Neues europäisches Urteil zu Cookies
Im kürzlich erlassenen Urteil zum Fall Planet49 hat der Gerichtshof der Europäischen Union (EUGH) festgehalten, dass eine wirksame Einwilligung in das Setzen von Cookies nicht allein durch Verwendung eines voreingestellten Ankreuzkästchens erteilt werden kann und dass den Nutzern von Webseiten klare und umfassende Informationen zur Funktionalität jedes Cookies gegeben werden müssen.
Am 1. Oktober 2019 veröffentlichte der EUGH seine lange erwartete Entscheidung in diesem wichtigen Fall betreffend die Zustimmung zur Verwendung von Cookies. Die zentralen Punkte des Urteils lauten wie folgt:
1. Vorangekreuzte Kontrollkästchen stellen keine wirksame Zustimmung dar
Bereits angekreuzte Kästchen werden nicht den in der ePrivacy-Verordnung, der Datenschutzverordnung und der DSGVO festgehaltenen Anforderungen für aktive Einwilligung gerecht. Der Gerichtshof urteilte, dass es eines aktiven Verhaltens vonseiten des Nutzers bedarf. Ansonsten erscheine es „praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website […] tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat”; weiters könne „nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat …”.
Ausgehend von dieser Argumentation und trotz der Tatsache, dass der EUGH sich nicht mit anderen üblichen Methoden zur Einholung der Einwilligung von Nutzern auseinandergesetzt hat, ist somit klar, dass auch andere Arten von passiver oder implizierter Einwilligung von Nutzern in das Setzen von Cookies, wie zum Beispiel die Fortführung der Verwendung der Webseite, ebenso unzulässig sind.
2. Dieselben Regeln gelten für alle Cookies, egal ob sie personenbezogene Daten des Nutzers speichern oder auf diese zugreifen
Der EUGH bestätigte, dass die Regelungen betreffend Cookies in der ePrivacy-Verordnung darauf abzielen, „den Nutzer vor jedem Eingriff in seine Privatsphäre zu schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind.” Praktisch gesagt: Selbst wenn Cookies keine personenbezogenen Daten des Nutzers sammeln (was ohnehin selten der Fall sein wird), muss der Webseitenbetreiber sicherstellen, dass er die Vorgaben der ePrivacy-Verordnung einhält.
3. Nutzer müssen klare und umfassende Information zur Verwendung von Cookies erhalten
Der EUGH erklärte, dass Nutzer klare und umfassende Information erhalten müssen, um ihnen zu ermöglichen, die Folgen ihrer Einwilligung abzuschätzen. Diese Information muss eindeutig und für den durchschnittlichen Internetnutzer klar verständlich sowie hinreichend detailliert sein, um dem Nutzer zu ermöglichen, die Funktion der einzelnen Cookies zu verstehen. Des Weiteren muss der Webseitenbetreiber Informationen zur Funktionsdauer der Cookies liefern sowie darüber, ob Dritte Zugriff auf die Cookies haben.
Was müssen Webseitenbetreiber nun tun?
Angesichts des Urteils des EUGH sollten Webseitenbetreiber Folgendes tun:
- Ihre Cookie-Hinweise um Informationen zur Funktionsdauer und zur Möglichkeit des Zugriffs durch Dritte für jeden Cookie ergänzen sowie um jedwede weitere von der DSGVO verlangte Information, die es Nutzern ermöglicht, die Funktionsweise jedes einzelnen Cookies zu verstehen; und
- sicherstellen, dass ihre Cookie-Banner ausschließlich auf der Basis von aktiver (opt-in) Einwilligung funktionieren, sodass keine voreingestellten Ankreuzkästchen oder Methoden der passiven oder implizierten Einwilligung genutzt werden.
Artikel von EuroCloud CPC partner Mary Deligianni (Zepos & Yannopoulos)