Wo kein Kläger, da kein Richter.
Das schien das Motto vieler Webseitenbetreiber in Bezug auf ihre Cookies gewesen zu sein und sie setzten so meist willkürlich ihre Cookies. Zu ihrer Verteidigung: Es war eine Zeit lang nicht unbedingt klar, wie Cookies und DSGVO wirklich unter einen Hut zu bringen sind. Doch nachdem sich da viele – wie man auf Österreichisch so schön sagt – durchgewurschtelt haben, ließ die erste datenschutzrechtliche Klage nicht allzu lange auf sich warten.
Der mutmaßliche Täter: Planet49.
Ausgangsfall war ein Gewinnspiel zu Werbezwecken auf der Website. Um mitmachen zu können, musste man dem Newsletterversand aktiv – durch Anklicken einer Checkbox – zustimmen. Zudem war eine weitere Checkbox zur Einwilligung von Marketing- und Tracking-Cookies bereits vorangekreuzt. Das Cookie-Häkchen konnte man zumindest wieder wegklicken und trotzdem am Gewinnspiel teilnehmen.
Ein kleines Delikt könnte man meinen – nicht so für Datenschützer. Das Unternehmen Planet49 musste sich zunächst vor dem deutschen Bundesgerichtshof (BGH) verantworten. Dieser leitete den Fall weiter an die höchste Rechtsinstanz der EU, den Europäischen Gerichtshof (EuGH). Nach Untersuchung des Tatbestands fiel am 1. Oktober 2019 schließlich der Richterhammer und das Urteil war gefällt: Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers. Eine vorangekreuzte Checkbox ist daher nicht zulässig.
Was heißt das nun konkret und welche Cookies sind davon betroffen?
Webseitenbetreiber müssen bei ihren Cookies unterscheiden, ob diese zwingend notwendig sind, damit ihre Website überhaupt reibungslos funktionieren kann oder ob diese vielleicht nur reinen Marketingzwecken dienen. Erstere bedürfen nach wie vor keinerlei Einwilligung der Nutzer, da ohne diese Cookies auch die Website nicht funktionieren würde. Letztere jedoch – und das hat der EuGH nun bestätigt – dürfen erst nach einer aktiven Einwilligung der User auf der Seite gesetzt werden. Es muss also beim ersten Besuch der Website für den User klar ersichtlich sein, welche Cookies verwendet werden und die Möglichkeit bestehen, Marketing-Cookies abzulehnen. Vorsicht ist auch bei jenen Cookies geboten, welche der Erstellung von Nutzerprofilen dienen und Nutzerdaten speichern. Der User muss darüber informiert werden, was mit seinen Daten passiert und muss zudem die Möglichkeit haben, die nutzerbezogene Verarbeitung seiner Daten abzulehnen. Dies betrifft auch die Speicherdauer der Cookies sowie die Weitergabe der Daten an Dritte.
Der richtige Umgang mit Cookies.
Webseitenbetreiber müssen ihre Seite auf Cookies prüfen, diese richtig klassifizieren und anschließend dem Nutzer DSGVO-konform darlegen sowie die Möglichkeit zur aktiven Einwilligung geben.