Im Oktober 2019 hat eine Entscheidung des EuGHs (Europäischer Gerichtshof) über Cookies für Aufregung unter Betreibern von Websites gesorgt. Anlass war ein von planet49 veranstaltetes Gewinnspiel zu Werbezwecken. Um am Gewinnspiel teilnehmen zu können, mussten die Internetnutzer ihre Namen und Adressen angeben, darunter befand sich eine Hinweisbox, dass der Gewinnspielteilnehmer mit dem Setzen von Cookies einverstanden war. Das Ankreuzkästchen in der Hinweisbox war bereits mit einem Häkchen versehen, das weggeklickt werden konnte. Der EuGH urteilte in diesem Anlassfall, dass der Nutzer dadurch keine wirksame Zustimmung im Sinne der DSGVO erteilt hat. Daran ändert auch der Umstand nichts, dass der Websitenutzer den vorangekreuzten Haken nachträglich entfernen konnte. Er muss aktiv entscheiden können, ob und welche Cookies er zulassen möchte und welche nicht. Dies gilt allerdings nur für Marketing-Cookies und nicht für die technisch notwendigen Cookies – hierfür ist keine Zustimmung erforderlich.
Eine Einwilligung in die Datenverarbeitung ist nämlich nach Art 4 Ziffer 11 DSGVO nur dann gegeben, wenn der Nutzer
• eigenständig tätig wird, um seine Einwilligung zum Ausdruck zu bringen und
• seine Entscheidung freiwillig und für den bestimmten Fall abgegeben hat.
• eine wirksame Einwilligung liegt daher dann vor, wenn sie ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und durch die der Nutzer akzeptiert, dass personenbezogene Daten, die ihn betreffen, verarbeitet werden.
Eine solche Einwilligung kann z.B. durch Anklicken eines Kästchens zum Ausdruck kommen. Stillschweigen, bereits angekreuzte Kästchen wie im vorliegenden Fall oder Untätigkeit können keine Einwilligung darstellen.
Im Zusammenhang mit dieser Entscheidung hat sich der EuGH auch mit der Frage der Informationspflichten (notwendige Informationen) beim Setzen von Cookies auseinandergesetzt. Nach Art 13 DSGVO gilt nämlich Folgendes: werden personenbezogene Daten bei einer Person erhoben, muss der Verantwortliche (das ist demnach der Websitebetreiber) den Nutzer der Website zum Zeitpunkt der Erhebung der personenbezogenen Daten über Empfänger oder Kategorien von Empfängern der personenbezogenen Daten informieren. Umgesetzt auf Cookies hat der EuGH ausgesprochen, dass Angaben zur Speicherdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu jenen Informationen zählen, die der Websitebetreiber dem Nutzer einer Website jedenfalls zu geben hat.
Zusätzlich muss auf die jederzeitige Widerrufbarkeit einer Einwilligung sowie auf die Rechte des Betroffenen gegenüber dem Verantwortlichen der Datenverarbeitung und auf das Beschwerderecht an die Datenschutzbehörde hingewiesen werden. Da die Fülle dieser Informationen regelmäßig auf dem zur Verfügung stehenden Raum eines Cookie-Banners nicht untergebracht werden kann, muss die Verteilung der Gesamtinformation auf verschiedene durch Links verbundene Ebenen in Betracht gezogen werden.
Hinweis: Liegt ein Verstoß gegen die DSGVO Regeln für Cookies vor, droht dem Betreiber der Website eine Abmahnung und im schlimmsten Fall eine Unterlassungsklage (Streitwert EUR 43.200,00) von einem Konkurrenten oder einem klageberechtigten Verband nach dem Gesetz gegen den unlauteren Wettbewerb (UWG).
Eine tragfähige Lösung könnte es sein, Cookies in Gruppen mit kurzer Beschreibung ihrer Bedeutung im Einwilligungstext darzustellen und einzelne Gruppen davon mit einem Ablehnungsrecht (etwa wenn diese nur für die Usability empfehlenswert sind) zu versehen, während für andere (etwa Tracking-Cookies) die aktive Einwilligung verlangt wird und diese daher nicht gesetzt werden, bevor nicht die Einwilligung erteilt wurde. Solche komplexen Lösungen könnten über Consent Management Tools umgesetzt werden.
Kommentare
Keine Kommentare