Wir informieren zum Datenschutz
Der Europäische Gerichtshof (EuGH) hat die Pflichten bei der Verwendung von Cookies kürzlich spürbar verschärft. Weil Cookies für viele verschiedene Funktionen notwendig sind, die bislang gängigen Lösungen zum Umgang damit aber nur selten den neuen rechtlichen Anforderungen entsprechen, besteht in vielen Fällen dringender Handlungsbedarf.
Wir bei Atikon nehmen das Thema Datenschutz besonders ernst und möchten Sie als kompetenter Ansprechpartner ausführlich über die aktuellen Entwicklungen informieren! Weiterlesen
Worum geht es überhaupt?
Cookies sind kleine Textdateien, die beim Aufruf einer Website automatisch auf dem Endgerät des Besuchers gespeichert werden. Anhand der darin enthaltenen Informationen kann die bisherige Interaktion mit dem Besucher beim nächsten Aufruf wiederhergestellt und der Besucher wiedererkannt werden.
Cookies ermöglichen (und sind Voraussetzung für) eine Vielzahl an Funktionen. Der einfache Warenkorb basiert meist ebenso auf Cookies, wie maßgeschneiderte Werbeangebote oder komplexe Werkzeuge zur Auswertung der Aufrufe und Klicks. Kurzum, sie sind aus dem Internet kaum mehr wegzudenken. Deshalb stellt sich die Frage, wann eine Website überhaupt Cookies speichern darf und welchen Einfluss der Besucher darauf nehmen können muss.
Dreh- und Angelpunkt ist dabei der Wille des Besuchers. Denn nur solche Cookies, die technisch notwendig sind, um eine Website anzuzeigen, brauchen keine vorherige Einwilligung. Allen anderen Cookies muss der Besucher erst zustimmen, bevor sie auf seinem Endgerät gespeichert werden dürfen. Der Europäische Gerichtshof (EuGH) hat die Anforderungen an eine solche Einwilligung kürzlich verschärft und dabei einigen bisher in der Praxis gängigen Lösungen einen Riegel vorgeschoben.
Was hat sich geändert?
Dass Cookies nur mit der Einwilligung des Besuchers gespeichert werden dürfen, ist im Grunde nicht neu. Wie genau diese Einwilligung geschehen muss, war bislang aber weitgehend offen. Deshalb wurde die Einwilligung in der Praxis oft schon dann angenommen, wenn der Besucher nach einem Hinweis auf die Verwendung von Cookies weiterhin auf der Website blieb. Diese, wegen ihrer Einfachheit weit verbreitete Lösung entspricht allerdings nicht länger den rechtlichen Anforderungen.
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 01.10.2019 (Rs C-673/17) nun eine Reihe von Kriterien genannt, die erfüllt sein müssen, damit Cookies gespeichert werden dürfen. Als Blaupause dienten ihm dabei die Anforderungen an eine Einwilligung in die Datenverarbeitung laut Datenschutz-Grundverordnung (DSGVO), und zwar unabhängig davon, ob in den Cookies personenbezogene Daten gespeichert sind oder nicht.
Daraus folgt in erster Linie, dass Cookies erst gesetzt werden dürfen, nachdem der Besucher seine Einwilligung durch eine zustimmende Handlung unmissverständlich mitgeteilt hat. Aus dem Verhalten des Besuchers, der die Website trotz eines Hinweises auf die Verwendung von Cookies weiterhin nutzt, auf die Einwilligung zu schließen, erfüllt die rechtlichen Anforderungen hingegen nicht mehr.
Die Einwilligung ist auch dann nicht unmissverständlich, wenn der Besucher eine vorweg ausgewählte Option, etwa ein bereits gesetztes Häkchen im Cookie-Banner, lediglich nicht abwählt hat („opt-out“ Lösungen). Stattdessen muss Einwilligung durch eine aktive Auswahl des Besuchers geschehen („opt-in“ Lösungen).
Ausschlaggebend ist aber nicht nur, wie der Besucher einwilligt, sondern auch sein Wissensstand bei der Einwilligung. Der Besucher muss über alle für die Entscheidung relevanten Informationen zu den verwendeten Cookies verfügen, um die Konsequenzen seiner Einwilligung einschätzen zu können. Welche Informationen das konkret sind, ist allerdings derzeit noch weitgehend offen. Jedenfalls wird der Besucher aber darüber zu informieren sein, von wem und zu welchem Zweck die Cookies gespeichert werden. Das gilt besonders für Cookies von Drittanbietern, wenn diese das Erstellen von Besucherprofilen oder zielgerichtete Werbung ermöglichen.
Was bedeutet das?
Die verschärften Anforderungen an die Verwendung von Cookies bedeuten für den Betreiber einer Website mitunter dringenden Handlungsbedarf, denn viele der bisher gängigen Lösungen entsprechen nicht den Vorgaben des Europäischen Gerichtshofes (EuGH).
In einem ersten Schritt muss der Betreiber sicherstellen, dass ohne vorherige Einwilligung des Besuchers nur solche Cookies gesetzt werden, die zur Darstellung der Website technisch notwendig sind. Häufig ist außerdem eine Anpassung der Maßnahmen zur Abfrage der Einwilligung (sogenannte „Cookie-Banner“) notwendig, um auch technisch nicht notwendige Cookies speichern zu dürfen.
Wegen der höheren Anforderungen an den Wissensstand der Besucher bei der Einwilligung muss der Betreiber meistens auch die seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Datenschutzerklärung überarbeiten und um ausführlichere Informationen zu den verwendeten Cookies ergänzen.
Das Thema Datenschutz ist gekommen, um zu bleiben. Auch über ein Jahr nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) können sich die Betreiber einer Website keineswegs ausruhen. Stattdessen bringen zunehmende Häufigkeit und steigende Komplexität der rechtlichen Entwicklungen immer neuen Handlungsbedarf.