Der EuGH hat entschieden: Cookies ohne ausdrückliche Einwilligung, das geht nicht mehr.
Fundstellen:
(a) die knappe Pressemitteilung: https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf
(b) das Urteil in voller Länge: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1436279
(c) Zusammenfassung bei Heise: https://www.heise.de/newsticker/meldung/EuGH-Keine-Cookies-ohne-Zustimmung-4543630.html
(d) Etwas ausführlicher bei Golem: https://www.golem.de/news/eugh-urteil-jeder-cookie-erfordert-einwilligung-der-nutzer-1910-144187.html
(e) Am ausführlichsten bei Spiegel Online mit Stellungnahme von Bitkom: https://www.spiegel.de/netzwelt/netzpolitik/europaeischer-gerichtshof-cookies-brauchen-aktive-einwilligung-des-nutzers-a-1289439.html
Aussagen des EuGH:
Ohne übertrieben komplizierten Begründungsaufwand verweist das Gericht mehr oder weniger klar auf nachvollziehbare Sprache der einschlägigen EU-Normen. Und kommt zu folgenden fünf Ergebnissen:
(1) Cookies: Für alle Cookies (die nicht unter die enge Ausnahme nach Art. 5 Abs. 3 Satz 2 der ePrivacy-Richtlinie in der Fassung von 2009 fallen) muss eine aktive Einwilligung über ein Opt-in erfolgen. Sprich: Das Zustimmungshäkchen darf nicht schon vorab gesetzt sein.
(2) Voraussetzung für eine wirksame Einwilligung ist eine klare Information darüber, in was man einwilligt.
(3) Die Cookie-Vorschrift gilt sowohl für Cookies, die personenbezogene Daten speichern, wie für solche, die nur nicht-personenbezogene Daten erfassen. Also für alle Cookies (die nicht unter die enge Ausnahme nach Art. 5 Abs. 3 Satz 2 der ePrivacy-Richtlinie in der Fassung von 2009 fallen).
(4) In den Datenschutzinformationen muss auf jeden Fall auch über die Speicherzeit der Cookies im Browser informiert werden. Und über alle Dritten, an die Daten weitergeleitet werden und deren Verwendungszwecke.
(5) Weil vom deutschen Gericht nicht als Frage vorgelegt, sagt das Urteil ausdrücklich (siehe Randnummer 64) nichts zur Frage, ob ein Angebot (z.B. eine kostenfreie Nutzung einer Website) gekoppelt werden darf an die Einwilligung in ein Cookie (für Werbetracking). Das wird diskutiert unter dem für wirksame Einwilligungen erforderlichem Merkmal „ohne Zwang“ (in der Fachliteratur unter dem Schlagwort „Koppelungsverbot“).
Fazit:
Da viele Besucher der Websites die Einwilligungen nicht erteilen werden, wird sich wahrscheinlich das gesamte System des Onlinemarketings neu aufstellen. Ein Freund von mir bei Teads (einem großen Dienstleister für Videowerbung) sagte heute Morgen schon: „Zurück in die Online-Steinzeit.“
Handlungsbedarf:
Nach diesem Urteil sind alle einfachen Cookie Banner irrelevant. Zugespitzt formuliert: Man kann Websites auch genauso gut ganz ohne ein Banner betreiben.
(1) Jeder Onlinedienst (Website, App, etc.), der mindestens ein Cookie setzt, muss eine Funktion für Cookie Consent anbieten (das ist deutlich mehr als ein herkömmliches Cookie-Banner). Die Einwilligung muss erfolgt sein, BEVOR der Cookie gesetzt wird.
(2) Jeder Cookie muss mit ausreichenden Informationen in den Datenschutzinfos vorgestellt werden.
(3) Für alle Third Party-Cookies müssen – falls nicht bereits vorliegend – (belastbare) Informationen von deren Anbietern zur Verarbeitung der Daten in deren Bereich eingeholt werden. Nur so kann man diese Angaben in die eigene DS-Info aufnehmen. Sprich: Google, Facebook, Oracle und diverse andere Dienstleister, mit denen man zusammenarbeitet, müssen unter Umständen weitere Informationen zur Verfügung stellen.
Der einfache Weg:
Dies ist die große Stunde der Cookie Consent-Tools. Deren Anbieter sollten die notwendigen Informationen zusammentragen, soweit das noch nicht geschehen ist, und über das Consent-Tool anbieten.
Die Betreiber von Websites müssen dann „nur“ ein leistungsstarkes Consent-Tool in ihre Seiten einbauen.
Und abhängig vom eigenen Geschäftsmodell muss man schauen, wie hart Einbußen dadurch sind, dass bisherige Funktionen zur „zielgruppengerechten“ Ausspielung von Inhalten und Kampagnen nicht mehr möglich ist.
______________________________
Mark Rüdlin
Rechtsanwalt + Datenschutzbeauftragter
Headerbild: Brigitte Tohm/Pexels via Canva
Anmerkung / Ergänzung von mir: bei e-Recht24 wird das Thema sehr detailliert beschrieben: https://www.e-recht24.de/artikel/datenschutz/11648-eugh-urteil-cookies-einwilligung.html