Am 1. Oktober hat der Europäische Gerichtshof ein Urteil gefällt, das große Auswirkungen auf die Gestaltung der im Internet weit verbreiteten „Cookie-Banner“ haben könnte.

Zwar lag dem EuGH eigentlich nicht das klassische „Cookie-Banner“ zur Entscheidung vor, gleichwohl trifft das Urteil Aussagen, die in der Praxis auch hierfür bedeutsam sind.

Wie ausdrücklich muss eine Einwilligung sein?

Konkret ging es bei dem Urteil um die Frage, wie ausdrücklich Einwilligungen im Internet gegeben werden müssen. Die Antwort des EuGHs: So ausdrücklich, dass ein vorangekreuztes Häkchen nicht reicht.

Was bedeutet das für Cookie-Banner?

Unsere bisherige Empfehlung zur Gestaltung rechtswirksamer Cookie-Banner lautete in der Vergangenheit im Kern wie folgt:

Zur Einholung einer wirksamen Einwilligung empfiehlt sich die Einrichtung eines Banners, bei dem der Nutzer nicht nur über den Einsatz von einwilligungsbedürftigen Trackingmechanismen und Datenverarbeitungen informiert wird, sondern auch die tatsächliche Wahl hat, sich hiermit „einverstanden“ oder „nicht einverstanden“ zu erklären.

Am rechtssichersten ist die Verwendung eines Banners, das in der Ausgangseinstellung beim Aufruf der Website jedes Tracking technisch unterbindet. Dies wird von Aufsichtsbehörden auch ausdrücklich gefordert.

Ein solches Banner kann beispielsweise als HTML-Element angezeigt werden und besteht in der Regel aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge. Das sind neben Cookies auch z.B. Zählpixel, Browser-Fingerprints etc.

Das Banner sollte zudem die wesentlichen Inhalte der Einwilligung wiedergeben (z.B. beteiligte Akteure und deren Funktion), kann im Detail aber auch auf die Datenschutzerklärung verweisen. [ Anmerkung: Der EuGH hat nunmehr auch klargestellt, dass die Dauer der Speicherung der Cookies angegeben werden sollte. Insgesamt muss die Information wie in Art. 13 DSGVO vorgesehen erfolgen.]

Bestenfalls lässt das Banner auch die Aus- bzw. Abwahl einzelner Datenverarbeitungen zu. Sofern mehrere Einstellungsmöglichkeiten vorhanden sind, sollte die datenschutzfreundlichste Variante voreingestellt sein oder zumindest eine freie Auswahl geboten werden.

Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, z.B. durch einen ausdrücklichen Klick auf die Schaltfläche „einverstanden“ oder eine ähnliche Formulierung abgegeben hat, wird das Tracking aktiviert. Ein Klick auf „nicht einverstanden“ oder eine ähnliche Formulierung bzw. gar keine Interaktion mit dem Banner lässt das Tracking hingegen deaktiviert, ohne dass der Webseitenbesucher gehindert wird, die Website zu besuchen.

Der Aufruf der Datenschutzerklärung muss möglich sein, ohne die Einwilligung zu erteilen.

Da eine Einwilligung widerruflich ist, muss die Datenschutzerklärung entsprechend angepasst werden und der Verantwortliche eine Widerrufsmöglichkeit anbieten. Die Widerrufsmöglichkeit sollte ebenfalls über das Banner erklärt werden können, allerdings wäre ein Widerruf über einen Link in der Datenschutzerklärung ebenfalls möglich und wirksam. Grundsätzlich gilt, dass der Widerruf ebenso einfach sein muss, wie die Erteilung der Einwilligung. Nach dem Widerruf darf der Besucher in der Zukunft nicht mehr verfolgt werden.

Das Banner darf den Aufruf des Impressums bzw. der Datenschutzerklärung nicht erschweren bzw. darf die entsprechenden Links nicht verdecken.

Gleichwohl finden sich im Internet viele Banner, bei denen bereits das Weiternutzen der Website (je nach Einstellung: Klick auf einen Link auf der Seite, Scrollen, Aktualisieren der Seite etc.) als konkludente Einwilligung des Webseitenbesuchers ausgelegt wird.

Eine solche „konkludente Einwilligung“ ist – hierauf haben wir seit jeher hingewiesen – im Lichte des jetzigen EuGH-Urteil nicht wirksam.

Wann ist eine Einwilligung überhaupt erforderlich?

Liest man das Urteil des EuGHs, könnte man auf den ersten Blick meinen, dass der EuGH jede Form der Nutzung von Cookies unter Einwilligungsvorbehalt stellt. Gerade aber für die technisch notwendigen Cookies, die weder zur Besuchermessung noch zu Werbezwecken genutzt werden, kann dies unserer Meinung nach aber nicht gemeint gewesen sein.

Hinsichtlich Tracking zu Werbezwecken (Remarketing, Conversion Tracking, Facebook Pixel etc.) macht das EuGH-Urteil aus unserer Sicht das Erfordernis einer wirksamen Einwilligungseinholung deutlich. Diese Ansicht deckt sich mit der bisherigen Ansicht der deutschen Aufsichtsbehörden. Hier sind also Cookie-Banner zu verwenden, die die eingangs gestellten Anforderungen erfüllen.

Im Hinblick auf Cookies zur reinen Besuchermessung ließen deutsche Aufsichtsbehörden bislang als Rechtsgrundlage eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu. Insbesondere im Hinblick auf den Einsatz einer datensparsam eingesetzten Software (z.B. Matomo) war also eine reine Besuchermessung in der Vergangenheit trotz der Verwendung von Cookies auch ohne Cookie-Banner denkbar. Aus unserer Sicht war diese Einschätzung auch interessengerecht und bevorzugte in der Praxis diejenigen Webseitenbetreiber, die eine datensparsame Besuchermessung durchführten, Daten nicht an Dritte weitergaben und die Messung nur im Hinblick auf die Optimierung der Website nutzten. Diese Position dürfte sich allerdings durch das Urteil des EuGHs aber jetzt verwässert haben. Wer sicher gehen will, greift auch hier zum (wirksamen) Cookie-Banner.

Fazit:

Sofern Sie ein Cookie-Banner nutzen, prüfen Sie dessen Wirksamkeit anhand der dargestellten Vorgaben.

Sofern Sie eine Besuchermessung auf Grundlage von Art. 6 Abs. 1 lit f DSGVO – also ohne Einwilligung durchführen – ist das Risiko gestiegen. Wenn Sie sicher gehen wollen, nutzen Sie auch hier ein wirksames Cookie-Banner.