EuGH-Urteil Planet49 – Aktive Einwilligung für Cookies erforderlich
Einhergehend mit der Einführung der Datenschutz-Grundverordnung (DSGVO) diskutieren Politiker, Verbraucherschützer und verschiedene andere Interessensverbände bereits seit längerem die Auslegung der sogenannten Cookie-Richtlinien. Konkret geht es um die Frage, ob der Einsatz von Cookies auf Webseiten zwingend eine wirksame Einwilligung betroffener Nutzer voraussetzt.
Mit dem Urteil vom 01.10.2019 (C-673/17 “planet49”) hat sich der EuGH zur Frage eines rechtskonformen Einsatzes von Cookies vor einigen Wochen nun ganz klar positioniert und entschieden, dass Cookies nur mit ausdrücklicher Einwilligung des Nutzers/Webseitenbesuchers eingesetzt werden dürfen.
Die Cookie-Richtlinien bedeuten, dass die sehr weit verbreiteten Hinweisbanner, z.B. „Um unser Webangebot für Sie optimal zu gestalten, nutzen wir Cookies: Wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden.” nicht ausreichend sind. Hier hat keine Veränderung gegenüber der DSGVO aus dem Mai des letzten Jahres stattgefunden.
Als Online Marketing Agentur geben wir Ihnen einen Überblick über die rechtlichen Rahmenbedingungen und stellen die technischen Umsetzungsmöglichkeiten näher dar. Dies natürlich ohne eine Rechtsberatung zu erbringen. Weder können noch dürfen wir das. Diese erbringt in dieser Angelegenheit unser Anwalt Jens Fusbahn, Fachanwalt für Medienrecht, für uns bzw. unsere Kunden.
Neue Cookie Richtlinien - Opt-in ist Pflicht!
Der EuGH hat bezüglich des Einsatzes von Cookies auf Webseiten folgendermaßen entschieden:
- dass der Nutzer zur Speicherung und zum Abruf von Cookies auf seinem Endgerät „seine Einwilligung gegeben“ haben muss, das bisher übliche „weiter so“ („durch Weitersurfen stimmen Sie zu“) reicht nicht aus. (opt-in)
- Diesem Erfordernis kann aber nur ein aktives Verhalten, mit dem die betroffene Person ihre Einwilligung bekundet, genügen. (aktives opt-in)
- Eine wirksame Einwilligung liegt nicht vor, wenn die Verwendung von Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. (keine aktivierten Ankreuzkästchen zum Abwählen)
- Schließlich hat der EuGH klargestellt, dass der Webseitennutzer „auf der Grundlage von klaren und umfassenden Informationen“ seine Einwilligung geben muss. (informierte Einwilligung).
Zu diesen Informationen gehören:
- Identität des für die Verarbeitung Verantwortlichen
- Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind
- Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind. Um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
- die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer und
- ob Dritte Zugriff auf die Cookies erhalten.
Der sicherste Weg: Handlungsanweisung für die Umsetzung aus dem Urteil Planet49
Das Setzten weiterer Cookies stellt sich wie folgt dar:
Vor dem Setzen des ersten Cookies erscheint ein Sperrbildschirm oder –banner. Für eine kundenfreundliche Webseite ist u.U. ein Banner vorzuziehen, welcher auch bereits einen ersten Blick auf die Webseite zulässt.
Der Banner muss enthalten:
- Direktlink auf Impressum und Datenschutzerklärung – vom Banner aus
- Cookie-Informationen – detailliert je Cookie
- Auswahlmöglichkeiten zu den einzelnen Cookies – ohne voreingestellte Checkboxen
Die Cookie-Informationen basieren auf:
- Art und Funktionsweise: welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, Angaben zu Zwecken von Onlinemarketing: Nutzerangaben, Interessenbezogene Angaben) etc.
- Lebensdauer von Cookies: z.B. 24 Monate oder 1 Tag oder Session Cookie.
- Identität der Dienstleister, die die Cookies verarbeiten: Angabe nach Möglichkeit im Cookie-Banner mit Link zu deren Datenschutzerklärung.
- Häufig kommen auch Cookies von Werbepartnern zum Einsatz. Es muss ggf. geprüft werden, ob eine Vereinbarung über eine gemeinsame Verantwortlichkeit getroffen werden sollte
- Informationspflichten aus Art. 13-14 DSGVO (diese sind wohl ausreichend in der Datenschutzerklärung!)
Rechtlich gesehen sind Sie mit diesem Handlungshinweis auf der sicheren Seite. Allerdings lassen Studien befürchten, dass die wenigsten Webseitenbesucher eine Vielzahl von Opt-in-Einstellungen einzeln vornehmen werden. Stattdessen springen sie ab und es werden keine Cookies gesetzt.
Dies würde dazu führen, dass die gewünschten Daten, insbesondere wertvolle Marketing- und Nutzungsdaten nicht erhoben werden können.
Den informierten Opt-in richtig umsetzten – Best practice
Am sinnvollsten ist es ein Cookie-Banner einzusetzen, der auf der einen Seite den datenschutzrechtlichen Vorgaben genügt und auf der anderen Seite für die Webseitenbesucher leicht bedienbar ist und auch zu einer (wirksamen) Einwilligung in die Cookie-Verwendung führt. Dieser Cookie-Banner könnte auf Ihrer Website wie folgt aussehen:
Vor dem Setzen des ersten Cookies öffnet sich ein Cookie Banner mit folgenden Angaben:
- Überschrift: „Datenschutzeinstellungen“ oder „Cookie-Einstellungen“ oder „Wir verwenden Cookies“
- Einleitungstext: „Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind notwendig, andere helfen diese Webseite, unser Angebot und das Nutzungserlebnis zu verbessern; solche Cookie setzen wir nur mit Ihrer Einwilligung ein. Sie können diese Einstellungen jederzeit aufrufen und Cookies auch nachträglich jederzeit abwählen (z.B. unten auf unserer Website und unter „Detaillierte Cookie-Einstellungen“). Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung und „Detaillierte Cookie-Einstellungen“.
- Checkboxen: (voreingestellt ist nur „essenziell“) z.B.
4. Auswahlmöglichkeit:
- Entweder „Alle Akzeptieren“
- oder „Einstellungen speichern“
An dieser Stelle liegt die „Schaltstelle“ des Cookie-Banners.
Der Besucher muss jetzt durch ein „aktives Tun“ eine Entscheidung treffen.
Entweder wählt er jetzt „Alle Akzeptieren“ und ändert dadurch die Vorauswahl (wählt also durch einen Klick „alle“ Checkboxen aus oder er belässt es bei den Einstellungen).
Hier liegt „die Kunst“ der Gestaltung darin, den Webseitenbesucher dahin zu leiten, „Alle Akzeptieren“ auszuwählen (und nicht „Einstellungen speichern“).
Dies kann durch subtile farbliche Gestaltung erfolgen. In Rücksprache mit unserem Fachanwalt für Medienrecht raten wir allerdings davon ab, den Button „Einstellung speichern“ nur schwer sichtbar oder verkleinert zu gestalten.
5. Auswahlfeld „Detaillierte Cookie-Einstellungen und Informationen“ mit Link zur Übersicht über Cookie-Arten (z.B. Essenziell, Statistiken, Marketing, Externe Medien)
z.B. wie folgt:
Dabei sind zu den einzelnen Cookie-Typen und einem weiteren Link/pull-down-button detaillierte Informationen zu den Cookies (Schalter oder Checkbox, der voreingestellt ausgeschaltet/nicht aktiviert ist) zu hinterlegen, z.B. wie folgt:
6. Auswahlfeld/Direktlink zur Datenschutzerklärung 7. Auswahlfeld/Direktlink zum Impressum
z.B. wie folgt:
Für die Erstellung und Gestaltung des Cookie-Banners ist von Formulierungen wie „ablehnen“ abzuraten, da hier ein opt-out verwendet wird.
Der/die Webseitenbesucher/in soll sich aktiv entscheiden.
Was ist jetzt der nächste Step für Webseitenbetreiber?
Mit dem EuGH-Urteil zu Planet49 ist es für Webseitenbetreiber zwingend notwendig, sich mit Ihrem Datenschützer, Programmierer oder Dienstleiter zu den neuen Cookie Richtlinien abzustimmen. Es gibt auf dem Markt verschiedene Anbieter, die entsprechende Angebote für die Gestaltung von Webseiten anbieten, welche nach den Wünschen der Webseitenbetreiber angepasst werden können. Bei der Einrichtung des jeweiligen Tools sind die vorstehenden Vorgaben genau zu beachten.
Sie wünschen eine Rechtsberatung zum Thema Gerichtsurteil Planet49 und die Folgen für meine Seite? Kontaktieren Sie gerne den Rechtsanwalt Jens Fusbahn (fusbahn@koetzfusbahn.de) der Kanzlei Kötz Fusbahn in Düsseldorf.
Rundum-sorglos - gerne nehmen wir von Puetter Online auch die Abstimmung mit Ihren Dienstleistern vor, die mit ihren Tools oder Buchungsmaschinen auf Ihrer Seite eingebunden sind. Schreiben Sie uns gerne an.
Folgen Sie uns: