EuGH Urteil zu Cookies vom 01.10.2019

Bisher wurden die reine Information über den Einsatz von Cookies und entsprechende Opt-Out-Möglichkeiten als ausreichend angesehen, mit dem aktuellen Urteil ist diese Praxis nicht mehr anwendbar. Zukünftig muss der Seitenbesucher aktiv in die Verwendung von Cookies einwilligen, dieses Urteil hatte sich bereits Ende Juli mit dem Urteil zum Facebook Button abgezeichnet.

ACHTUNG: Der EuGH hat sich konkret zu Webseiten (auch Onlineshops) geäußert, es ist jedoch anzunehmen, dass dieses Urteil gleichermaßen für den Betrieb von Apps gilt.

Um was geht es? – Einwilligung und Angaben zu eingesetzten Cookies

Einwilligung für Cookies – Der Europäische Gerichtshof hat entschieden, dass es einer aktiven Einwilligung des Nutzers für die Speicherung und den Abruf von Cookies auf dessen Gerät bedarf. Diese Einwilligung darf nicht durch vorangekreuzte Kästchen erfolgen, der Nutzer muss die Auswahl selbst treffen.

Informationen über eingesetzte Cookies – Der Gerichtshof stellt klar, dass der Seitenbetreiber gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.

Was bedeutet das für die Praxis?

Alle Analyse Tools, Trackingtools, Remarketing Instrumente, Sonstige Drittanbieter Tools (zum Beispiel Google Maps, Youtube u.a.) dürfen erst nach der aktiven Einwilligung des Nutzer Cookies gesetzt und aktiviert werden. Der Datenaustausch zwischen dem jeweiligen Tool und dem Endgerät des Benutzers muss bis zur Einholung der Einwilligung unterbunden werden.

Implementierung eines Cookie Consent Managements – Einwilligung einholen

Da nahezu jede Webseite Cookies einsetzt, raten wir zwingend zum Einsatz eines Cookie-Consent-Managements. Für nahezu jedes CMS gibt es mittlerweile Plugins, die eine kostengünstige Umsetzung der neuen Vorgaben ermöglichen. Im Anhang finden Sie eine Auswahl verschiedener Tools, mit denen die Anforderung umgesetzt werden kann.

Informationen über eingesetzte Cookies verfügbar machen

Wir raten Ihnen dazu, alle eingesetzten Cookies, deren Funktion und Speicherdauer zu deklarieren. Dies kann zum einen in der Datenschutzerklärung erfolgen, alternativ kann eine zusätzliche Seite (zum Beispiel Cookie Richtlinie) erstellt werden. Folgende Angaben sollten mindestens enthalten sein: Name des Anbieters / Name des Cookies / Zweck der Speicherung / Ablaufdatum.

Zusammenfassung:
Dem Nutzer muss also allein überlassen werden, ob und welche Cookies er zulassen will. Zudem müssen alle eingesetzten Cookies in der Datenschutzerklärung – oder einer gesonderter Cookie Richtlinie – deklariert werden (siehe Beispiel im FAQ).

Tipp 1
Viele Cookie Consent Management Tools analysieren, welche Cookies eingesetzt werden und liefern umfangreiche Informationen zu diesen. Diese Informationen können für die Deklaration in der Datenschutzerklärung oder alternativ einer Cookie-Richtlinie verwendet werden.

Tipp 2
Wenn Sie nur wenige Drittanbieter Tools einsetzen, können Sie in den meisten Fällen auch eine Einwilligung für das einzelne Tool einsetzen. Beispielsweise gibt es verschiedene Möglichkeiten, für Google Analytics ein Opt-In einzuholen. Auch Drittanbieterinhalte, wie beispielsweise Google Maps, lassen sich separat blockieren, bis der Nutzer diese aufrufen will.

FAQ

Gibt es Ausnahmen?

Zum aktuellen Zeitpunkt wurde noch nicht konkretisiert, ob für bestimmte Cookie Arten (zum Beispiel Session Cookies) keine Einwilligung eingeholt werden muss. Ohne Session Cookies funktionieren viele Webseiten nicht richtig, zudem verbleiben Session Cookies nur für die Sitzung des Nutzers. Es ist zwar eine Ausnahme anzunehmen, aktuell existiert diese aber noch nicht.

Wann brauche ich definitiv ein Cookie Consent Management?

Wenn ihre Website Cookies setzt, die meisten Seiten setzen zumindest Session Cookies, siehe oben. Auf jeden Fall brauchen Sie ein Consent Management, wenn Sie eine oder mehrere dieser Inhalte und Tools verwenden:

Tracking, Analyse und Marketing- Tools

Tools, die Aufschluss über das Nutzerverhalten, personalisierte Inhalte ausspielen oder den Werbeerfolg messen.

  • Tracking Tools (z.B. Google Analystics, LeadLab, Piwik, u.vgl.)
  • Conversion Tracking (z.B. AdWords Conversion Tracking, Facebook Pixel)
  • Remarketing Tools (z.B. Google Analytics Remarketing)
  • A / B Testing Tools

Eingebetteter Drittanbieter-Content
Zum Beispiel Videos von Videoplattformen, Schriftarten, interaktive Karten und anderen Content.

  • Video Content (z.B. Youtube, Vimeo, u.vgl.)
  • Schriftarten (z.B. Google WebFonts, FOontawsome u.vgl.)
  • Karten (z.B. Google Maps, Open Street Map u.vgl.)
  • Einbindung von Inhalten über Content Delivery Networks

Wie ist das Cookie Consent Management umzusetzen?

Die Einwilligung muss aktiv erfolgen, durch vorangekreuzte Felder für einzelne Cookie Arten gilt eine Einwilligung als nicht wirksam erteilt. Der Nutzer muss aktiv auswählen, welche Cookie Arten er zulassen will.

Es empfiehlt sich zu den bisherigen Angaben eine Liste der eingesetzten Cookies darzustellen. Diese kann in etwa so aussehen.

Wie sind Cookies in der Datenschutzerklärung zu deklarieren?

Es empfiehlt sich zu den bisherigen Angaben eine Liste der eingesetzten Cookies darzustellen. Diese kann in etwa so aussehen.

Tools für die Umsetzung

Bitte beachten Sie, dass es seine Vielzahl an Cookie Consent Managern gibt. Wir haben hier nur eine kleine Auswahl dargestellt, dieser Markt wird sich jetzt rasant entwickeln. Bitte beachten Sie, dass alle Tools in der Regel auch durch einen Fachmann entsprechend konfiguriert werden müssen.

Plattformübergreifende Tools

Beispiele für Cookie Consent Manager, die plattformübergreifend funktionieren:

Tools für Joomla

(Quelle und Infos https://www.hosteurope.de/blog/die-besten-cookie-control-extensions-fuer-joomla/)

Tools für Typo3

Bitte beachten Sie unbedingt:
Nach der Implementierung eines Cookie Consent Managements sollte unbedingt überprüft werden, ob dieses korrekt funktioniert. Uns sind einige Seiten bekannt, die zwar vordergründig ein Consent Management einsetzen deren Konfiguration jedoch fehlerhaft ist. Dies führt meist dazu, dass dem Nutzer zwar eine Auswahlmöglichkeit gegeben wird, alle Cookies und Skripte aber unabhängig dieser bereits beim Seitenaufruf geladen werden.
Insofern ein Cookie Consent Management nicht korrekt funktioniert, kommt dies einer Fehlinformation und unrechtmäßigen Verarbeitung personenbezogener Daten mit allen möglichen Konsequenzen gleich.