ich an dieser Stelle gern an die Kollegen von Blogmojo: Die 4 besten Cookie-Plugins für WordPress in 2019
Quellen:
datenschutz.de: Cookies auch in Deutschland einwilligungspflichtig
datenschutz.de: EuGH stärkt die datenschutzrechtliche Einwilligung im Internet
Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.
Bildquellen
- cookies: Pixabay - StockSnap