EuGH-Urteil: Keine Einwilligung, keine Cookies. Opt-In Pflicht für Cookies

| Lesedauer: 6 Minuten
Der Europäische Gerichtshof hat mit seinem Urteil im Oktober 2019 wichtige Regeln zum Umgang mit den hoch umstrittenen Cookies festgelegt. Einige befürchten in diesem Zusammenhang den „Tod des Online Marketings“, während Datenschützer von einem Triumph sprechen. Fakt ist, wer in Zukunft Cookies verwenden möchte, der kann auf einen ausdrücklichen Opt-in der Nutzer nicht verzichten. Die Bezeichnung "Opt-In" steht für ein ausdrückliches Zustimmungsverfahren im Online-Marketing. Consent (= Zustimmung) Management ist ab 2020 damit unverzichtbar. Wir fassen die neuen Anforderungen zusammen und zeigen, was Webseitenbetreiber jetzt beachten müssen. Vor allem liefern wir Euch eine Antwort auf die Frage, wie ihr die begehrte Einwilligung am besten bekommt. Dieser Artikel ersetzt natürlich keine Rechtsberatung durch einen Anwalt, sondern dient als Überblick zur Cookie-Thematik.

Was sind Cookies?

Cookies sind keine „Kekse“, sondern kleine Dateien, die von Internetseiten auf den Rechnern ihrer Besucher abgelegt werden. Beim erneuten Besuch einer Webseite können mit Hilfe der abgelegten Cookies die Nutzer und ihre Einstellungen schneller wiedererkannt werden. Daran liegt es, dass eine Webseite sofort meinen Besuch registriert, mich quasi persönlich begrüßt, indem sie mir die richtige Sprache anzeigt oder meinen Namen bereits in ein Formular gesetzt hat. Dadurch erhöht sich auf jeden Fall der Komfort, denn ich muss nicht jedes Mal meine Daten eingeben. Das ist ganz besonders bei Online-Shops oder bei einem Online-Lieferservice ein Vorteil.

Zusammengefasst bedeutet das: Cookies machen das Surfen komfortabler und schneller, sie sind – wie von Datenschützern kritisch betrachtet – aber auch die Voraussetzung von personalisierter Werbung.
Habe ich vor Kurzem bei einem Pizzaservice bestellt, tauchen auf allen möglichen Seiten Werbebanner auf und animieren mich, wieder Pizza zu bestellen. Oft werden uns auch Werbeanzeigen von einem bestimmten Autohersteller angezeigt nachdem wir zuvor nach diesem bei Google gesucht haben. Das Benutzerverhalten, und somit meine Tätigkeit im Netz, wird mit Hilfe von Cookies verfolgt und so bekomme ich stetig maßgeschneiderte Werbung „serviert“. Und ebenso macht es der Lieferdienst. Hast Du beim Lieferservice bei der letzten bestellung eine Pizza bestellt und eben keinen Hamburger, dann zeigt das Werbebanner des Anbieters meistens bildlich eine Pizza in Kombination mit der Aufforderung „Sparalarm. 20% auf Deine nächste Pizza“.

Es gibt unterschiedliche Cookies, die beiden wichtigsten Kategorien sind:

  1. Notwendige Cookies, die die einwandfreie Funktionalität einer Website sicherstellen. Es sind Cookies im Interesse des Nutzers. Das sind insbesondere sogenannte Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Website verwendet werden. 
  1. Marketing Cookies, die helfen pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und damit personalisierte Werbeanzeigen zu platzieren. Das geschieht durch sogenannte Tracking-Cookies fürs Retargeting und Remarketing. Google Analytics nutzt ebenfalls Tracking-Cookies, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise dessen Surfverhalten zentral zu erfassen. Umstritten sind laut Datenschützern vor allem die Marketing-Cookies.

Was ist der Inhalt des im Oktober 2019 gefällten Urteils des EuGH?

Für die Verwendung von Cookies wird ab sofort eine aktive Einwilligung des Internetnutzers benötigt. Das betrifft alle Webseitenbetreiber, also Unternehmen, Selbstständige oder Vereine, die eine Webseite betreiben. Auch uns als Agentur für Kommunikation und Marketing, einfach jeden.

Für das Einholen des Cookie-Einverständnisses reicht es nicht mehr aus, vorab gesetzte Häckchen pauschal bestätigen zu lassen. Das bedeutet, dass die meisten sog. Cookie-Banner verändert werden müssen. Das galt bei der Urteilsverkündung Anfang Oktober 2019 übrigens für den Europäischen Gerichtshof selbst. Somit musste auch dieses Cookie-Banner ausgetauscht werden.

Du kennst sicherlich den Satz „Diese Webseite verwendet Cookies, um Inhalte zu personalisieren, …“. Diese Meldung erscheint relativ häufig, wenn wir eine Webseite zum ersten Mal aufrufen. Zudem erscheint häufig ein Button mit der Aufschrift „Ja, ich stimme zu“. Erst wenn dieser betätigt wird, gelangen wir zur Webseite. Diese Art von Cookie, bei dem die Zustimmung an die Nutzung der Webseite gekoppelt ist, ist mit Wirkung des Urteils vom EuGH nicht mehr rechtskonform.

Was bedeutet das EuGH-Urteil für Dein Unternehmen?

Alle nicht unbedingt erforderlichen Cookies werden zukünftig Opt-in-pflichtig. Das bedeutet, der User muss aktiv zustimmen, dass Cookies zu Marketingzwecken oder Cookies von Dritten (z.B. Google Analytics, Google Fonts, Youtube, etc.) gesetzt werden dürfen. Nur nach Einwilligung des Users werden diese Cookies auf seinem Rechner abgelegt.
Die bis dato häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” sind laut EuGH-Urteil nicht ausreichend und in der Folge abmahnfähig. Die Weiternutzung einer Webseite stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar.

Nutzt Deine Webseite Google Analytics oder ein anderes Analyse-Tool, wie zum Beispiel MATOMO (ehemals Piwik), dann muss der Nutzer seine Zustimmung geben. Hier liegt das größte Risiko für das Online Marketing der Unternehmen. Bis zum Urteil des EuGH im Oktober hatten Unternehmer sich auf das berechtigte Interesse als Unternehmer berufen. Das wird mit Bestätigung des BGH unmöglich.

Kurz: Die Banner auf den Internetseiten müssen so verändert werden, dass keine Pauschalzustimmung des Users zu den vorab gesetzten Cookies eingeholt wird. Stattdessen müssen die User aktiv in die in die Nutzung von Cookies zustimmen – ausgenommen davon sind diejenigen Cookies, die für die störungsfreie Nutzung der Website nötig sind. Das unten abgebildete Beispiel unterscheidet zwar nach funktionellen Cookies und denen, die die Leistungsfähigkeit der Website untermauern. Der User sieht aber nicht auf den ersten Blick, welche Dienste hier verwendet werden. Das ist rein rechtlich in Ordnung, weil diese Hinweise in der Datenschutzerklärung genannt werden. Eine transparentere Darstellung bieten hier definitiv echte Cookie Consent Tools, die entsprechend der oben genannten Kategorien „Funktion“, „Analyse“, „Leistung“ alle einzelnen Cookies und den Ursprung darstellen. Mit Hilfe dieser anwendungsähnlichen Cookie Consent Tools, kann jeder Nutzer für jedes einzelne Cookie entscheiden, dieses zuzulassen.

Wie kann eine Cookie-Einwilligung eingeholt werden?

Derzeit kann eine Cookie-Einwilligung praktisch nur mit sogenannten „Cookie-(Einwilligung/Opt-In) -Bannern” eingeholt werden oder im Rahmen einer Registrierung. Die Einwilligung muss ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen.

Dabei muss der Nutzer Informationen über die

  • eingesetzten Anbieter,
  • Arten und Funktionsweisen sowie
  • die Speicherdauer der Cookies erhalten.

Die Datenschutzerklärung und das Impressum sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein. Wichtig ist aus unserer Sicht das Kundenvertrauen. Durch Transparenz werden Marken stark. Sei transparent und informiere Deine Kunden darüber, welche Daten von wem und zu welchem Zweck verarbeitet werden. Der FC Bayern München ist hier ein positives Beispiel. Der User erhält über das Cookie Consent Tool Zugriff auf alle Cookies: auf wesentliche Cookies, die die Funktionalität sicherstellen, Zugriff auf die Cookies, die Statistiken bedienen und Zugriff auf diejenigen, die Personalisierung ermöglichen.

Was Du jetzt tun solltest

Auch wenn die rechtlichen Anforderungen noch nicht klar sind, empfehlen wir allen Webseitebetreibern und Unternehmen folgende Schritte:

  1. Handel mit Ruhe und Bedacht
    Schiebe das Thema nicht auf die „lange Bank“. Das Urteil muss zwar noch von den deutschen Behörden bestätigt werden, aber das kann schneller gehen als man denkt. In diesem Zusammenhang ist eine hektische Umsetzung häufig der Grund für Fehler, die es zu vermeiden gilt.
  2. Technische Lösung suchen
    Recherchiere die technischen Lösungen am Markt: Welche Anbieter gibt es? Wird eine rudimentäre oder professionelle Lösung benötigt? Achte auf die Gestaltungsmöglichkeit des Cookie-Einwilligungs-Tools (hier: Cookie Consent Tool). Das Cookie-Consent-Tool sichert das rechtskonforme Einholen der Einwilligungen und steigert im Optimalfall die Opt-In-Raten. Im Fokus steht das störungsfreie Benutzererlebnis durch maßgeschneidertes Design – abgestimmt auf deine Webseite. Das Ziel eines jeden Webseitenbetreibers ist es, Cookies weiter setzen zu dürfen und damit die Daten nutzen zu können.
  3. Die Bestandsaufnahme der verwendeten Cookies
    Überprüfe, welche Cookies aktuell auf der Webseite verwendet werden und welche in der Zukunft noch verwendet werden müssen. Unsere Empfehlung lautet hier: Weniger ist mehr. Reduziere die Cookies auf diejenigen, die du wirklich brauchst.

Wir bieten unseren Kunden ein professionelles Cookie-Consent-Tool, das von den ganz Großen verwendet wird, wie zum Beispiel dem FC Bayern München, der Commerzbank oder von T-Mobile. Unser Tool schützt Deine Werbeeinahmen, indem wir gemeinsam Datenschutz zu einem Wettbewerbsvorteil machen und somit hohe Opt-in Raten erzielen. Im Fokus steht dabei, die gesetzlichen Anforderungen in Einklang mit Deiner Marketingstrategie zu bringen.

Du hast Fragen zur Cookie-Einwilligung oder anderen Themen?
Sprich uns an, wir helfen Dir gerne.