Die Spätestens seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben Sie als Betreiber einer nicht privaten Webseite wichtige datenschutzrechtliche Aspekte zu beachten. Strittig war zunächst die Frage nach dem Umgang mit Cookies. Mit seinem Urteil (01.10.2019) hat der Europäische Gerichtshof (EuGH) zu Cookies konkrete Vorgaben hinsichtlich der Einwilligung in die Verarbeitung gemacht. Die Einwilligung in die Cookie-Nutzung ist auch als Cookie-Consent bekannt. Erleichterung in der rechtssicheren Ausgestaltung der Verwendung der Cookies bieten Consent-Management-Provider (CMPs). Durchdachte Cookie Lösungen arbeiten automatisiert und ermöglichen Nutzern, Art und Umfang der Cookie-Nutzung zu gestatten.
EuGH-Urteil und die Cookies: rechtliche Bedeutung im Überblick
Hintergrund des EuGH-Urteils ist die Rechtsangelegenheit Planet49. Unter dem Aktenzeichen Az.: C- 673/17 gibt es nun klarere Angaben, wie die Einwilligung in die Cookie-Nutzung ausgestaltet sein sollte. Grundsätzlich muss der Besucher einer Webseite die Möglichkeit haben, der Nutzung von Cookies freiwillig und ausdrücklich zuzustimmen. Die Nutzung und Verarbeitung bestimmter Cookies ist nach dem Urteil des EuGH zu Cookies erst dann gestattet, nachdem die Einwilligung erfolgt ist. Davon ausgenommen sind solche Cookies, die zum Betrieb der Webseite zwingend erforderlich sind.
Im Urteil des EuGH zu Cookies führt der Europäische Gerichtshof aus, dass bereits die ePrivacy- Verordnung eine Einwilligung in nicht unbedingt erforderliche Cookies zwingend vorsieht (vergleiche Art. 5 Abs. 3 ePrivacy-Richtlinie). Grundsätzlich ist diese Aussage des EuGH zu Cookies bereits aus früheren Urteilen bekannt.
Zu beachten ist, dass der bekannte § 15 Abs. 3 TMG (Telemediengesetz) nicht als Umsetzung der ePrivacy- Richtlinie zu verstehen ist. Ebenso kommen weder eine richtliniengemäße Auslegung des TMG noch eine unmittelbare Anwendung der ePrivacy-Richtlinie in Betracht. Daher unterliegt die Nutzung und Erhebung von Cookies grundsätzlich der DSGVO. Die Nutzung lässt sich gemäß DSGVO auf berechtigtes Interesse oder auf eine Einwilligung stützen (vergleiche (Art. 6 Abs. 1 lit. a DSGVO). Da sich daraus alleine keine zwingende Erfordernis zur Einwilligung ergibt, bezieht sich der EuGH auf die ePrivacy-Richtlinie.
Urteil des EuGH zu Cookies und seine Folgen: Einwilligung in die Nutzung
Eine wirksame Einwilligung ist in der Praxis infolge des Urteil EuGH zu Cookies an bestimmte Anforderungen gebunden. Der EuGH hat zu Cookies wesentliche Aussagen getroffen, was die Wirksamkeit der Einwilligung in die Nutzung betrifft. Diese betreffen das alte sowie das neue Datenschutzrecht gemäß DSGVO.
Grundsätzlich folgt aus dem Urteil des EuGH zu Cookies, dass die Einwilligung in die Nutzung und Verarbeitung ein aktives Verhalten des Nutzers erfordert. Liegt kein aktives Verhalten vor, so ist unklar, ob Nutzer über eine hinreichende Kenntnis der Sachlage verfügen. Daraus folgt, dass ein bereits
vorab gesetztes Häkchen im Ankreuzkasten für Cookies keine wirksame Einwilligung darstellen kann. Im Sinne eines tatsächlichen Opt-ins muss der Besucher selbst aktiv werden und die Einwilligung durch einen Klick erteilen, damit Cookies nach EuGH-Urteil erhoben und verarbeitet werden dürfen.
Weiterhin gilt bezüglich Cookies nach EuGH-Urteil, dass Einwilligungen grundsätzlich für alle denkbaren Fälle separate und nicht voreingestellte Anklick-Optionen erfordern. Aus einer reinen Absenden- Schaltfläche ist keine Einwilligung für konkrete Fälle abzuleiten.
Weiterhin ergibt sich aus dem Urteil des EuGH zu Cookies, dass unter Berücksichtigung der ePrivacy- Richtline hervorgehoben werden muss, ob die Cookie-Informationen personenbezogene Daten darstellen oder nicht. Die Richtlinie hat damit einen Regelungsbereich, der sogar über das Datenschutzrecht hinausgeht. Allerdings weisen Rechtsexperten darauf hin, dass die ePrivacy-Richtlinie in Deutschland noch nicht vollumfänglich umgesetzt wurde.
Infolge des Urteils des EuGH zu Cookies sollten Sie als Betreiber einer Website zudem genaue Informationen über die Cookie-Nutzung mitteilen. Die erforderlichen Informationen im Zusammenhang mit dem Cookie-Consent beinhalten unter anderem die Verarbeitungsdauer der Daten. Ebenso müssen infolge des Urteils des EuGH zu Cookies Informationen zum Zugriff auf Cookies durch Dritte gegenüber Besuchern mitgeteilt werden. Dies beinhaltet auch genaue Angaben zu den Empfängern der Daten beziehungsweise zu den Kategorien von Empfängern. Der Besucher muss spätestens seit dem EuGH-Urteil erfahren, welche Werbetreibenden die erhobenen Daten verarbeiten.
Stellenwert und Notwendigkeit des Cookie-Consents für Website-Betreiber
Nahezu jede kommerzielle Internetseite erhebt Daten. Dies umfasst nicht nur betriebsnotwendige Daten, sondern in den meisten Fällen auch solche, die gemäß EuGH-Cookie-Urteil einer ausdrücklichen Einwilligung Ihrer Besucher bedürfen. Bereits die Nutzung einfachster Analyse-Tools geht mit der Erhebung zahlreicher Daten und mit der Anlegung entsprechender Cookies einher. Ein weit verbreitetes Beispiel ist das Werkzeug Google Analytics. Auch wenn jemand auf den sozialen Medien ein Widget setzt, kommt es zu dieser Form der Datenerhebung. Daher ist jeder Betreiber einer Webseite, der Kunden innerhalb des DSGVO-Raums (EU und darüber hinaus) auf Cookie-Consent-Management angewiesen. Ein rechtssicherer Betrieb der Internetseite ist nach dem EuGH-Cookie-Urteil nur möglich, wenn eine korrekte Handhabung der Cookie-Zustimmung gewährleistet ist.
Cookie-Consent in der Praxis: Umsetzung als Opt-in
Schon jetzt hat das Urteil des EuGH zu Cookies klare und konkrete Auswirkungen. Aus diesen ergibt sich Handlungsbedarf für Webseiten-Betreiber. Dieser betrifft die Art und Ausgestaltung des Cookie-Consents, also der ausdrücklichen Einwilligung in die Nutzung. Ebenso betroffen sind die Informationen, die gegenüber Nutzern über die Cookie-Verwendung mitzuteilen sind.
In diesem Zusammenhang ist die Einwilligung in der Praxis als echtes Opt-in auszugestalten. Dies bedeutet, dass eine aktive Handlung des Nutzers erforderlich ist, um zuzustimmen. Grundsätzlich sehen EU- Datenschutz-Richtlinien zwar bereits seit 2009 vor, dass Besucher nach ihrer Einwilligung gefragt werden. Diese Vorgabe konnten Webseiten-Betreiber jedoch in der Vergangenheit in Form eines Opt-outs auslegen. Das heißt, dass Cookies grundsätzlich und ohne das Zutun des Nutzers gesetzt wurden. Der Nutzer
konnte der Cookie-Nutzung zwar widersprechen, musste dafür aber die Initiative ergreifen. Dies ändert sich mit dem Urteil des EuGH zu Cookies: der Übergang zu einem Opt-in sieht vor, dass die Website grundsätzlich keine Cookies setzt, es sei denn der Nutzer optiert dafür. Cookies können infolgedessen erst dann überhaupt gesetzt werden, wenn die Zustimmung des Besuchers vorliegt. Die Einwilligung in Cookies nach EuGH darf entsprechend nicht durch ein bereits vorab eingestelltes Ankreuz-Kästchen eingeholt werden.
Für Unternehmen und Betreiber von Webseiten im Allgemeinen ist es daher ratsam, sich so schnell wie möglich auf das Urteil des EuGH zu Cookies einzustellen und entsprechende Vorkehrungen für einen rechtssicheren Cookie-Consent zu treffen. Deutliche Erleichterungen für Betreiber von Websiten bieten Consent-Management-Lösungen, die sowohl den Nutzer umfassend über die Nutzung der Cookies informieren als auch seine ausdrückliche Einwilligung einfordern.
Cookie-Consent-Lösungen: Standards und Funktionsweise
Für die Einwilligung in das Setzen und Verarbeiten von Cookies liegt ein Framework vor, das vom IAB Europe (Interactive Advertising Bureau) entwickelt wurde: es handelt sich um das Transparency and Consent Framework (TCF), das sich als Standard für den Cookie-Consent etabliert hat. Ziel der Entwicklung dieses Frameworks ist eine flächendeckende Standardisierung in der Consent-Frage. Die erste Variante des Frameworks ist bereits im April 2018 vorgestellt worden. Im Mai 2020 folgte die aktuelle Version TCF 2.0. Gerade in Anbetracht des EuGH Cookie Urteil kommt dem Framework eine große Bedeutung zu, da es die Einholung der erforderlichen Einwilligung erleichtert. Genauer liegt der Anspruch des IAB darin, die Informationen über die Einwilligung eines Nutzers in die Cookie-Verarbeitung genau nachzuvollziehen. Dies betrifft die gesamte Auslieferungskette der Cookie-Nutzung. In den meisten Fällen sind mehrere Dienstleister an der Generierung mehrerer Cookies beteiligt. Diese betreffen meist Werbebanner und andere Marketing-Maßnahmen. Alle an diesem Prozess beteiligten Parteien sind auf die Auskunft über eine erfolgte oder nicht erfolgte Einwilligung in die Cookie-Verarbeitung angewiesen.
Zum einen wird im Rahmen des Cookie-Consent-Managements auf Basis des IAB-Frameworks ermittelt, ob ein Nutzer überhaupt seine Einwilligung in die Cookie-Nutzung gegeben hat. In einem zweiten Schritt identifiziert der Consent Manager, welche konkreten Einwilligungen der Nutzer auf dem Consent-Banner zugestimmt hat. Besucher haben dabei die Möglichkeit, unterschiedlichen Nutzungs- und Verarbeitungszwecken der Cookies zuzustimmen oder diese abzulehnen. Auf Grundlage der Einwilligungsstruktur erzeugt ein Cookie-Consent-Manager einen so genannten Consent-String, der der seinerseits in einem Cookie angelegt wird. Anhand dieses Consent-Strings haben auch andere Beteiligte (beispielsweise andere Consent-Management-Provider) eine Möglichkeit, die Zustimmung eines Besuchers in Erfahrung zu bringen.
CMP: Consent-Management-Lösungen für Webseiten und ihre Vorteile
Die Vorzüge der Nutzung eines guten Consent-Managers sind für Webseiten-Betreiber zahlreich. Die rechtssichere Ausgestaltung der Zustimmung zu Cookies nach EuGH lässt sich damit gewährleisten. Jede gute Internetseite ist darauf ausgerichtet, ein optimales Nutzererlebnis zu bieten. Die Bedürfnisse der Besucher sollen befriedigt werden, damit sie auf der Seite verweilen. Zu den wichtigsten Aspekten einer langen Verweildauer gehören eine hohe Akzeptanz-Rate und eine geringe Absprung-Rate oder Bounce Rate. Ein guter Consent-Management-Provider leistet seinen Beitrag dazu, die Bounce Rate zu minimieren und damit die Akzeptanz-Rate zu erhöhen. Damit trägt er zu einer guten Performance der Webseite bei. Kunden lassen sich auf einer Webseite nur gewinnen und dauerhaft binden, wenn die Absprung Rate auf der Internetseite gering ausfällt.
Mit einer durchdachten Consent-Management-Lösung sorgen Sie nicht nur für eine Einhaltung der Vorgaben des EuGH-Cookie-Urteil, sondern haben einen Echtzeit-Überblick über die je aktuellen Akzeptanz- und Absprung-Raten. Das Verhalten der Website-Besucher, Kunden und potenziellen Kunden lässt sich nachvollziehen. Daraus lassen sich gleichermaßen Rückschlüsse auf mögliches Verbesserungs-Potenzial gewinnen.
Eine internationale Ausrichtung der Consent-Banner ist eine Selbstverständlichkeit bei modernen Cookie- Consent-Lösungen. Das Pop-up erscheint automatisiert in der jeweiligen Sprache des DSGVO-Landes, aus denen Besucher auf Ihre Webseite zugreifen. Der Consent-Management-Provider spielt die Information in insgesamt 29 Sprachen aus. Weiterhin bietet ein CMP eine responsive Anpassung an das jeweils von Besuchern genutzte Endgerät. Damit reagiert die Cookie-Consent-Lösung auf Aspekte wie Bildschirmgröße und Betriebssystem (beispielsweise iOS oder Android) und spielt Besuchern eine dahingehend optimierte Anzeige aus.
Fazit
Das Urteil des EuGH hat die datenschutzrechtliche Praxis für Website-Betreiber zweifelsohne verkompliziert. Zu berücksichtigen sind neben technischen Fragen auch Design-Aspekte und vor allem die juristische Dimension einer transparenten Datenverarbeitung bei der Gestaltung eines rechtskonformen Cookie-Banners. Was gerade Website-Betreibern den Eindruck gängelnder Richtlinien und Vorgaben vermittelt, dient unterm Strich aber den Usern als Interessenten und Kunden. In diesem Sinne sollten Online- Händler, Publisher oder Agenturen das EuGH-Urteil als Ansporn sehen. Website-Besucher wissen mehr und mehr um die Tragweite der Datenweitergabe und verlangen ein Höchstmaß an Übersichtlichkeit und Transparenz im Cookie-Management. So gesehen können Website-Betreiber durch ein kluges Consent- Management-System im Kundenkontakt nur profitieren – durch ein Mehr an Trust in Verbindung mit einer klaren Usability.
