EuGH-Urteil zur Cookie-Nutzung
Internetnutzer müssen aktiv der Verwendung sogenannter Cookies zustimmen. Der Europäische Gerichtshof in Luxemburg stellte klar, dass eine automatische voreingestellte Zustimmung nicht genügt. Im konkreten Fall ging es um einen deutschen Gewinnspielanbieter. In der Rechtssache C-673/17 urteilte der EuGH, dass eine voreingestellte Zustimmung zum Speichern von Daten auf dem Rechner des Nutzers unzulässig sei. Laut dem Urteil macht es auch keinen Unterschied, ob es sich bei den gespeicherten Nutzer-Informationen um personenbezogene Daten handelt oder nicht. Das EU-Recht solle den Nutzer „vor jedem Eingriff in seine Privatsphäre“ schützen. Dies betrifft in der Konsequenz auch die Nutzung von Tracking-Systemen, wie z. B. Google Analytics, da auch hier ein Cookie gesetzt wird.
Für Ihre Webseite sollten Sie daher prüfen:
Nutzen Sie Cookies? Wenn ja, welche und zu welchem Zweck?
Unterscheiden Sie dabei zwischen Session-Cookies und Persistent-Cookies, die eine gewisse Laufzeit haben.
Session-Cookies
- Überprüfen Sie, welche wirklich für Ihre Webseite benötigt werden. Alle anderen können gelöscht werden.
- Session-Cookies, die z. B. für die Warenkorb-Funktion eines Online-Shops benötigt werden, sind für die Funktion der Webseite unbedingt erforderlich und benötigen daher keine Einwilligung.
- Auch “Remember-Me”-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können in der Regel als “vom Nutzer verlangt” gelten und benötigen daher keine zusätzliche Einwilligung.
Persistente Cookies
- Im Grundsatz gilt: Wenn Ihre Webseite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und daher eine Einwilligung benötigt wird.
- Im Umkehrschluss gilt aber auch: Wenn ohne das Cookie die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.
Wenn eine Einwilligung des Nutzers für die Verwendung des Cookies notwendig ist, muss technisch sichergestellt werden, dass das entsprechende Cookie erst nach der Einwilligung des Nutzers gesetzt wird.
Nutzer müssen entsprechend der DSGVO über den Zweck des Cookies und Empfänger der Daten informiert werden. Außerdem muss die Speicherdauer und der Verantwortliche für die Datenverarbeitung benannt werden.
Sofern Sie Cookies von Werbeunternehmen, sog. Tracking-Cookies, verwenden, so ist das Werbeunternehmen gemeinsam mit Ihnen verantwortlich (“Joint Controllership”). Hierfür ist nach Art. 26 DSGVO eine Vereinbarung zu treffen.