Anforderungen an den Cookie Consent: Rechtssicheres Setzen von Cookies auf Ihrer Website

Anforderungen an den Cookie Consent: Rechtssicheres Setzen von Cookies auf Ihrer Website

Anfang Oktober haben wir an dieser Stelle bereits über das EuGH-Urteil C673/17 berichtet, welches sich mit der Frage beschäftigte wie genau die Einwilligung in das Setzen von Cookies einzuholen ist. Auch wenn hierzu konkret keine weitere Rechtsprechung ergangen ist, möchten wir im neuen Jahr dennoch die Gelegenheit nutzen, die genauen Auswirkungen der Entscheidung zu beschreiben. Es ist nämlich absehbar, dass zukünftig das Setzen von Cookies nur noch unter strengeren Anforderungen möglich sein wird. Daher empfiehlt es sich schon jetzt, Websites dahingehend zu prüfen und auch das Cookie Banner anzupassen.

DSGVO, E-Privacy RL und TMG – eine verworrene Rechtslage

Zunächst aber eine, soweit möglich, kurz gehaltene Erläuterung zum rechtlichen Hintergrund: Seit Erlass der EU-Datenschutz-Grundverordnung (DSGVO) kommt es immer wieder zu Abgrenzungsproblemen zum schon bestehenden, spezielleren nationalen Recht Dies liegt daran, dass die seit Jahren geplante E-Privacy-Verordnung noch immer nicht in Kraft ist. Deshalb gilt weiterhin die europäische E-Privacy- Richtlinie (2002/58/EG) welche in Deutschland durch das Telemediengesetz (TMG) umgesetzt ist.

Ausgehend davon stellten deutsche Richter des Bundesgerichtshofs (BGH) dem europäischen Gerichtshof (EuGH) nun die Frage, wie die Einwilligung in das Setzen von Cookies einerseits nach DSGVO und andererseits nach deutschem TMG vom Nutzer einer Website eingeholt werden muss. Denn §15 Abs. 3 TMG erlaubt Cookies eigentlich schon dann, wenn der Nutzer diesen nicht widersprochen hat (Opt Out). Der EuGH hat dies im Urteil nun aber als unzureichend gekippt; das TMG entspricht nicht vollständig den Bestimmungen der E-Privacy-Richtlinie. Stattdessen kann eine gültige Einwilligung nur vorliegen, wenn der Nutzer eine aktive und zweifelsfreie Erklärung abgegeben hat, etwa durch das Ankreuzen einer nicht vorausgefüllten Checkbox (Opt In). Die gleichen Maßstäbe gelten auch, wenn die DSGVO zugrunde gelegt wird. Mit dieser Einschätzung wurde nahezu allen bisher in Deutschland verwendeten Cookie Bannern die Rechtsgrundlage entzogen.

Besteht nun sofortiger Handlungsbedarf?

Dennoch ergibt sich zunächst keine unmittelbare Pflicht die Logik beim Setzen von Cookies abzuändern. Dies liegt daran, dass auf Grundlage der Auffassung des EuGHs nun wiederrum der BGH einen Beschluss fassen muss – sein Urteil ist aber schon zeitnah zu erwarten. Auch könnte in Kürze eine angepasste Neufassung des TMG ergehen.

Dessen ungeachtet gibt es auch jetzt schon einflussreiche Stimmen, die die standardmäßige Einwilligung in Cookies verlangen: Die Datenschutzkonferenz als Sprachrohr der Datenschutzbehörden der Länder vertritt immer vehementer die Auffassung, Cookies unterfallen der DSGVO und können nur unter den Voraussetzungen von Art.6. Abs. 1 s.1 lit. a) DSGVO, also der vorherigen Zustimmung in Form einer Einwilligung gesetzt werden.

Zusammengenommen raten wir daher inzwischen dazu, technische Maßnahmen einzuleiten, die den Anforderungen an eine gültige Einwilligung gerecht werden. Entsprechend ist auch in der neuesten Fassung unserer Datenschutzerklärungen die Rechtsgrundlage für Cookies standardmäßig nicht mehr Art.6 Abs. 1 s. 1 lit. f), welche das berechtigte Interesse enthält, sondern Art.6. Abs. 1 s.1 lit. a) DSGVO – eben die Einwilligung.

Handhabung unterschiedlicher Cookies und Design eines konformen Banners

Websitebetreiber sollten die Funktionsweise Ihres Internetauftritts und das verwendete Cookie Banner jetzt genau analysieren. Von der Einwilligungspflicht befreit sind nach herrschender Meinung wohl nur noch Cookies, die technisch absolut notwendig für den Seitenaufbau sind. Dies dürfte allen voran die vom Webhosting Anbieter erhoben Daten betreffen, sowie Cookies, die den Login und Warenkorb abspeichern. Für jegliche darüberhinausgehende Datenverarbeitung kann man davon ausgehen, dass der Nutzer grundsätzlich seine vorherige Zustimmung erteilen muss. Diese Zustimmung darf nicht vom Websitebesuch abhängig gemacht werden, es ist also nicht gestattet die Seite zu blockieren, wenn keine Einwilligung in das Setzen von Cookie erteilt wurde. Auch ist darauf zu achten, dass tatsächlich keine Cookies (außer die technisch notwendigen) gesetzt werden, bevor der Nutzer (durch eine bestätigende und aktivierende Handlung über das Banner) in diese eingewilligt hat.

Gegebenenfalls durch den Websiteentwickler ist demnach sicherzustellen, dass bei initialem Aufruf der Seite nur die rudimentärsten Funktionen aktiviert werden, also ohne direktes ausliefern von Drittanbietertools sowie Analyse- und Werbediensten. Sind solche aber vorgesehen, ist sodann ein Cookie Banner einzusetzen, welches den Nutzer einerseits über Art und Zweck solcher informiert und ihm mittels einer nicht vorausgefüllten Checkbox die Möglichkeit gibt in das Setzen von Cookies einzuwilligen. Erst wenn dies geschehen ist, dürfen auch tatsächlich die vorher abgefragten Dienste nachgeladen werden. Es empfiehlt sich die nicht essenziellen Cookies dabei in Analyse- und Werbedienste zu gruppieren. So kann der Nutzer selbstständig entscheiden, wie weitreichend seine Daten verarbeitet werden dürfen (etwa nur zur Websiteoptimierung oder auch zu Zwecken von Tracking). Die Auswahl, die vom Nutzer durch das Banner getroffen wurde, darf ausnahmsweise übrigens unabhängig von der Einwilligung durch ein Cookie gespeichert werden, sodass nicht bei jedem Neuaufruf eine weitere Abfrage erfolgen muss.

Verwenden Sie Content Management Systeme auf Ihrer Website? Vielfach gibt es PlugIns, die die oben beschriebenen Anforderungen umsetzen. Im Falle von WordPress etwa hat der Anbieter Borlabs eine adäquate Lösung im Portfolio. Mustergültig ist auch das durch diesen verwendete Cookie Banner, verfügbar unter  https://de.borlabs.io/borlabs-cookie/iframe-demo/.

Bei weiteren Fragen zum Thema EuGH-Urteil und Cookie-Opt-In, sowie datenschutzrechtlichen Themen allgemein stehen wir Ihnen auch in 2020 weiterhin sehr gerne zur Verfügung!