EuGH verlangt Einwilligung – Deutscher Cookie-Sonderweg unzulässig – Was müssen Seitenbetreiber beachten?

Noch Fragen?

Rufen Sie uns jetzt an unter
+49 681 9400543-55 oder schreiben Sie uns eine Nachricht

Veröffentlicht am 1. Oktober 2019

Heute hat der EuGH (Europäischer Gerichtshof) ein wegweisendes Urteil zur Benutzung von Cookies im Internet verkündet (Urteil vom 01.10.2019 – Az.: C‑673/17). Im neuen Urteil hat der EuGH die Rechtslage für das Setzen von Cookies verschärft. Marketingtools wie Google Analytics sind hiervon auch betroffen. Wir geben Auskunft, wie sich das Urteil auf die Webtracker auf Ihrer Internetseite auswirkt.

Wie ist die neue Rechtslage nach dem EuGH-Urteil?

Nach dem neuen EuGH-Urteil ist das Setzen von Marketing- oder Webtracking-Cookies nur noch mit einer Einwilligung zulässig. Sie müssen die Seitenbenutzer umfassend über das Webtracking informieren. Über das Sammeln dieser Daten und das Setzen von Cookies müssen Sie die Seitenbesucher ebenfalls aufklären, bevor durch Ihre Website Cookies gesetzt werden. Bezüglich des Setzens von Cookies müssen die Seitenbesucher aktiv in die Cookie-Nutzung eingewilligt haben. Die Einwilligung dürfen Sie nicht dem Seitennutzer vorausgefüllt präsentieren. Das bloße Bestätigen durch „OK“ reicht für eine zulässige Einwilligung nicht mehr aus. Es muss bestenfalls aktiv ein Häkchen gesetzt werden und danach mit „OK“ zugestimmt werden.

Wie sind die Auswirkungen auf Deutschland?

Auf Deutschland hat das Urteil erst einmal keine sofortige Auswirkung. Der EuGH hat das EU-Recht nur ausgelegt und somit den deutschen Gerichten Leitlinien mitgegeben.  Die nationalen Gerichte, insbesondere der Bundesgerichtshof, werden sich in den nachfolgenden Urteilen an diesen Leitlinien orientieren. Es müssen somit erst einmal deutsche Urteile zu dieser Thematik abgewartet werden. Wir gehen jedoch davon aus, dass die Thematik auch in Deutschland in nicht allzu ferner Zeit gerichtlich zugunsten einer notwendigen Einwilligung geklärt sein wird.

Wir empfehlen somit, sich bereits jetzt auf die Auswirkungen der kommenden nationalen Urteile vorzubereiten.

Was sind Cookies und warum sind sie für das Webtracking so relevant?

Cookies sind Textinformationen zu einer bestimmten Internetseite, die im Browser des Seitenbesuchers gespeichert werden können. Beim Aufruf der Website kann der Cookie sowohl ausgelesen als auch neu gesetzt werden. Webtracker wie beispielsweise Google Analytics brauchen zwingend Cookies, um die Seitenbenutzer über Websites hinaus verfolgen zu können. Ihre IP-Adresse, unter der man Sie ebenfalls verfolgen kann, ändert sich nämlich von Zeit zu Zeit.

Wenn Sie beispielsweise auf einer Website waren, die Google Analytics benutzt, wird in Ihrem Browser ein Google Analytics-Cookie gespeichert. Gehen Sie danach oder Tage später auf eine andere Website, die auch Google Analytics benutzt, kann auch dort wieder der zuvor gesetzte Cookie ausgelesen werden. Dadurch weiß Google Analytics, dass Sie derselbe Nutzer sind, der vor einigen Tagen auf der vorherigen Seite war. Seitenbenutzer können sich nur vor dieser Verfolgung durch Löschen der Cookies schützen. Diese Daten können von Google zusammenführt werden. In individualisierter und anonymisierter Form werden sie dann dem Seitenbetreiber, der beispielsweise Google Analytics benutzt, angezeigt. Man kann Sie somit über Websites hinaus im Internet verfolgen, auch wenn sich Ihre IP-Adresse ändert. Durch die Synchronisation dieser Cookies mit Ihren anderen mobilen Geräten wie z.B. einem Smartphone erfährt der Webtracker weitere Informationen der Seitenbesucher.

Welche Arten von Cookies sind betroffen?

Nach Ansicht des EuGH sind alle Marketing-Cookies betroffen. Das sind alle Cookies, die auf einer Internetseite Webdienste nutzen, die den Nutzer z.B. über mehrere Websites/Domains hinweg analysieren. Von dieser Definition sind insbesondere Social-Media Plugins z.B. von Facebook (siehe Urteil des EuGH vom 29. Juli 2019, C-40/17), Werbenetzwerke oder auch Analysetools wie Google Analytics umfasst. Wir gehen davon aus, dass Cookies, die für die Funktion der Internetseite unerlässlich sind, so z.B. das Speichern der Waren im Warenkorb, weiterhin ohne Einwilligung verwendet werden dürfen.

Wie generiert man als Webseitenbetreiber eine Einwilligung des Kunden?

Eine Einwilligung kann der Seitenbetreiber durch ein Cookie-Banner vom Kunden einholen. Das Cookie-Banner muss folgende Vorgaben erfüllen:

Inhaltliche Vorgaben
Den Seitenbesucher muss darüber informiert werden, welche Cookies gesetzt werden, wer die entsprechenden Daten erhält und zu welchem Zweck das Tracking erfolgt, sowie weitere Hinweise. Der einzelne Seitenbesucher muss dabei ohne weiteres verstehen können, worin er gerade einwilligt. Ein bloßer Hinweis darauf, dass die Cookies der „Webanalyse“ dienen, ist nicht ausreichend. Wichtig bei der Einwilligung im Rahmen der DSGVO ist zum einen, dass der Verarbeitungsvorgang klar und deutlich beschrieben wird. Im Cookie-Banner muss zwingend ein Hinweis erfolgen, dass die Daten an einen Dritten übertragen werden. Dieser ist namentlich zu benennen. Soweit Dritte die erhaltenen Daten zu eigenen Zwecken verarbeiten (z.B. bei Google Analytics), muss der Seitenbetreiber auch über diese Zwecke aufklären.
Klärt der Seitenbetreiber den Nutzer nicht vollständig auf, ist die erteilte Einwilligung unwirksam. Die Einwilligung selbst muss freiwillig erfolgen, dem Seitennutzer also eine echte bzw. freie Wahl ermöglicht werden. Der Nutzer muss auch die Möglichkeit haben, die Einwilligung zu verweigern. Eine solche Verweigerung darf jedoch nicht zum Nachteil des Seitenbetreibers gehen. Der Nutzer muss zudem über sein Widerrufsrecht aufgeklärt werden, wobei der Widerruf so einfach sein muss wie die Einwilligungserteilung. (vgl. Art. 7 Abs. 3 S. 4 DSGVO). Eine Checkbox an diesem Einwilligungstext, die nicht vorausgefüllt ist und den Seitenbesucher nicht zu falschen Entscheidungen verleitet, wäre hier also ratsam.

Technische Vorgaben
Die Einwilligung des Seitenbesuchers muss aktiv und freiwillig erfolgen. Dies bedeutet vor allem, dass die Zustimmung zur Verwendung der Cookies nicht vorausgewählt sein darf. Der EuGH hat Vorgaben zu einer wirksamen Einwilligung mitgeteilt. Der Seitenbesucher muss aktiv ein Häkchen neben dem Einwilligungstext setzen. Es ist nicht zulässig, nur noch die Einwilligung mittels „OK“ zu bestätigen. Nicht mehr ausreichend ist es auch, dem Kunden nur ein Opt-Out (Widerspruch zur Datenerhebung; Widerruf der Einwilligung bei erfolgter vorheriger Einwilligung) anzubieten. Vor der Bestätigung der Auswahl durch den Seitenbesucher darf der Seitenbetreiber die entsprechenden Cookies nicht setzen und den Webtracker nicht starten.

Umfassende und aufklärende Datenschutzerklärung
Über die gesamte Datenübertragung sollte der Seitenbetreiber selbstverständlich in einer umfassenden Datenschutzerklärung informieren. Es muss auch darüber aufgeklärt werden, wie der Seitenbesucher nachträglich seinen Opt-Out vom Tracking erklären kann. Die Seitenbesucher müssen ebenfalls informiert werden, wie sie Cookies wieder löschen können. Kostenlose Datenschutzerklärungen erfüllen diese Hinweispflichten in der Regel nicht, da niemand für deren Richtigkeit haftet.

Folgeproblem: Cookie-Banner funktionieren in der Regel nicht korrekt

Theoretisch darf bis zu dem Zeitpunkt der Bestätigung durch den Kunden der Webtracking-Cookie noch nicht gesetzt werden. Viele Cookie-Banner sind jedoch nur Einblendungen, die leicht weggeklickt werden können. Außer der Einblendung haben sie meistens keinerlei Funktion.

Das Cookie-Banner muss technisch zwei Funktionen erfüllen: Es muss vor der Einwilligung durch den Seitenbesucher das Setzen eines Cookies verhindern. Vor der Einwilligung darf der Webtracker also noch keine Daten sammeln. Dies muss das Cookie-Banner verhindern. Das Cookie-Banner muss auch in der Lage sein, den Cookie bei einem erfolgten Opt-Out wieder zu entfernen. Gleichzeitig muss es den Webtracker wieder abzuschalten.

Häufig sammeln Webtracker bereits beim ersten Aufruf der Website Daten über die Seitenbesucher. Dies ist unzulässig.

Das Löschen der Cookies und die Deaktivierung des Webtrackers ist technisch schwierig.  Das Cookie-Banner muss in der Regel individuell für eine Website angepasst werden. Viele Cookie-Banner dürften derzeit nicht funktionieren, da sie nicht richtig konfiguriert sind. Das Cookie-Banner kann in der Regel auch nur bestimmte Webtracker steuern. Dennoch werden Cookie-Banner oft vermeintlich als DSGVO-konform beworben.

Faustformel – Funktioniert das Cookie-Banner auf meiner Website?

Laden Sie sich einen Ad-Blocker als Add-On für Ihren Browser herunter. Rufen Sie Ihre eigene Website mit Cookie-Banner auf. Schalten Sie das Cookie-Banner im Ad-Blocker frei. Sehen Sie nach, welche Webtracker Ihr Ad-Blocker blockiert hat. Sofern Ihre Webtracker (z.B. Google Analytics) blockiert wurden, obwohl Sie in Ihrem Cookie-Banner in nichts eingewilligt haben, dann funktioniert das Cookie-Banner nicht. Das Cookie-Banner hätte die Webtracker beim ersten Laden der Seite erstmal blockieren müssen.

Kann ich nicht weiter mit meiner Opt-Out Lösung (Widerspruchslösung) arbeiten?

Nach Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) war lange Zeit umstritten, ob das Telemediengesetz (TMG) und die darin beinhaltete Widerspruchslösung (Opt-Out) als (inoffizielle) Ausprägung der Datenschutzrichtlinie (DSRL) weiterhin bestehen bleibt. Die für Webtracker und Cookies einschlägige E-Privacy-Richtlinie wurde durch Deutschland nie in nationales Recht umgesetzt.

Der EuGH hat in seinem Urteil jetzt eine klare Stellung bezogen und eine eindeutige Einwilligung gefordert. Eine bloße Widerspruchslösung als deutscher Sonderweg mangels eindeutiger gesetzlicher Regelung ist somit nicht mehr ausreichend.

Die im Rahmen des TMG entwickelte Widerspruchslösung (Opt-Out) ist nicht mehr ausreichend. Der Opt-Out muss jedoch nach der Einwilligung ebenfalls möglich sein.

Zudem will der deutsche Gesetzgeber das TMG weiter konkretisieren und an Reichweitenanalyse durch Webtracker anpassen. Auch hier werden wir Sie umfassend informieren.

Achtung bei ausländischen Anbietern, die per Webservice von fremden Servern eingebunden werden

Mittlerweile gibt es eine große Auswahl an Webtools mit Cookie-Banner-Funktion. Für alle unterschiedlichen Shopsysteme wie Shopware, Magento oder Websiten-CMS wie Word-Press oder Drupal gibts es diese Banner in unterschiedlichen Farben und Formen. Vor dem Kauf eines solchen Cookie-Banners können die Seitenbetreiber jedoch in der Regel die Funktion nicht prüfen. Ebenso werden die Dienste, die das Cookie-Banner anzeigen, häufig mit CDNs (Content Delivery Networks) weltweit übertragen.

Allein diese Übertragung nach außen ist bereits mit einer Art Webtracker gleichzusetzen. Der dahinterstehende Dienst des Cookie-Banners kann registrieren, wer die Seite besucht. Erklärt der Nutzer seine Entscheidung zum Tracking, wird diese Entscheidung wie bei Webtrackern durch ein Cookie gespeichert. Auch dieser Cookie kann natürlich websiteübergreifend von Cookie-Bannern desselben Anbieters auf anderen Websites ausgelesen werden.

Das Cookie-Banner kann somit die Seitennutzer durch Auslesen des Cookies mit der Nutzerentscheidung ebenfalls über Websites hinaus verfolgen. Die Anbieter von Cookie-Bannern können ihren Kunden so jedoch regelmäßige Updates versprechen. Grundsätzlich empfehlen wir hier das Hosting des Banners direkt auf dem eigenen Server.

Wir werden in einem späteren Beitrag gezielter auf die Cookie-Banner eingehen.

Google Analytics

Insbesondere bei der Verwendung des bekannten und beliebten Trackingtools Google Analytics sollte eine ausdrückliche Einwilligung eingeholt werden. Das Tool wird sehr vielfältig eingesetzt und steht auch unter entsprechender Beobachtung der Landesdatenschutzbehörden.

Auch Google selbst sieht die Notwendigkeit einer Einwilligung. In den AGB zu Google Analytics fordert Google, dass der Seitenbetreiber selbst „dazu verpflichtet ist […] sicherzustellen, dass ein Besucher transparente, umfassende Informationen über das Speichern von und das Zugreifen auf Cookies […]“ (Datenschutzerklärung) zu geben hat und „dass sich der Besucher damit einverstanden erklärt […] und das Einholen eines solchen Einverständnisses“ sicherstellt.

Ein Webtracking durch Google Analytics ohne ausdrückliche Einwilligung ist deshalb abmahngefährdet bzw. bußgeldbewehrt. Ein nicht rechtskonformes Cookie-Banner bietet daher das Risiko potentieller Abmahnungen durch Konkurrenten und Abmahnvereine. Zudem droht auch ein Bußgeld durch die Landesbeauftragten für den Datenschutz. Diese können sich jetzt auch auf das neue EuGH-Urteil stützen.

Gibt es Alternativen, für die ich keine Einwilligung brauche?

Einige Analysetools lassen sich durch den Seitenbetreiber auf einem eigenen Server installieren. Selbst gehostete Analysetools wie Mamoto (ehemals Piwik) können so eingestellt werden, dass diese keine Daten an Dritte übertragen.  Durch die datenschutzrechtskonforme Konfiguration (Anonymisierung etc.) ist kein Cookie-Banner erforderlich.

Der LDI BW sieht -bei datenschutzfreundlicher Einstellung- das Tracking Tool Matomo (https://matomo.org/) als eine datenschutzkonforme Lösung an. Auch andere Analysetools sind denkbar.

Fazit:

Sofern man im Bereich der „Reichweitenanalyse“ und der Online-Werbung Daten an Dritte übermittelt, benötigt man nach Ansicht des EuGH ein rechtskonformes Cookie-Banner. Das Cookie-Banner soll dazu führen, dass der Nutzer erst nach aktiver Auswahl der für ihn relevanten Cookies durch den Seitenbetreiber getrackt wird. Wichtig ist, dass eine aktive Einwilligung eingeholt wird.

Direkte Auswirkungen auf deutsche Websites stehen aber noch aus, da erst die deutschen Gerichte entsprechende Urteil fällen müssen. Es ist aber eine Tendenz zu einer Einwilligung ersichtlich.

Bei der textlichen Ausgestaltung der Einwilligung raten wir dringend dazu, sich rechtlich beraten zu lassen.

Ebenfalls raten wir dringend dazu, eine umfassende Datenschutzerklärung auf der Website aufzunehmen.
EuGH verlangt Einwilligung - Deutscher Cookie-Sonderweg unzulässig - Was müssen Seitenbetreiber beachten?
Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular), die Sie dann auf nur noch auf Ihrer Seite einpflegen müssen. Darüber hinaus wird Ihre Seite durch einen spezialisierten Rechtsanwalt  geprüft, selbstverständlich inklusive Haftungsübernahme.

Thomas Hess
Thomas Hess ist wissenschaftlicher Mitarbeiter in der IT-Recht Kanzlei DURY. Herr Hess ist spezialisiert auf Online-Shop Recht und rechtssichere Internetseiten.
Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!