Nach Inkrafttreten des DSGVO tauchen sie überall auf: die Cookie-Banner. Darin wurde auf die Existenz von Cookies hingewiesen, doch die Webseitenbesucher mussten den Cookies nicht zustimmen. In den meisten Fällen hat man das Banner entweder mit „OK“ bestätigt oder einfach weggeklickt.
Keine Zeit zu lesen? Hier mehr Informationen anfordern
Über DataGuard:
DataGuard ist ein Datenschutz- und Legal-Technology-Unternehmen mit Hauptsitz in München. Wir helfen Unternehmen dabei, ihren Datenschutz pragmatisch umzusetzen. Über 100 Mitarbeiter beschäftigen sich leidenschaftlich mit Datenschutz, Compliance und IT-Sicherheit und unterstützen Sie dabei, Ihre Prozesse effizient und möglichst unkompliziert DSGVO-konform zu gestalten. Deutlich über 1.000 Geschäftskunden vertrauen unserer „Privacy-as-a-Service“ Lösung – einem Hybrid aus individueller Kundenberatung und Nutzung unserer eigens entwickelten Software-as-a-Service-Plattform.
Aktive Zustimmung nötig
Das ist so nicht zulässig, urteilte der EuGH am 1.10.2019. Anwender müssen den Cookies aktiv zustimmen, ansonsten liegt keine Einwilligung vor. Im konkreten Fall hat Planet49 bei einem Gewinnspiel Cookies gesetzt, mit denen Informationen gesammelt wurden, die dann zu Werbezwecken verwendet und an Partner von Planet49 weitergegeben wurden. Das Problem: Das Häkchen, mit dem der Nutzer diesen Cookies zustimmt, war automatisch gesetzt, der Anwender musste es deaktivieren, wenn er widersprechen wollte. Diese Praxis hat das EuGH gekippt: Der Teilnehmer muss aktiv zustimmen, das heißt selbst den Haken in dem entsprechenden Kästchen setzen. Ansonsten liegt keine Einwilligung vor und die Cookies dürfen nicht verwendet werden.
Die Folgen des Urteils
Das Urteil hat große Auswirkungen über den konkreten Fall hinaus. Denn damit ist die bisherige Auffassung in Deutschland unzulässig, die sich aus §15 TMG ergibt. Dort heißt es, Diensteanbieter dürften zum "Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht". Diese Opt-Out-Lösung ist nicht mit Europarecht vereinbar, ein Opt-In ist nach dem Urteil zwingend.
Damit sind die meisten der Cookie-Banner, die auf deutschen Webseiten verwendet werden, nicht mehr rechtskonform. Diese weisen zwar auf die Verwendung von Cookies hin, die Anwendung muss jedoch nicht bestätigt werden; das Banner lässt sich einfach schließen.
Nach Ansicht der meisten Landesdatenschutzämter müssen mit dem Urteil alle Cookies aktiv bestätigt werden. Ausnahme sind lediglich die Cookies, die aus technischen Gründen für die Webseite nötig sind oder die bestimmte Funktionen bereithalten, die der Nutzer wünscht, wie z.B. der Warenkorb bei einem Webshop.
Die nächsten Schritte
Der deutsche Gesetzgeber ist nun gefordert, das bestehende Telemediengesetz an die Rechtsprechung des EuGH anzupassen. Darauf dürfen Webseitenbetreiber aber nicht warten. Denn durch das EuGH-Urteil gibt es eine Grundlage für Beschwerden und Bußgelder. Unternehmen und Vereine müssen also so schnell wie möglich Ihre Cookie-Banner anpassen und aktiv eine Einwilligung Ihrer Webseitenbesucher einholen.
Sie wollen keine hohen Strafen riskieren? Erhalten Sie hier mehr Informationen, wie Sie sich schützen können.