Aktuelles Gerichtsurteil vom EuGH bezüglich Webseiten-Cookies

Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 stellten sich viele Webseiten-Betreiber die Frage, ob Cookies nach der DSGVO auch ohne explizite Einwilligung der Nutzer auf Webseiten eingesetzt werden dürfen, ohne gegen die DSGVO zu verstoßen und deswegen abgemahnt zu werden. Die DSGVO selbst enthält nämlich keine Bestimmungen dazu.

Eine erste Einschätzung dazu lieferte die Datenschutzkonferenz (DSK) und vertrat die Meinung, dass das Setzen von Cookies gegen die DSGVO verstößt und abgemahnt werden kann. Da es sich dabei nur um eine Meinungsäußerung handelte, blieben Konsequenzen und Handlungsempfehlungen aus. Nun hat aber der Europäische Gerichtshof (EuGH) in einem aktuellen Urteil entschieden, dass Cookies ohne Einwilligung auf Webseiten nicht mehr gesetzt werden dürfen. Dies gilt allerdings nur für die sogenannten Third-Party-Cookies.

First-Party-cookies vs. Third-Party-Cookies

Die Einwilligungspflicht besteht laut EuGH nur für Third-Party-Cookies, First-Party-Cookies dürfen nach wie vor ohne Einwilligung gesetzt werden. Doch wo ist der Unterschied? First-Party-Cookies werden von der Webseite selbst gesetzt, um zum Beispiel gewisse Funktionalitäten zu ermöglichen. Klassische Beispiele für solche Cookies sind:

  • Speichern von Log-in-Daten
  • Ablage von Produkten in den Warenkorb
  • Merken von Länder- oder Sprachauswahl

Diese Cookies geben keine Daten an Dritte weiter, sondern sorgen für eine bessere Nutzbarkeit der Webseite. Diese Art von Cookies dürfen nach der aktuellen Rechtslage nach wie vor bedenkenlos gesetzt werden – auch ohne Einwilligung der Nutzer.

Daneben gibt es aber auch Cookies, die gespeicherte Daten an Dritte weitergeben. Dabei handelt es sich meistens um Dienste von Drittanbietern wie zum Beispiel:

  • Tracking- oder Analysetools (Google Analytics, etracker, Matomo, Conversion-Tracking, Remarketing, etc.)
  • Einbindung von Karten oder Videos (Google Maps, Open Street Map, YouTube, Vimeo, etc.)
  • Social-Media-Plugins und Buttons (Facebook, Instagram, Twitter, LinkedIn, etc.)

Häufig werden von diesen externen Diensten Daten gesammelt und an andere Dienste weitergegeben, ohne dass Nutzer Kenntnis davon hatten. Dieses Vorgehen war Datenschützern schon lange ein Dorn im Auge. Der EuGH urteilte jetzt, dass das Setzen von diesen Third-Party-Cookies nur mit einer ausdrücklichen Einwilligung erlaubt ist. Dabei ist es egal, ob nur anonymisierte Daten verarbeitet werden oder der Webseiten-Betreiber gar keinen Einfluss auf die Verarbeitung dieser Daten hat. Verantwortlich ist er dafür trotzdem.

Daher empfehlen wir allen Webseiten-Betreibern vor dem Setzen von Third-Party-Cookies eine explizite Einwilligung der Nutzer einzuholen. Ansonsten sollte auf diese Dienste verzichtet werden.

Wie hole ich als Webseiten-Betreiber eine gültige Einwilligung meiner Nutzer ein?

Gerichtliche Urteile sind immer schnell ausgesprochen, doch deren Umsetzung ist oftmals gar nicht so einfach. Dies zeigt sich – wieder einmal – auch mit der Einwilligung für Third-Party-Cookies. Auf der einen Seite dürfen diese Cookies wirklich erst dann gesetzt werden, wenn der Nutzer ausdrücklich zugestimmt hat, auf der anderen Seite darf die Webseite in ihrer Funktion nicht eingeschränkt sein. Denn ansonsten könnten sich Nutzer dazu gezwungen fühlen, ihre Zustimmung für Third-Party-Cookies zu erteilen. Nutzer müssen ihre Einwilligung aber freiwillig geben.

Die Umsetzung dieser Anforderungen gestaltet sich in der Praxis schwierig. Am besten gelingt sie mit der Einbindung von sogenannten Consent Tools („consent“ stammt aus dem Englischen und bedeutet „Zustimmung“). Wenn ein Consent Tool auf Ihrer Webseite eingebunden ist, dann werden beim Aufruf der Webseite sämtliche Datenströme blockiert. Das heißt, dass Nutzer zum Beispiel für Tracking- und Analyse-Tools wie Google Analytics erst einmal unsichtbar sind. Sie müssen erst explizit einwilligen, bevor sie erfasst werden. Außerdem werden manche Dienste automatisch unterbunden. Google Maps zum Beispiel erscheint nicht mehr als Karte, sondern an ihre Stelle tritt ein Hinweis, dass man für eine vollständige Darstellung erst ausdrücklich einwilligen muss.

Zudem erscheint beim Aufruf Ihrer Webseite für die Nutzer ein Layer. Darin werden Nutzer über Cookies und Datenerfassung informiert. Über Buttons können sie der Datenverarbeitung entweder zustimmen oder sie ablehnen. Daneben haben Nutzer über den Layer aber auch die Möglichkeit gezielte Dienste zuzulassen. So können sie zum Beispiel den Dienst Google Maps zulassen, während sie Google Analytics verbieten.

Durch ein Consent Tool werden also alle Dienste und Tools, die Daten erfassen, solange unterbunden, bis der Nutzer explizit seine Einwilligung gibt. Außerdem können Nutzer individuell bestimmen, welche Datenerfassung sie zulassen möchten und welche nicht. Sie erhalten also die volle Kontrolle über ihre Daten. Sollten Sie ein Consent Tool auf Ihrer Webseite verwenden, ist es wichtig, dass Sie die Datenschutzerklärung auf Ihrer Webseite aktualisieren.

Bis wann sollten Webseiten-Betreiber eine Einwilligungslösung auf Ihrer Webseite implementieren?

Eine Frist gibt es nicht. Das Gerichtsurteil steht seit Oktober 2019 im Raum, auch wenn der aktuelle Fall nicht endgültig entschieden wurde. Deutsche Gerichte und die Datenschutzbehörden werden den Auffassungen des EuGHs aber folgen und es können Abmahnung und Bußgelder drohen. Daher sollten Sie sich am besten sofort um die Implementierung eines Consent Tools bzw. einer rechtskonformen Einwilligungslösung kümmern. Gerne unterstützen wir Sie dabei.

Und wenn ich das alles nicht möchte?

Wenn Sie kein Consent Tool auf Ihrer Webseite etablieren möchten, dann laufen Sie Gefahr abgemahnt zu werden und es drohen Bußgelder. Rechtlich sind Sie auf der sicheren Seite, wenn Sie externe Dienste wie Google Maps oder Google Analytics deaktivieren und von Ihrer Webseite entfernen. Darunter leidet aber meistens die Nutzer-Erfahrung mit Ihrer Webseite und Aussagen über Nutzerströme können nicht mehr getroffen werden. Sie sollten es sich also gut überlegen, welche Auswirkungen die nicht-Implementierung von Consent Tools mit sich bringt.

Die Fakten kurz und knapp zusammengefasst

  • Laut EuGH ist der Einsatz von Third-Party-Cookies ohne die ausdrückliche Einwilligung von Nutzern ab sofort rechtswidrig und kann abgemahnt werden.
  • Consent Tools sind die beste Lösung, um dieses Urteil umzusetzen.
  • Consent Tools unterbinden Datenströme beim Aufruf einer Webseite sofort, sie werden erst freigegeben, wenn Nutzer ausdrücklich der Datenverarbeitung zugestimmt haben. Außerdem bieten sie den Nutzern vollständige Kontrolle über ihre Datenverarbeitung.
  • Passen Sie unbedingt die Datenschutzerklärung auf Ihrer Webseite an, wenn Sie ein Consent Tool verwenden.

Ein Hinweis zum Schluss: Die Cookie-Hinweise, die mittlerweile auf fast jeder Webseite zu finden sind, erfüllen die Anforderungen nicht, da sie keinerlei Funktion haben und Nutzer nicht aktiv zustimmen können.