Was es zu berichten gibt

Erzählen Sie's ruhig weiter!

Cookies und der EuGH

Über die sogenannte Cookierichtlinie wird seit Einführung der DSGVO gestritten und heruminterpretiert, was denn nun die korrekte Umsetzung ist. Dass die neue E-Privacy-Verordnung, in der das konkret geregelt werden sollte, immer noch auf sich warten lässt, obwohl sie ursprünglich gemeinsam mit der DSGVO veröffentlicht werden sollte, hat die Sache auch nicht einfacher gemacht.

Ein Urteil des EuGH vom 01.10.2019 versucht, Klarheit in die Angelegenheit zu bringen. Zwar geht es dabei um einen konkreten Rechtsstreit betreffend einer bestimmten Webseite, allerdings wird das Urteil von vielen Rechtsgelehrten als richtungsweisend angesehen.

Folgt man der etablierten Interpretation, sind ab sofort (besser gesagt: mindestens seit Einführung der DSGVO, konkret in Österreich aber schon seit 2011 durch die Umsetzung der E-Privacy-Richtlinie 2009/136/EG) alle Cookiebanner, die rein einen Hinweis auf die Verwendung von Cookies liefern, nicht rechtskonform. Genauer gesagt dürfen beim Aufrufen der Webseite nur für den Betrieb der Webseite essentielle Cookies gesetzt werden. Sprich wenn eine Webseite auch funktioniert, ohne dass das Cookie gesetzt ist, darf es nicht automatisch verwendet werden.

Nun kann beim Aufruf der Webseite abgefragt werden, welche Cookies der User akzeptiert, und welche nicht, die wenigsten Seitenbesucher werden aber aktiv Tracking- oder Marketingcookies selbst setzen. Es gibt Lösungen, die das zu umgehen versuchen, indem bei der Abfrage der Cookies ein großer, auffälliger Button "Alle akzeptieren" präsentiert wird, und der Button zum Anpassen relativ klein und unauffällig daherkommt. Dies dürfte im Streitfall aber zumindest als problematisch angesehen werden, da eine Einwilligung lt. DSGVO immer informiert und freiwillig erfolgen muss, und lt. dem EuGH-Urteil keine nachteilige Vorauswahl getroffen werden darf, ohne dass der User das aktiv anders auswählt.

Was bedeutet das Urteil konkret für Webseiten?

Zum einen ist die bisherige Praxis, nur auf die Cookies hinzuweisen, nicht rechtskonform. Dadurch, dass beim Aufruf der Webseite keine nicht notwendigen Cookies gesetzt werden dürfen, heißt das nach aktuellem Stand, dass auch keine Tracking- oder Marketing-Cookies gesetzt werden dürfen, was wiederum auch heißt, dass z.B. Google Analytics, Google Ads, Facebook Tracking Pixel etc. nur mit ausdrücklicher Zustimmung verwendet werden dürfen. Da die wenigsten User aktiv dem Setzen solcher Cookies zustimmen werden, werden die aufgezeichneten bzw. gemessenen Zugriffe und Conversions erheblich abnehmen - obwohl die tatsächlichen Zugriffe auf gleichem Niveau bleiben.
Bisher sind uns aus Österreich keine Abmahnungen zu diesem Thema zu Ohren gekommen (was nicht heißt, dass es keine gibt. Bitte gerne um Rückmeldung, sollten Sie als LeserIn einen anderen Wissensstand dazu haben). Auch in Deutschland scheint es bisher "nur" Aufforderungen zur Änderung der Webseite gegeben zu haben, ohne dass Bußgelder verhängt worden sind (Stand: 03.02.2020)

Mögliche Lösungswege

In wie weit auf der eigenen Webseite ein Cookiebanner umgesetzt werden muss, um rechtskonform unterwegs zu sein, muss durch Abwägen der Vor- und Nachteile vom Website-Betreiber gemeinsam mit der Web Agentur analysiert und entschieden werden.
Zunächst sollte eine Evaluierung erfolgen, welche Cookies durch welche verwendeten Dienste aktuell auf der Website gesetzt werden. Dann kann geprüft und entschieden werden, ob diese Dienste auf der Webseite überhaupt wirklich benötigt werden. Wenn diese Dienste nicht verwendet und entfernt werden, ist der rechtskonforme Zustand bereits hergestellt, ohne dass irgendwelche aufwändigen Cookiebanner benötigt werden.

Wenn man jedoch zum Schluss kommt, auf Dienste wie Google Analytics nicht verzichten zu wollen (was in der Praxis oft der Fall sein wird), so gibt es für die rechtskonforme Umsetzung verschiedene, meist kostenpflichtige Tools. Zu empfehlen wären Cookiebot oder Usercentrics, welche etabliert sind und auf zahlreichen, großen Webseiten im Einsatz sind.

Hilfestellung bei der Umsetzung & weitere Auskünfte

Gerne beraten und unterstützen wir Sie bei der technischen Umsetzung der Cookie-Richtlinie auf Ihrer Website. Dies beinhaltet

  • die Prüfung, ob Sie überhaupt eigene Cookies verwenden, für welche eine Zustimmung erforderlich ist (extern angebundene Systeme sind von der Prüfung ausgenommen)
  • wenn ja: Integration eines geeigneten Tools zur Darstellung eines Cookiebanners mit Auswahlmöglichkeiten für Cookies sowie
  • die Bereitstellung der Informationen für die Datenschutzerklärung zu den eingesetzten Cookies.

(Hinweis: Ob Ihre Website alle Datenschutz-relevanten Informationen und Auflagen erfüllt, kann letztgültig nur ein Rechtsexperte prüfen.)