SpotLight #5  |  01. Oktober 2019
Der Europäische Gerichtshof (EuGH) hat heute ein weiteres Urteil in Sachen DSGVO gefällt. Diesmal ging es darum, wie die DSGVO in Bezug auf die sogenannten “Cookie-Banner” auszulegen ist.

Der konkrete Fall:

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv) klagt derzeit vor deutschen Gerichten gegen den Gewinnspiel-anbieter “Planet49”.

Dieser hatte in seiner Einverständniserklärung zur Teilnahme an einem Gewinnspiel (und der Weitergabe der Daten an Drittfirmen) ein Ankreuzkästchen mit vorausgefülltem Häkchen verwendet, mit der die Nutzer ihre Einwilligung in das Speichern von Cookies erklären sollten. Der Bundesgerichtshof ersuchte in diesem Zusammenhang jetzt den EuGH um Klärung, wie die DSGVO in diesem Falle auszulegen ist.

Der EuGH hat heute (01.10.2019) dazu entschieden,
“dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Webseite erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam ist”.
(Auszug aus der Pressemitteilung des EuGH vom 01.10.2019)

Dabei mache es keinen Unterschied ob es sich bei den gespeicherten oder abgerufenen Daten um personenbezogene Daten handelt oder nicht! Das EU-Recht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen.

Für jeden konkreten Fall müsse eine Einwilligung eingeholt werden. Wenn ein Nutzer, wie in diesem Falle, über einen Button die Teilnahme an einem Gewinnspiel bestätigt, sei dies nicht gleichzeitig eine wirksame Einwilligung in die Speicherung von Cookies.

Was heißt das für uns Internet-Unternehmer?

Auf den ersten Blick ist dieses Urteil für uns Internet-Unternehmer nicht wirklich überraschend. Wohl so gut wie alle von uns wissen mittlerweile, dass mit Häkchen vorausgefüllte Kästchen (z.B. bei Newsletter-Anmeldungen oder Einwilligungen zum Nutzen von Daten für Werbezwecke) tabu sind. Aber das Urteil hat viel weitreichendere Folgen!

Die meisten Webseiten verwenden zwar mittlerweile Cookie-Banner in denen sie (oft so unauf-dringlich wie möglich) darüber informieren, dass sie Cookies setzen (und im Kleingedruckten auch, wie man diese deaktivieren könne). Das Ziel aber ist es eher, dass die Nutzer sich so wenig wie möglich gestört fühlen, das Banner ignorieren oder schnell wegklicken. Aus den Augen aus dem Sinn.

Dabei berufen sich viele, auch große Unternehmen, auf das “alte” aber noch immer irgendwie gültige Telemediengesetz (TMG) von 2007. Dort steht noch, Nutzerdaten dürfen verwendet werden, wenn der Nutzer der Nutzung nicht ausdrücklich widerspricht. “Mache ich nichts, werden Cookies gesetzt.” Das wäre eine sogenannte Opt-out-Lösung.

Dem widerspricht aber die DSGVO, denn darin steht, dass eine solche Einwilligung eine freiwillige, informierte und unmissverständliche Handlung sein muss. Diese Handlung ist zum Beispiel ein Klicken auf einen Akzeptieren-Button aber nur, wenn es auch die Möglichkeit gibt, nicht zu akzeptieren. Das ist die Opt-in-Lösung. “Mache ich etwas, werden Cookies gesetzt - oder auch nicht.” Der Nutzer hat die freie Entscheidung.

Das Urteil des EuGH kann man deshalb so auslegen, dass Cookie-Banner, die einfach so aufploppen und wieder verschwinden oder die erst auftauchen, wenn der Nutzer die Seite schon betreten hat (und die Cookies schon gesetzt sind), rechtlich falsch (und sogar abmahngefährdet!) sind, weil auf diese Art keine rechtlich einwandfreie Einwilligung eingeholt wird.

Auf der sicheren Seite ist man in Zukunft nur,

  • wenn man den Nutzer vor dem Setzen der Cookies informiert,

    • welche Cookies man setzen möchte,
    • welche Daten diese Cookies sammeln,
    • welche Daten eventuell an wen weitergegeben werden und
    • was mit diesen Daten passiert.

  • dieser zustimmen, ablehnen und später einfach widerrufen kann.

  • man diese Möglichkeiten technisch umsetzt. und

  • die eventuelle Einwilligung auch gerichtsfest dokumentiert.

Dazu ist auch noch nicht wirklich geklärt, wann ein Nutzer ausreichend informiert ist, um seine Entscheidung zu treffen. Reicht es, ihn darauf hinzuweisen, dass irgendwo im Kleingedruckten irgendwelche Informationen zu finden sind? Eine Studie hat vor einiger Zeit ergeben, dass lediglich 0,7 Prozent der Internetnutzer tatsächlich irgendwann einmal auf einen solchen Link klicken (und sich ausreichend informieren). Das ist den europäischen Datenschützern auch schon aufgefallen - und wird ihnen auf Dauer bestimmt nicht gefallen, so dass auch hier bestimmt noch einige “Verschärfungen” folgen werden.

Auch in Bezug auf die Freiwilligkeit kann es noch schwierig werden. Was passiert, wenn man Nutzern den Zugang zu einer Webseite verweigert, wenn der der Nutzung von Cookies nicht zustimmt? Schränkt das die “Freiwilligkeit” der Einwilligung vielleicht unzulässig ein?

Dazu kommt, dass Browser wie Safari oder Firefox schon angekündigt haben, Cookies, die über den Browser gesetzt werden, schon bald nach nur sieben Tagen wieder zu löschen. Apple (Safari) denkt, Gerüchten zufolge, sogar schon an eine Lösung nach 24 Stunden!

Was bringt die Zukunft?

Müssen wir uns darauf einstellen, dass wir in Zukunft bei so gut wie jedem Besuch einer Webseite erst ein Cookie-Banner abarbeiten “dürfen”? Und wie viele Nutzer geben dann noch freudestrahlend ihre Einwilligung - wenn man auch einfach genervt auf “Nein” klicken kann? Für eine gewisse Übergangszeit kann dieses Szenario tatsächlich Wirklichkeit werden. Allerdings ist auch allen Firmen, die (wie Google, Facebook) momentan noch von der Cookie-Setzung profitieren, bzw. ihr Geschäftsmodell darauf aufgebaut haben (Affiliate-Branche), mittlerweile klar, dass die Cookie-Lösung ein Auslaufmodell ist und sie arbeiten schon intensiv an technischen Lösungen, die dann (hoffentlich) der DSGVO entsprechen Ich habe bereits einige Anfragen erhalten, welches ..

P.S: Da ich bereits einige Anfragen erhalten habe, welches DSGVO-Plugin wir auf der Website der InternetUnternehmerAkademie verwenden: Die von uns derzeit favorisierte Plugin-Lösung heißt Borlabs Cookie. In einem meiner nächsten Newsletter werde ich nochmal näher darauf eingehen.


Ihnen wurde diese E-Mail weitergeleitet oder Sie möchten den Spotlight-Newsletter weiterempfehlen? Unter diesem Link finden Sie die Seite für die kostenlose Anmeldung.

Sie möchten weniger Newsletter erhalten? Dann klicken Sie hier und Sie erhalten nur noch 1 x im Monat die zusammengefassten Themen inkl. Link zum Spotlight-Archiv. So erhalten Sie weniger E-Mails, verpassen aber kein wichtiges Thema.

Sie möchten alle bisher veröffentlchten Spotlight-Newsletter nochmal nachlesen? Unter diesem Link finden Sie das komplette Acrhiv mit allen bisherigen Newslettern.