… wird geladen

zurück zur News-Übersicht

01.Oktober 2019

EuGH: Kekse nur mit Einwilligung!

Aus den Bereichen: TechnologieDigitalisierungDatenschutzWettbewerbsrecht

Neues Urteil des europäischen Gerichtshofs bestätigt, dass Cookie-Einwilligungsbanner erforderlich sind.

Wenn Sie eine Website betreiben oder aus anderen Gründen für die Rechtskonformität einer Website verantwortlich zeichnen, sollten Sie den nachfolgenden Beitrag nicht überlesen.

Viele Websites greifen auf Cookies zurück. Cookies sind kleine Textdateien, die eine Website auf den Systemen der Website-Besucher ablegt. Vereinfacht gesagt, nutzt die Website diese Textdateien häufig dazu, das System des Besuchers bei einem erneuten Zugriff wiederzuerkennen. So kann die Website dem Besucher sodann Sprachauswahl, Log-In Daten oder gar den persönlichen Warenkorbinhalt der letzten „Surf-Session“ reproduzieren.

Der europäische Gerichtshof entschied mit Urteil vom 01.10.2019 in der Rechtssache C-673/17 nunmehr zur rechtskonformen Ausgestaltung sog. „Cookie Banner“ (das sind die Overlays, Balken etc., mit denen Website-Betreiber in unterschiedlicher Manier auf das Verwenden von Cookies hinweisen).

Was steht fest?

Nach dem Urteil des europäischen Gerichtshofs stehen nunmehr folgende Punkte fest:

  • Cookies, die nicht unbedingt für den technischen Betrieb der Website erforderlich sind (welche das sind, ist noch nicht abschließend geklärt), dürfen nur noch mit einer Einwilligung des Website-Besuchers „gesetzt“ werden.
  • Davon betroffen sind neben diversen Tracking-, Marketing- und Convenience-Cookies auch Fingerprints oder andere Technologien, die Daten auf den Geräten von Website-Besuchern hinterlegen.
  • Cookie-Banner, die vorsehen, „dass der Website-Besucher durch die weitere Nutzung der Website seine Einwilligung zum Setzen von nicht unbedingt erforderlichen Cookies erteilt“, reichen nicht aus.
  • Cookie-Banner, bei denen bereits eine Vorauswahl zur Einwilligung von nicht unbedingt erforderlichen Cookies gesetzt ist („angehaktes Kästchen – Opt-out“) sind ebenfalls zu vermeiden.
  • Selbst wenn ein Cookie keine personenbezogenen Daten verarbeitet, ist eine Einwilligung erforderlich.

Was folgt daraus?

Nicht unbedingt erforderliche Cookies dürfen von der Website erst gesetzt werden, wenn der Websitebesucher aktiv eingewilligt hat. Dies erfordert einen entsprechenden Hinweis, der vor dem Setzen des ersten nicht unbedingt erforderlichen Cookies eingeblendet wird und im Zuge dessen der Website-Besucher aktiv alle von ihm gewünschten Cookies anhakt („Opt-In“).

Der Hinweis muss ferner transparent darüber aufklären,

  • welche Daten ein Cookie wofür verarbeitet.
  • wie lang die Informationen des Cookies gespeichert bleiben („Lebensdauer“).
  • wer für die Datenverarbeitung durch ein Cookie verantwortlich ist (dritte Dienstleister oder der Website Betreiber).

Verarbeiten Cookies auch personenbezogene Daten (z.B. IP-Adressen), dürfen Website-Betreiber ferner die Informationspflichten der Datenschutzgrundverordnung nicht vernachlässigen. Im besten Fall verlinkt der Cookie-Banner deshalb zu dem Impressum und der Datenschutzerklärung der Website und der Zugriff auf diese Unterseiten ist unabhängig von dem Cookie-Banner möglich.

Auch nach dem Urteil des europäischen Gerichtshofs bleiben diverse Fragen offen, von deren Darstellung wir an dieser Stelle absehen möchten, um den Beitrag nicht zu überfrachten. Sollten Sie bezüglich des Cookie-Banners Ihrer Website weitergehenden Beratungsbedarf feststellen, sprechen Sie uns gerne an.