Nach dem neuen EuGH-Urteil werden Cookie-Einwilligungs-Banner und Detailinformationen nun endgültig Pflicht! Der Europäische Gerichtshof (EuGH) hat sich am 1. Oktober 2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen (alt. „Cookie-Opt-Ins”) ausgesprochen. Wie sie damit umgehen, verraten unsere 7 Handlungsempfehlungen.
1.
Analysieren sie, ob und welche Cookies (und für welchen Zweck) beim Aufruf Ihrer Website im Browser gesetzt werden. (Tipp: Ghostery)
2.
Unterscheiden Sie die Cookies zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.
3.
Bei den Session-Cookies schauen Sie sich an, ob Sie diese wirklich benötigen. Viele Spracheinstellungs-Session-Cookies sind z.B. sehr „90er“ – also altmodisch – und werden heute meist nicht mehr benötigt. Es gilt immer, wenn Sie diesen nicht wirklich brauchen: weg damit! Session-Cookies, die Sie z.B. für die Warenkorb-Steuerung brauchen, können als unbedingt erforderlich gelten. Für diese benötigen Sie keine Einwilligung. Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können i.d.R. als „vom Nutzer verlangt“ gelten und daher ohne Einwilligung verwendet werden.
4.
Bei den Persistent-Cookies wird es dann schwieriger. Hier sollten Sie genau schauen, welche Sie davon benötigen und ob dieser unbedingt erforderlich ist. Hier ist die Rechtslage extrem unklar.
Grundsätzlich gilt: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und Sie daher eine Einwilligung benötigen. Der Gegensatz gilt aber auch: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.
5.
Wenn Sie eine Einwilligung als Rechtsgrundlage für Cookies benötigen, müssen Sie sicherstellen, dass das jeweilige Cookie erst gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.
6.
Vor einer Einwilligung müssen Nutzer über den Zweck des Cookies und die Empfänger von Daten informiert werden. Außerdem muss die Dauer der Speicherung dargelegt sein. Und es muss Angaben dazu geben, wer „Verantwortlicher“ für die Verbreitung der Cookie-Daten ist.
ACHTUNG: Das sind Sie häufig nicht alleine, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam mit Ihnen verantwortlich. Das ist grundsätzlich noch etwas unklar. Empfehlen würden wir aber, mit den jeweiligen Anbietern über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen.
7.
Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen eine Bedingung sind. Das heißt, dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werden würden. Dagegen sprechen aber natürlich auch Argumente. Das Ganze ist also extrem „wackelig“. Wir raten ihnen hier aktuell, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.
