Der Europäische Gerichtshof hat am 1. Oktober 2019 ein für alle Mitgliedstaaten bindendes Urteil gefällt: Fortan ist die Einwilligung für Cookies Pflicht für alle Webseiten-Betreiber! Dieser beispielhafte Gerichtsentscheid kann dabei helfen, die Auslegung der DSGVO im Einzelnen festzuhalten. Wir erklären, wie Sie das Setzen von Cookies von nun an handhaben sollten und welche Punkte weiterhin unklar sind.
In dem Urteil wendet sich der Europäische Gerichtshof an den Anbieter eines Gewinnspiels. Dieser hat auf dem Teilnahmeformular ein vorangekreuztes Kontrollkästchen für die Einwilligung zur Verwendung von Cookies unterschiedlicher Anbieter gesetzt.
Das Gericht hält folgendes fest:
- Ein vorangekreuztes Kontrollkästchen stellt keine wirksame Einwilligung dar.
- Zu Cookies muss die Funktionsdauer angegeben werden.
Was bedeutet das Urteil?
Das Urteil betrifft zugleich alle passiven, rein informativen Cookie-Banner, die oft nur einen «OK»-Button haben und über die Verwendung von Cookies informieren. Denn: der Nutzer muss den Cookie Bannern aktiv zustimmen – ein Hinweis alleine genügt nicht. Auch der Text «Mit der Nutzung unserer Webseite stimmen Sie der Verwendung von Cookies zu» ist nicht ausreichend. Obwohl das Urteil speziell Cookies behandelt hat, geht es dabei um jegliche Art der Speicherung und Auslesung von Daten auf dem Gerät des Nutzers. Für den Betrieb der Webseite unbedingt notwendige Cookies bedürfen keiner aktiven Einwilligung. Über diese muss nur informiert werden.
Wie geht es weiter?
Das Urteil ist für nationale Gerichte der Mitgliedstaaten bindend. Dies bedeutet, dass das Setzen von Cookies der aktiven Zustimmung der Besucher bedarf. Das Urteil ist richtungsweisend und das erste seiner Art, das eine klare Aussage über die Zustimmung für Cookies enthält. Es lässt jedoch noch einige Punkte offen:
- Die genaue Abtrennung zwischen notwendigen Cookies und den restlichen Cookies.
- Ob Tracking Cookies für Analysezwecke als notwendige Cookies gelten oder ein berechtigtes Interesse dafür geltend gemacht werden kann.
- Ob die Zustimmung zu Kategorien von Cookies erlaubt ist.
Bis die neue e-Privacy-Verordnung mehr Klarheit darüber schafft oder weitere Gerichtsurteile gefällt werden, empfehlen wir folgendes:
- Die Cookies in folgende Kategorien zu unterteilen:
- Marketing/Targeting Cookies (z. B. Facebook, LinkedIn, Google Ads)
- Performance/Analytics Cookies (z. B. Google Analytics, Matomo, Piwik, AT Internet)
- Funktionale Cookies (z. B. Vimeo, Debugging-Tools, Chat Widgets)
- Unbedingt notwendige Cookies (z. B. Warenkorb, Speicherung der Sprachwahl, Login-Status)
- Alle Marketing/Targeting Cookies müssen standardmässig blockiert sein und werden nur durch die aktive Zustimmung des Nutzers gesetzt.
- Für die restlichen Kategorien besteht eine Notwendigkeit oder zumindest ein berechtigtes Interesse, um diese ohne aktive Zustimmung zu setzen. Jedoch muss darüber informiert werden.
Achtung: Sobald diese jedoch auch für Marketingzwecke verwendet werden (wie z. B. YouTube, SlideShare, Marketing Automation), ist die ausdrückliche Zustimmung erforderlich.
Wenn Sie auf Nummer sicher gehen möchten, blockieren Sie alle Cookies ausser den absolut notwendigen. Sie verlieren dadurch aber auch Informationen darüber, wie Ihre Webseite genutzt wird und wo sie Optimierungsbedarf hat.
Wir haben bereits vor Inkrafttreten der DSGVO in unserem Artikel (So Machen Sie Ihre Webseite fit für die neue EU-Datenschutzverordnung) darauf hingewiesen, dass Sie eine Cookie-Management-Lösung einsetzen sollten, um das Setzen von einzelnen Cookies zu steuern. Mittlerweile haben wir mehrere Dutzende dieser Lösungen implementiert und beraten Sie gerne.