Cookies nur nach voriger Einwilligung zulässig

Der Europäische Gerichtshof hat am 01.10.2019 entschieden, dass Cookies zu Tracking-Zwecken nur nach voriger Zustimmung durch den Nutzer zulässig sind.

Tracking funktioniert auch ohne Cookies. Daher gilt das Urteil für alle möglichen Tools, Scripte und Plugins auf Ihrer Webseite. Mehr zu Ihrem digitalen Fingerabdruck erfahren.

Das Urteil des EuGH zum Fall planet49 war mit Spannung erwartet worden, weil es als vorgezogene ePrivacy Verordnung angesehen werden kann.

Hier ist der Text des Urteils zu finden und hier die Zusammenfassung zum Urteil.

Die Kernaussage des EuGH lautet, dass Cookies, die zu Analyezwecken des Nutzers verwendet werden können, nur nach voriger Einwilligung durch den Nutzer gesetzt werden dürfen. Diese Einwilligung wird auch Consent genannt. Fälschlicherweise glauben viele, dass Tools,die nur auf Cookies abzielen, geeignet sind, eine wirksame Einwilligung einzuholen.

Funktionale Cookies weiterhin erlaubt

Rein funktionale Cookies sind davon (höchstwahrscheinlich) nicht betroffen, also solche, die von Ihrer Webseite selbst gesetzt werden, etwa um zu erkennen, ob ein Benutzer sich angemeldet hat oder nicht.

Der Art. 5 Abs. 3 Satz 2 Richtlinie 2002/58/EG könnte zu notwendigen Cookies herangezogen werden:

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Quelle: https://edps.europa.eu/sites/edp/files/publication/dir_2002_58_de.pdf

Für Tracking Cookies gilt hingegen: Die Einwilligung gilt nur dann als erteilt, wenn Sie explizit erteilt wurde. Ein bereits aktiviertes Auswahlfeld gilt nicht als zulässige Einwilligung. Der Nutzer muss aktiv zustimmen.

Konkret ging es im Urteil zunächst um die Frage, ob eine Einwilligung wirksam erteilt wurde, wenn das Bestätigungsfeld vorangehakt war. Dies verneinten die Richter. Außerdem beurteilten sie, dass der Zugriff auf Informationen über Cookies, und auch die Weitergabe dieser Informationen an Dritte, zustimmungspflichtig ist.

Das Urteil kommt zu folgendem Schluss:

  1. Für alle Cookies (Ausnahme, siehe Art. 5 Abs. 3 Satz 2 der ePrivacy-Richtlinie von 2009), aber auch für sonstige Datenerhebungen, die über das notwendige Maß hinausgehen, muss eine aktive Einwilligung erfolgen (siehe u.a. Ziffer 46 des o.g. Urteils)
  2. Voraussetzung für eine wirksame Einwilligung ist eine klare Information des Nutzers, in was er einwilligen soll.
  3. Die Cookie-Vorschrift betrifft Cookies ungeachtet, ob es sich um personenbezogene Daten handelt oder nicht –> Interpretation: Ein Cookie stellt an sich ein personenbezogenes Datum dar, deswegen ist die dort abgelegte Information auch immer personenbezogen (siehe auch Ziffer 68 im o.g. Urteilstext)
  4. Die Datenschutzerklärung sollte die Speicherzeit der Cookies benennen (Ziffer 81)

Konsequenzen für Webseiten

Die Konsequenzen spiegeln das wieder, was schon immer klar war, jetzt aber höchstrichterlich bestätigt wurde:

  • Tools wie Google Analytics dürfen nur nach voriger Nutzerzustimmung durch geladen und verwendet werden
  • YouTube-Videos ohne erweiterte Datenschutzeinstellungen sind unzulässig, da sie das DoubleClick Werbenetzwerk nachladen
  • Social Media Plugins wie die von Facebook oder XING sind ohne vorige Nutzerzustimmung rechtswidrig
  • Facebook Fan Pages sind rechtswidrig, weil sie immer Facebook Insights laden, ohne dass der Nutzer vorher gefragt wird

Cookies sind nur ein Mittel zu Zweck, nämlich, um Nutzer zu verfolgen und möglichst eindeutig zu identifizieren. Im Urteil wurde der Erwägungsgrund 24 angeführt, der auch das Führen von sogenannten Hidden Identifiers thematisiert und ohne vorige Einwilligung nur in engem Rahmen erlaubt.

Ohne versteckte Identifikatoren funktioniert das Internet nicht.

Demnach kann man das Urteil auch auf Tracking-Methoden, die nicht auf Cookies basieren, übertragen. Ziffer 46 des Urteils hat folgenden Wortlaut, der dies erkennen lässt:

Nach dieser Klarstellung ist darauf hinzuweisen, dass Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten dazu verpflichtet, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Quelle: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1482091, Ziffer 46

Hier spielt der Begriff Browser Fingerprint eine entscheidende Rolle. Auch die IP-Adresse gewinnt nach diesem Urteil noch mehr an Bedeutung.

Browse Fingerprinting bezeichnet das Auswerten von Daten, die zwangsläufig beim Abruf einer Webseite vom Browser des Nutzers gesendet werden. Dazu gehören u.a.

  • Netzwerkadresse
  • Abrufzeitpunkt
  • Adresse der aufgerufenen Webseite
  • Browser-Merkmale (Typ und Version)
  • Betriebssystem
  • Auflösung des verwendeten Endgeräts

Lesen Sie mehr zum digitalen Fingerabdruck, den Sie mit Ihrem Web Browser bei jedem Seitenaufruf an Dritte übertragen.

Die Datenschutzkonferenz des Bundes und der Länder vertritt als Behörde bereits seit Mai 2019 die Ansicht, dass Tracking nur nach voriger Einwilligung zulässig sei und begründet dies auch recht ausführlich.

Übrigens ist auch das Cookie Banner des Europäischen Gerichtshofs selbst nicht DSGVO-konform gewesen. Unsere erneute Prüfung am 02.10.2019 ergab aber, dass das ursprünglich verwendete Cookie-Banner verschwunden war. Gut gemacht! So eine schnelle Reaktion wünscht man sich von allen Webseitenbetreibern.

Empfehlungen

Verwenden Sie Google Analytics nicht mehr. Verwenden Sie entweder gar kein Tracking Tool oder eines der folgenden:

  • eTracker
  • Matomo (Piwik) als lokale Lösung
  • WP Statistics für WordPress
  • selbst programmierte Lösung (ein Besucherzähler ist schnell programmiert)
Vermeiden Sie Tracking mit Google Analytics

Binden Sie keine YouTube-Videos und keine Vimeo-Videos auf Ihrer Webseite ein, sondern

  • speichern Sie das Video lokal auf Ihrer Webseite oder
  • verlinken Sie auf das Video (ggfs. mit Vorschaubild) oder
  • verwenden Sie ein DSGVO-Plugin, welches das Video erst lädt (wir reden hier noch nicht von Abspielen, sondern von Laden!), nachdem der Nutzer die Datenschutzbestimmungen dazu anerkannt hat

Prüfen Sie alle Seiten Ihrer Webseite auf kritische Tools, Scripte und Plugins.

Binden Sie Google Fonts nur lokal ein und laden Sie diese nicht vom Google Server.

Die wirksame Einwilligungsabfrage

Sollten Sie dennoch auf die Idee kommen, Tracking verwenden zu wollen, beachten Sie bitte, dass eine rechtssichere Einwilligungsabfrage komplex ist:

  • Die Abfrage einer Zustimmung muss vor dem Laden jeglicher Tools Dritter erfolgen
  • Die Ablehnung der Zustimmung muss ebenso einfach und offensichtlich erfolgen können wie die Zustimmung
  • Der Hinweis, in was eingewilligt werden soll, mus klar und deutlich, vollständig und für jeden verständlich sein
  • Es muss darauf hingewiesen werden, was mit den Daten passiert, die erhoben werden. Dazu gehört auch, an wen die Daten geschickt werden und was dieser Dritte damit tut.
  • Es muss abgespeichert werden, wer wann eingewilligt hat. Im Falle einer Beschwerde durch einen Nutzer müssen Sie die Einwilligung glaubhaft nachweisen können
  • Die Einwilligungsabfrage darf den Link auf Ihr Impressum nicht verdecken, und zwar auf jedem Endgerät
  • Sie sollten in der Abfrage auf Ihre Datenschutzerklärung verlinken

Weitere Informationen

Lesen Sie mehr zu Cookies im Beitrag Alles, was Sie über Cookies wissen müsen.

Netzwerksicherheit mit WWW-Schutz

Netzwerkadressen sind personenbezogene Daten. Mehr zu IP-Adressen und zum Urteil des EuGH.

Die Gründe, warum Sie Ihre Facebook Fan Page deaktivieren sollten. Kurtzfassung:

  • Facebook Unternehmensseiten können nicht datenschutzkonform betrieben werden
  • Sie haften als Seitenbetreiber mit Facebook zusammen
  • Für die meisten Unternehmen sind Facebook Präsenzen nicht wirklich von Nutzen, sondern verursachen nur Arbeit und gelegentlich Ärger durch unsachliche Diskussionen
  • Facebook muss nicht noch mehr Geld mit unseren Daten verdienen

Verwenden Sie keine Datenschutzgeneratoren. Textgeneratoren sind unsicher. Sie können damit die Probleme mit Cookies nicht lösen, sondern verschlimmbessern Ihre Webseite nur.

Nehmen Sie den WWW Schutz für Ihre Webseite ernst, um Bußgelder, Abmahnungen und sonstige Probleme mit der Datenschutzgrundverordnung zu vermeiden.

2019-10-11T09:43:55+02:00