Die Einwilligung zur Nutzung von Cookies

Wie man die Cookies und deren Einwilligung richtig steuert und klar darstellt

 

Der Europäische Gerichtshof (EuGH) hat sich in einem kürzlich publizierten Urteil (C-673/17) mit Cookies beschäftigt und klargestellt, dass eine freiwillige Einwilligung notwendig ist. Das Gericht stützte sich dabei auf Art. 5 Abs. 3 der ePrivacy-Richtlinie (EU Richtlinie 2002/58 oder auch Cookie-Richtlinie) sowie auf die Einwilligungsanforderungen gemäss der DSGVO. «Cookies» wird im Urteil als Sammelbegriff verwendet, aber schlussendlich sind damit natürlich alle Technologien gemeint, welche Daten auf Endgeräten von Nutzern speichern und auswerten.

Das hier betroffene Unternehmen Planet49 GmbH dürfte jedoch kein Einzelfall sein. Viele Webseiten setzen heute Cookies nicht rechtskonform ein, insbesondere liegt oft eine unzureichende Einwilligung zur Datenverarbeitung vor. Im Nachgang des EuGH – Urteils wurde bereits die Fluggesellschaft Vueling von der spanischen Aufsichtsbehörde wegen einer nicht rechtskonformen Cookie Policy gebüsst.

Sollte eine Schadenersatzklage bezüglich eines Trackings nach einem Webseitenbesuch ohne entsprechende Einwilligung erfolgreich sein, könnte es für Unternehmen schnell auch zivilrechtlich teuer werden. Unabhängig von privaten Klagen drohen Unternehmen Verfahren und Bussen von Aufsichtsbehörden.

Das Urteil sollte zum Anlass genommen werden, die eigene Webseite zu prüfen und die Cookie-Einstellungen gegebenenfalls anzupassen.

Personendaten

Der Schutz erstreckt sich auf alle in einem Endgerät gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt und erfasst weitere Daten wie bspw. „Hidden Identifiers“ oder ähnliche Instrumente. Nicht abschließend geklärt ist, ob Cookies, die der reinen technischen Abwicklung dienen oder ausschließliche Analyse Cookies ebenfalls darunterfallen. Bei einer engen Interpretation des Urteils würden diese ebenfalls darunterfallen. Die Frage bleibt weiterhin umstritten. Experten gehen immer noch davon aus, dass unbedingt erforderliche Cookies wie bspw. Warenkorb-Cookies nicht unter die Regeln fallen, welche eine Einwilligung des Nutzers voraussetzen. Solche Cookies sind nämlich erforderlich, um den gewünschten Dienst zu erbringen und fallen somit gemäss Art. 5 Abs. 3 ePrivacy-Richtlinie nicht unter die Einwilligungspflicht.

Einwilligung

Mittlerweile sollten alle Webseitenbetreiber wissen, dass sie ihre Besucher über die Nutzung von Cookies entsprechend informieren müssen und somit ein Cookie-Banner oder Popup unumgänglich ist (obwohl es alle Beteiligten nervt). Die Informationspflichten gelten bereits unabhängig von der Einwilligung. Eine Einwilligung muss sodann freiwillig, unmissverständlich und in informierter Weise erfolgen. Werden die Besucher nicht ausreichend informiert, kann schon keine rechtskonforme Einwilligung mehr erfolgen. Die Informationen müssen klar verständlich und detailliert genug sein, um es dem Besucher zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. Außerdem sollten sogenannte Third-Party Cookies gesondert erläutern werden. Damit sich ein Cookie-Banner nicht über die ganze Bildschirmfläche erstreckt, können die Informationen auf das Wesentliche beschränkt werden, sofern die detaillierten Informationen über einen oder mehrere direkte Hyperlinks erreichbar sind. Eine Auflistung aller Cookies (wie im nachfolgenden Beispiel) ohne weitere Beschreibung des Zwecks ist daher wohl ungenügend. Neben dem Verantwortlichen sind beispielsweise die Kategorien der Daten und der Empfänger zu nennen.

Beispiel 1 - Legitimes Interesse

Des Weiteren ist gemäss DSGVO (Rz. 32) eine eindeutige Handlung zur Einwilligung erforderlich, mit welcher ein Webseitenbesucher freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich seine Einwilligung erteilt. Untätigkeit wird nicht als eine Einwilligung gewertet. Der Hinweis, dass durch die Weiternutzung der Webseite dem Einsatz von Cookies zugestimmt wird, ist daher nicht mehr ausreichend (siehe nachfolgendes Beispiel).

 

Beispiel 2 - Cookie-Richtlinie

Ebenfalls nicht zulässig ist gemäß DSGVO die Verwendung eines bereits angekreuzten Kästchens.

Der EuGH hat dies nochmals bestätigt und hielt im Urteil fest, „dass keine wirksame Einwilligung im Sinne dieser Bestimmungen [E-Privacy-Richtlinie, alte Datenschutzrichtlinie sowie DSGVO] vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, dass der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (Rz. 65).“

Das nachfolgende Beispiel wäre somit ebenfalls nicht mehr zulässig, da alle Kästchen bereits vorab ausgewählt sind und ein Besucher der Webseite diese aktiv abwählen müsste. Selbstredend ist eine einfache Opt-Out Lösung ebenfalls nicht zulässig.

 

Beispiel 3 - Datenschutzerklärung und Cookie Policy

Beispiel 4 - Cookie Einstellungen

Es gilt ferner zu bemerken, dass bei einer Datenverarbeitung, bei welcher keine Daten auf dem Endgerät gespeichert werden und somit nicht unter die E-Privacy Richtlinie fallen, neben der Einwilligung alle Rechtfertigungsgründe gemäß Art. 6 DSGVO in Frage kommen.

Auswahlmöglichkeiten

Wie bereits oben ausgeführt, ist die Verwendung eines bereits angekreuzten Kästchens nicht mehr zulässig. Es wurde ebenfalls bereits ausgeführt, dass ein Webseitenbetreiber darüber zu informieren hat, ob Dritte Zugriff auf die Cookies erhalten bzw. Cookies von Dritten gesetzt werden.

Nun finden sich mittlerweile auf diversen Webseiten Cookie-Banner, welche verschiedene Kategorien von Cookies anzeigen. So kann ein Besucher bspw. folgende Kategorien vorfinden: Notwendig, Statistik, Komfort, Marketing, Personalisierung oder Soziale Medien.

Je nach Ausgestaltung sind die Kategorien bereits markiert, angekreuzt oder sonst wie aktiviert. Gemäß den obigen Ausführungen ist eine solche Voreinstellung nicht mehr zulässig. Für einen Webseitenbetreiber stellt sich daher die Frage, ob er bereits im Banner eine individuelle Auswahl zulassen möchte oder eben nicht. Der EuGH hat sich nämlich nicht dazu geäußert, ob einem Webseitenbesucher bereits auf dem Banner eine granulare Auswahlmöglichkeit geboten werden muss oder nicht. Die Aufsichtsbehörden fordern zwar eine granulare Einwilligungsmöglichkeit, sie Äußern sich aber nicht konkret dazu, ob dies schon auf der ersten Ebene zu geschehen hat. Bereits auf der ersten Ebene eine umfassende Auswahl zu geben, erscheint nicht besonders nutzerfreundlich. Ob auf einer ersten Ebene allen Cookies als Bündel zugestimmt werden kann, ist somit weiterhin nicht abschließend geklärt. Unbestritten ist, dass auf einer weiteren Ebene dem Nutzer weitere Informationen zu der allgemeinen Verwendung von Cookies (Cookie Policy) gegeben werden müssen. Daneben sollten die verschiedenen Kategorien von Cookies erläutert werden. Viele Unternehmen sind dazu übergegangen auf einer tieferen Ebene dem Nutzer eine detaillierte Auswahl zu ermöglichen. Diese weitere Ebene sollte jedoch eine nutzerfreundliche Erläuterung zu den Cookies sowie deren Zwecke enthalten und nicht nur eine Auflistung von verschiedenen Cookies beinhalten, die an oder abgewählt werden können.

Ein Webseitenbetreiber hat somit weiterhin die Wahl, er kann dem Besucher bereits im Banner eine Auswahlmöglichkeit bietet oder dies erst auf einer weiteren Ebene ermöglichen. Beide Varianten bieten Vor- und Nachteile. Ein Banner mit einem simplen „Ok“-Button ist aber nicht ausreichend, dem Besucher muss eine Wahlmöglichkeit geboten werden.

 

Nachfolgende Beispiele geben eine Idee zur Umsetzung:

 

Beispiel 5 - Cookie Einstellungen Auswahl bestätigen
mit Kästchen

 

Beispiel 6 - Cookie-Einstellungen alle Bestätigen
ohne Kästchen

Beispiel 7 - Zweite Ebene Einstellungen
untere Ebene

Beispiel 8 - Detaillierte Ebene Einstellungen für Cookies
Detaillierte Ebene

 

Es gilt zudem noch zu bemerken, dass sich im Moment die ePrivacy-Richtlinie immer noch in Revision befindet und neu als ePrivacy-Verordnung verabschiedet werden soll. Die definitive Version ist leider noch nicht beschlossen, allenfalls wird es nochmals zu Verschärfungen kommen. Es ist insbesondere vorgesehen eine striktere Trennung von First-und Third-Party Cookies vorzunehmen.

Nudging

Beim Nudging soll eine Person durch die Beeinflussung des unbewussten Verhaltens zu einem gewünschten Verhalten gebracht werden. Die „gewünschte Auswahl“ wird durch eine attraktivere oder prominentere Darstellung in den Vordergrund gerückt, um so die Auswahl in die gewünschte Richtung zu beeinflussen. Bei den Cookie-Einstellungen wird dies oft eingesetzt, indem die gewünschte Einstellung farblich oder in der Größe hervorgehoben wird. Im aktuellen Urteil hat sich das Gericht nicht zum Nudging geäußert. Der Einsatz solcher Methoden liegt somit im Graubereich, da die Gefahr besteht, dass ein Webseitenbetreiber damit nicht mehr ausreichend transparent und fair agiert. Das erste hier aufgeführte Beispiel befindet sich wohl weiterhin im Graubereich.

Beispiel 9 - Cookie Einstellungen erlauben

Das nachfolgende Beispiel könnte in Zukunft als unzulässig beurteilt werden, da damit das – vom EuGH bestätigte – Verbot des voreingestellten Ankreuzkästchen umgangen würde. Obwohl die Häkchen nicht gesetzt wurden, willigt der unaufmerksame Nutzer in eine umfassende Nutzung ein. Gerade wenn man bedenkt, dass heute die meisten Besucher von Cookie Bannern genervt sind und diese nur flüchtig lesen, ist davon auszugehen, dass viele die umfassende Einwilligung überlesen werden.

Beispiel 10 - Cookie Einstellungen mit wenigen essentiellen Auswahlmöglichkeiten

Eine kürzlich veröffentliche Studie hat die Umsetzung von Cookies genauer analysiert. Durch die Anpassung der Position, der Schaltfläche, der Formulierung, etc. wurde aufgezeigt, dass die Zustimmungsrate stark variieren kann. Es hat sich gezeigt, dass bei der nutzerfreundlichsten Ausgestaltung gerade noch 0,1% der Nutzung Third-Party Cookies zustimmen. Es ist daher kein Wunder, dass Webseitenbetreiber sich bei der Umsetzung sehr schwertun. Interessierten Lesern sowie Webentwicklern sollten sich daher die Studie einmal genauer anschauen.

Zustimmung als Voraussetzung zur Nutzung

Da Cookies einer Einwilligung bedürfen, darf die Verarbeitung erst erfolgen, wenn ein Webseitenbesucher seine Präferenzen gewählt hat. Werden Cookies bereits beim Aufruf der Webseite gesetzt, besteht ein Verstoß gegen die DSGVO und kann entsprechend gebüßt werden. Es muss somit eine technische Verknüpfung mit der Einwilligungsfunktion und dem Setzen der Cookies bestehen. Außerdem muss sichergestellt werden, dass die Cookies nur gemäß den gesetzten Präferenzen ausgespielt werden.

Exkurs: Plugins für Soziale Medien

Erst kürzlich hat sich der EuGH mit Social Plugins bzw. dem Social Media Share Button beschäftigt.

Eine Möglichkeit wäre es, auf die Verwendung von Social Media Plugins auch im Cookie Banner hinzuweisen und die Einstellungen bereits dort aufzuführen. Aus Transparenzgründen ist trotzdem eine Opt-In Variante (bspw. Zwei-Klick-Lösung) bei der erstmaligen Nutzung eines Share Buttons zu empfehlen. Die Einwilligung wird somit bei der ersten Nutzung durch eine aktive Handlung eingeholt. Die Social Media Plugins sollten daher bis zu diesem Zeitpunkt deaktiviert bleiben.

Nach der Zustimmungsabfrage

Nach dem ersten Besuch sollten die Auswahl und Einwilligung zu der Verwendung von Cookies gespeichert werden. Die Einwilligung muss der Webseitenbetreiber nachweisen können, die Einwilligung muss überprüfbar sein. Die Einwilligung sollte daher geloggt werden. Für die Aufbewahrungsdauer sowie für die Gültigkeitsdauer einer Einwilligung gibt es keine genaue gesetzliche Regelung. Die Daten dürfen jedoch nur solange notwendig genutzt werden. Ebenfalls ist über die Aufbewahrungsdauer zu informieren oder, falls dies nicht möglich ist, sind die Kriterien zur Festlegung dieser Dauer zu nennen.

Die Cookies dürfen somit nicht eine unbegrenzte Laufzeit haben und Besucher einer Webseite sollten nach einer gewissen Zeit erneut um eine Einwilligung ersucht werden. Die Laufzeit von Cookies sowie die erneute Einwilligungsabfrage sind daher aufeinander abzustimmen.

Ebenfalls unzulässig ist das Vorgehen bei einer Ablehnung, diese nicht zu speichern und bei jedem neuen Besuch erneut, um eine Einwilligung zu ersuchen. 

Widderruf oder Anpassung der Präferenzen

Die DSGVO gibt der betroffenen Person die Möglichkeit die Erlaubnis (Einwilligung) zur Datenverarbeitung jederzeit zu widerrufen. Es muss daher auch ein Widerruf zur Nutzung von Cookies möglich sein. Der Widerruf muss dabei technisch mit den Cookies so verknüpft werden, damit danach eine Datenverarbeitung gestoppt wird. Die Anpassung der Cookie-Präferenzen muss auf der Webseite einfach auffindbar sein und darf nicht erst nach mehreren Klicks auf einer unteren Ebene abrufbar sein. Ein einfacher Link auf die Datenschutzerklärung eines Drittanbieters genügt ebenfalls nicht.

Exkurs: Cookie Wall

Obwohl die Planet49 GmbH die Teilnahme am Gewinnspiel von der Mitteilung von Informationen zu Marketingzwecken abhängig machte, hat sich der EuGH leider nicht konkret zur Frage geäussert, ob der Besuch einer Webseite von der Akzeptierung von Cookies abhängig gemacht werden darf («Cookie Wall»). Es darf wohl davon ausgegangen werden, dass ein solches Vorgehen in den meisten Fällen gegen das Koppelungsverbot verstossen würde und nicht zulässig ist. Juristen sind sich jedoch noch uneinig, wo die Grenze zu ziehen ist. Die französische und deutsche Aufsichtsbehörde sprechen sich denn auch gegen die Zulässigkeit einer «Cookie Wall» aus und die englische Aufsichtsbehörde hält die Zulässigkeit für unwahrscheinlich, schliesst sie aber nicht komplett aus. Der Generalanwalt hat in seinen Schlussanträgen eine «Cookie Wall» ebenfalls nicht im vornherein ausgeschlossen (Rz. 97 – 94). Auf jeden Fall ist eine Einzelfallbeurteilung notwendig, wenn man eine «Cookie Wall» einbauen möchte oder nicht.

Cookie Nutzung in der Schweiz

Für Schweizer Webseitenbetreiber hat das Urteil nur indirekte Auswirkungen. Das EU Recht kommt nur zur Anwendung, wenn man unter die DSGVO fällt. Dies ist der Fall, wenn sich das Angebot der Webseite auch an Einwohner aus der EU richtet. Eine vertiefte Erläuterung zu diesem Thema findet sich in meinem früheren Artikel.

Es ist jedoch davon auszugehen, dass viele Webseitenbetreiber das EU Recht ebenfalls einhalten müssen.

 

Kommt nur Schweizer Recht zur Anwendung gilt es Art. 45c FMG einzuhalten. Das Schweizer Recht ist in Bezug auf Cookies bis anhin weniger strickt. Die Bearbeitung von Daten auf fremden Geräten ist nur erlaubt, wenn der Benutzer über die Bearbeitung, den Zweck sowie die Ablehnungsmöglichkeit informiert wird. In der Schweiz ist somit weiterhin ein Opt-Out möglich. Der Hinweis in Form eines Cookie-Banners ist trotzdem sinnvoll. Die weiteren Informationen können anschließend in der Datenschutzerklärung bereitgestellt werden. Es sollte darin über die Verwendung von Cookies entsprechend informiert werden und zusätzlich ist ein Hinweis bezüglich der Möglichkeit die Cookies Einstellungen über die Browsereinstellungen anzupassen anzubringen. Eine vorgängige Einwilligung ist nicht notwendig, es genügt ein Hinweis auf die Möglichkeit eines Opt-Outs.

Drei Elemente

Im Ergebnis benötigt eine Webseite nun drei Elemente bezüglich Cookies, und zwar;

  • Cookie – Hinweis (bspw. Banner oder Popup)
  • Cookie – Tool, um die Präferenzen zu wählen und anzupassen
  • Cookie – Policy

Die obigen Hinweise stellen keine Rechtsberatung dar. Bei der Verwendung von Cookies ist immer eine Einzelfallbeurteilung notwendig und konkrete Fragen sollten mit einem Experten geprüft werden.

 

Weiterführende Links:

Gemischtes Echo auf Cookie-Entscheidung des EuGH

DSK: Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

ICO Guidance on the use of cookies and similar technologies

Cookie Notice Template

IAPP:  ICO, CNIL and German DPA revised cookies guidelines: Convergence and divergence

Yves Gogniat ist Experte für Informations- und Technologierecht mit den Schwerpunkten Datenschutz und IT-, Vertrags- und Gesellschaftsrecht. Er verfügt über ein breites Wissen in den Bereichen Blockchain-Technologie, Krypto-Währungen und hat seine Erfahrungen in verschiedenen Kanzleien sowie in der öffentlichen Verwaltung gesammelt.

Die Kommentarfunktion ist geschlossen.