1) Hintergrund: Was sind Cookies und wieso braucht es überhaupt eine Zustimmung?
Cookies sind kleine Textdateien, die beim Besuch einer Website vom Internetbrowser heruntergeladen und am Endgerät des Website-Besuchers für eine unterschiedlich lange Dauer gespeichert werden. Beim erneuten Besuch der Website vom gleichen Endgerät bzw. Browser kann die Website das zuvor von ihr gesetzte Cookie wieder auslesen. Cookies dienen dazu, Nutzereingaben zu speichern (z.B. Warenkorb) oder den Website-Besucher zu „kennzeichnen“, um ihn beim nächsten Besuch wiederzuerkennen. Dadurch lässt sich das Besuchererlebnis einer Website verbessern und Produktangebote können optimiert werden. Das bedeutet aber auch, dass mithilfe von Cookies personenbezogene Daten gespeichert werden, weshalb sie in den Bereich der DSGVO fallen. Je nach Zweck können Cookies einwilligungspflichtig sein oder nicht.
Einwilligungspflichtige Cookies
Handelt es sich bei den Cookies, die von der Website gesetzt werden sollen, um einwilligungspflichtige Cookies (das sind alle Cookies außer jenen, die es braucht, um dem User den gewünschten Dienst überhaupt zur Verfügung stellen zu können), muss eine Einwilligung des Website-Besuchers eingeholt werden. Das Cookie darf erst gesetzt werden, wenn eine Einwilligung vorliegt.
Laut DSGVO ist eine Einwilligung eine
- freiwillige,
- für den bestimmten Fall,
- in informierter Weise und
- unmissverständlich abgegebene
Willensbekundung.
2) Was hat der EuGH für ein Problem mit den bisherigen Einwilligungen?
Viele Unternehmen haben auf ihren Webseiten die Notwendigkeit einer Einwilligung durch ein Pop-up-Banner am unteren Rand mit folgender oder einer ähnlichen Formulierung gelöst: „Diese Website verwendet Cookies. Es kommt daher zu einer Ermittlung und Speicherung von Daten. Informationen zur Datenverarbeitung sowie zur Möglichkeit, dies abzulehnen, erhalten Sie in der Datenschutzerklärung. [OK]“
Laut EuGH ist der Auftrag an den User, unerwünschte Cookies abzulehnen bzw. abzuwählen (Opt-out) jedoch genau der verkehrte Ansatz, da er der Definition einer „Einwilligung“ (siehe auch Punkt 1) nicht wirklich entspricht. Es soll der User im Gegenteil anklicken (müssen), welchen Cookies er zustimmt (Opt-in), z.B. in Form von Häkchen, die er etwa in einem solchen Cookie-Banner setzt. Zudem muss er natürlich umfassend informiert werden: z.B., wozu diese Cookies dem Unternehmen genau dienen, wie die daraus gewonnenen Informationen weiterverarbeitet werden und auch, welche Auftragsverarbeiter noch darauf Zugriff haben.
3) Welche Auswirkungen kann die Entscheidung auf mein Unternehmen haben?
Vordergründig bedeutet die EuGH-Entscheidung Arbeit für das Unternehmen, denn Cookie-Banner und Datenschutzerklärungen müssen überarbeitet und an die neuen Bedingungen angepasst werden. Zuerst muss eruiert werden, welche Cookies die Webseite genau setzt, die Banner müssen neu gestaltet werden und schließlich muss auch sichergestellt sein, dass die Website am Ende auch verlässlich nur solche Cookies setzt, denen der Benutzer zugestimmt hat. Das Unternehmen muss also Geld und/oder personelle Ressourcen investieren.
Die größere Sorge der Unternehmen ist jedoch, dass sie die Zustimmung der User nicht mehr bekommen. Natürlich ist personalisierte Werbung auch für den Kunden angenehmer. Aber sie ist und bleibt nun mal Werbung und ob Website-Benutzer dafür wirklich aktiv ein Häkchen setzen, wird sich erst zeigen. Marketing-Experten zumindest sind jetzt bereits der Meinung, dass es Online-Marketing, wie wir es kennen, nicht mehr lange geben wird.
4) Gibt es noch Unklarheiten nach dem EuGH-Urteil?
Ja, es ist noch Einiges unklar:
- Z.B., ob wirklich jedem einzelnen Cookie zugestimmt werden muss oder ob sie in Kategorien zusammengefasst werden dürfen (laut deutscher Datenschutzbehörde sollte dies in Ordnung sein).
- Auch, ob alle Cookie-Anbieter in der Einwilligung einzeln angeführt werden müssen, ist immer noch offen.
- Manche Unternehmen haben sich für eine Entweder-Oder-Variante entschieden, bei der die Webseite nur verwendet werden kann, wenn man den Cookies zustimmt. Dies ist aber nur dann erlaubt, wenn es den User nicht in eine Zwangslage bringt. Auch dazu fehlen noch Entscheidungen.
- Ebenfalls liegt noch keine Entscheidung für Pay-or-Okay-Modelle wie jenes von derStandard.at vor: Hier können User gegen Bezahlung eine cookie-freie Version der Webseite nutzen. Für die Datenschutzbehörde war dieses Vorgehen jedenfalls in Ordnung.
- In der Pipeline ist auch immer noch die ePrivacy-Verordnung. Diese wird zwar, was Cookies betrifft, nicht vom EuGH-Urteil abweichen, spannend bleibt es trotzdem.
Fazit:
Eineinhalb Jahre nach Ende der DSGVO-Umsetzungsfrist tut sich im Datenschutz mehr denn je. Damit Sie bei Cookie und Co. auf der sicheren Seite bleiben, hier noch ein Tipp für Sie: Rechtssichere Informationen und stets aktuelle Inhalte finden Sie in unserem
