Cookie-Urteil: Das müssen Website-Betreiber beachten

Cookie Urteil EuGH 2019

Was ist entschieden worden?

Die europäischen Richter haben Anfang Oktober 2019 gegen einen in Deutschland praktizierten Sonderweg entschieden. Hier geht es zum Urteil .
Bisher ließ das Telemediengesetz die Speicherung von Cookies (was sind Cookies eigentlich? ) zu, wenn die Nutzer nur informiert wurden. Das wurde oft mit sogenannten Cookie-Bannern umgesetzt.

Essenz

Cookies sind fortan nur ohne Einwilligung erlaubt, wenn sie „unbedingt erforderlich“ sind, um dem Nutzer eine von ihm gewünschte digitale Dienstleistung zu erbringen.
Was das genau auszulegen ist, wird zu Diskussionen führen.
Vieles spricht dafür, als „unbedingt erforderlich“ solche Cookies anzusehen, die im Interesse des Nutzers sind. Dazu können Session- oder Warenkorb-Cookies zählen.

Die Datenschutzkonferenz hat dazu eine Orientierungshilfe herausgebracht, die einige Beispiele nennt. Hier geht es zum Dokument.

Vorsichtig auf den Punkt gebracht

Man darf also keine Cookies setzen, solange der Besucher keine Interaktion vorgenommen hat, die einen Cookie zwingend voraussetzt.

Cookie-Banner

Einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, können nun als Einwilligung nicht mehr rechtskonform als Grundlage herangezogen werden.
Voraussetzung für das Setzen von Cookies ist eine nach DSGVO wirksame Einwilligung, welche vorab, freiwillig, aktiv und mit dem Wissen um das Recht auf Widerruf einzuholen ist.

Was bedeutet das für Webseiten?

Als Verantwortlicher einer Homepage sollten Sie Ihre Webseite überprüfen,
1) inwieweit Cookies (auch von Dritten) und für welchen Zweck gesetzt werden und
2) ob ein Cookie-Banner aktiv ist.
3) Falls Sie Cookies setzen: klären, ob diese noch benötigt werden, bzw. der Service auch ohne Cookies umgesetzt werden kann.
4) Falls Cookies übrig bleiben, die für den Betrieb der Seite nicht „unbedingt erforderlich“ sind, muss vor dem Setzen eine aktive Einwilligung eingeholt werden, z. B. über ein Consent-Banner, welches der eigentlichen Website vorgeschaltet ist.
5) Zudem muss klar und umfassend darüber zu informiert werden, welche Art Cookies wie lange genutzt werden.
6) Etwaige Cookie-Banner können und sollten weg.

Prüfen

Wenn Sie sich nicht sicher sind, ob Ihre Webseite Cookies setzt, weil Sie einen Dienstleister dafür haben, einen Homepage-Baukasten benutzen oder nicht sicher sind, was z. B. diverse WordPress-Plugins so treiben und Sie Ihre Webseite überprüfen möchten, hilft Ihnen dieses Online-Tool: https://webbkoll.dataskydd.net/de

Bonus

Wenn Sie das Online-Tool Webbkoll verwenden, können Sie weitere, DS-GVO relevante Inhalte Ihrer Webseite aufspüren.
Neben den Cookies werden oft Scripte von Dritten (Third Party) eingebunden, die auch auf Rechtsgrundlage und Information zu prüfen sind.
Viele dieser Scripte, wie. z. B. Google Fonts, lassen sich auch selbst hosten.

Natürlich ist die Grundidee gut, solche Scripte von Dritten einzupflegen.
Der Vorteil unterliegt aber ganz klar zwei grundlegenden Nachteilen:

  1. Eingebettete Scripte sind anfällig für Schadcode.
    Sie als Betreiber können das nicht kontrollieren.
  2. Scripte Dritter lassen den Dritten (Google, Facebook,…) viel wissen und machen Ihre Besucher zum gläsernen Menschen.

Eine vom unnötigen Ballast befreite Webseite lädt zudem schneller und schafft Vertrauen für die Besucher.