Sie haben Fragen oder benötigen professionelle Unterstützung?
Rufen Sie uns an unter
030 403 63 36 60.

Der EuGH zu Cookies: Das Ende des Trackings?

UPDATE 14.11.2019 Der Bundesbeauftragte für den Datenschutz hat heute klargestellt: Personenbezogenes Webtracking darf nur mit Einwilligung des Websitebesuchers erfolgen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat in der heutigen Pressemitteilung (14.11.2019) endgültig erklärt, dass eine ausdrückliche Einwilligung des Websitebesuchers bei personenbezogenen Webtracking erforderlich ist. Dies gilt, sofern der Anbieter des Tracking-Dienstes die auf der Website erhobenen Daten auch für eigene Zwecke nutzt. Das bekannteste Beispiel ist wohl Google Analytics.

Diese Wertung ist damit auf einer Linie mit dem vieldiskutierten Urteil des Europäischen Gerichtshofs, der sich im Oktober 2019 mit dem Thema Cookies beschäftigt hat. Hier lautete die Frage, ob Cookies nur noch mit entsprechender Einwilligung auf Websites gesetzt werden dürfen.

Der EuGH hat entschieden (Urteil v. 01.10.2019 – C-673/17): Tracking- und Marketing-Cookies erfordern eine aktive Einwilligung des Websitebesuchers. 

Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände gegen die Planet49 GmbH, ein Anbieter von Online-Gewinnspielen. Dieser hatte die Gewinnspielteilnahme an die bereits voreingestellte Einwilligung zum Setzen von Cookies geknüpft.

Das zuständige Gericht verwies daraufhin die folgenden Fragen an den EuGH:

  • Handelt es sich bei dem voreingestellten Ankreuzkästchen um eine wirksame Einwilligungserklärung nach geltender Rechtslage?
  • Welche Informationen hat Websitebetreiber zu erteilen?

Es wurde entschieden, dass für eine sachkundige und freie Entscheidung des Websitebesuchers ein aktives Verhalten – also das Markieren (sog. Opt-in) und nicht das Abwählen (sog. Opt-out) – zum Setzen der Cookies erforderlich ist.

Dabei spielt es laut EuGH keine Rolle, ob die Cookies die Verarbeitung personenbezogener Daten oder die Verarbeitung von nicht personenbezogenen Informationen betreffen.

Weiter wurde entschieden, dass auch Informationen über die Funktionsdauer der Cookies sowie der Zugriffsmöglichkeit durch Dritte bereitgestellt werden müssen.

Für die Praxis bedeutet das Urteil für den Websitebetreiber jedoch keine generelle Pflicht, immer eine Einwilligung für die Verwendung von Cookies beim Websitebesucher einzuholen. Eine aktive Einwilligung durch ein Opt-in ist „nur“ für nicht zwingend erforderliche Cookies erforderlich – ganz gleich, ob dadurch eine Verarbeitung von personenbezogenen oder nicht personenbezogenen Daten erfolgt.

Websitebetreiber müssen nun überprüfen, welche Cookies gesetzt werden und wie darüber informiert wird sowie ob dafür eine gesonderte Einwilligung eingeholt werden muss. Im Wesentlichen geht es dabei um Marketing- und Tracking-Cookies, wie z.B. beim Einsatz von Google Analytics.

In den letzten Wochen haben wir verschiedene Lösungsmöglichkeiten intensiv getestet: Um den Anforderungen gerecht zu werden, eignen sich sog. Consent-Manager. Dadurch kann beim Aufrufen der Website eine Einwilligung für Cookies eingeholt werden.

Auf unserer Website sieht dies so aus:

Consent Manager www.datenschutz-werk,de

Unter Cookie Details werden zudem alle erforderlichen Informationen bereitgestellt:

Ausführliche Informationen des Consent Managers

Wir nutzen die Lösung von Borlabs (https://de.borlabs.io/borlabs-cookie/), welche wir für WordPress basierte Websites empfehlen.

Die zweite Alternative – Cookiebot (https://www.cookiebot.com/de/) – ist hingegen nicht auf WordPress beschränkt.

Beide Consent-Manager haben ihre Vor- und Nachteile, die es im Einzelfall abzuwägen gilt. Die grundlegenden Anforderungen erfüllen beide Varianten.

Wenn Sie sich für eine Lösungsmöglichkeit entschieden haben, muss auch ihre bisherige Datenschutzerklärung entsprechend ergänzt werden. Hierbei unterstützen wir Sie selbstverständlich gerne.

Die gesamte Thematik erhält in letzter Zeit viel Aufmerksamkeit. Auch die einzelnen Aufsichtsbehörden wollen die Umsetzung der DS-GVO auf Websites verstärkt kontrollieren. Gehen Sie diese Risiken nicht unbedacht ein.

Stand der Angaben: 14.11.2019