Erinnern Sie sich noch an das Krümelmonster aus der Sesamstraße? Ohne seine „Cookies“ ging bei ihm gar nichts, und daher ist sein renintenter Ausruf „Ich will Kekse!“ zum geflügelten Wort geworden. Vielleicht stand er ja Pate, denn auch anwenderfreundlichen Online-Anwendungen brauchen diese „Kekse“. Doch ähnlich wie beim blauen Monster scheinen Cookies auch auf anderer Ebene süchtig zu machen. Schließlich macht die Online-Werbeindustrie mit Hilfe von Tracking-Cookies einen Milliarden schweren Sport daraus, ohne ausdrückliche Erlaubnis der User möglichst viele zusätzliche Daten sammeln zu sammeln, damit diese an Dritte verkauft werden können. Dazu bedienen sie sich eines Tricks: Bei der Cookie-Abfrage durch den Banner ist die User-Zustimmungen in der Voreinstellung bereits angeklickt. Wegen dieses Mißbrauchs hat der EuGH nun ein Machtwort gesprochen – und sorgt für ordentlich Verwirrung unter den Website-Betreibern und führt zum Schwanengesang bei Online Marketing Anbietern.
Wie kam es dazu?
Die Verbraucherzentrale ging mit einer Klage gegen einen Gewinnspielanbieter vor, weil dieser auf die beschriebene Weise Daten über das Surfverhalten seiner Nutzer sammelte, auswertete und an Werbevermarkter verkaufte. Die Klage landete beim Bundesgerichtshof, welcher sich seinerseits ratsuchend an den Europäischen Gerichtshof mit drei Fragen wandte:
- Ist eine Voreinstellung zur Zustimmung (gesetztes Häkchen) als Einwilligung ausreichend?
Antwort: nein. - Betrifft die Cookie-Einstellung nur die personenbezogenen Daten bzw. sind nur diese relevant?
Antwort: nein. - Welche Mindestanforderungen müssen Cookies erfüllen?
Anwort: Angaben zum Datenschutz, über die Funktionsdauer und wer Zugriff hat, sind Pflicht.
Worum geht es?
Zunächst halten wir fest: Wie Sie sehen, betreten wir mit dem aktuellen „Cookie-Urteil“ des EuGH kein rechtliches Neuland. Gemäß DSGVO darf man ohne ausdrückliche Zustimmung des Users keine personenbezogenen Daten sammeln oder weitergeben. Das gilt auch für C0okies. Eine „Opt-out“-Einstellung war und ist in diesem Fall schon immer unzulässig. Das gilt auch und besonders für sogenannte Tracking-Informationen, welche Betreiber von werbefinanzierten Portalen mit Hilfe von Cookies eingesammeln. Diese Informationen inklusive detaillierter Bewegungsprofile der Nutzer dürfen sie an Dritte ohne Zustimmung der Betroffenen nicht weitergeben. Damit wird ein Milliarden Geschäft erschwert, und das haben die Werbervermarkter nicht so gern.
Doch wie kamen diese Anbieter überhaupt auf die irrige Idee, dass der Nutzer dem automatisch zustimmt, wenn er ein Web-Angebot nutzt? Wir erinnern uns: Man darf Daten abfragen und speichern, wenn diese zur Erfüllung eines Vertrages notwendig sind, aber man muss darauf hinweisen bzw. dokumentieren, wie man damit umgeht, welche Fristen gelten etc. Die (bewusst?) falsche Annahme der Betrieber: Ein User stimmt bei der Nutzung eines „Kostenlos“-Portals automatisch zu und weiss, dass er statt mit Geld mit seinen Daten bezahlt. Die Betreiber gehen also davon aus, dass es sich hierbei um eine für die Vertragserfüllung (welche eigentlich) notwendige Datensammlungen handelt. Das hat der EuGH in seinem Urteil nachdrücklich verneint. Genau so unzulässig ist es übrigens, den User von der Nutzung der Webseite einfach auszuschließen, wenn er aktiv die Zustimmung verweigert.
Sind alle Cookies ab sofort zustimmungspflichtig?
Die Antwort lautet: NEIN. Aber Sie müssen auf die Verwendung von Cookies unter Einhaltung der Mindestanforderungen hinweisen: Datenschutz, Speicherdauer, Zugriff. Mit dem EuGH-Urteil ist der sogenannte Tracking-Cookie gemeint, der bewusst für das Auswerten von Bewegungsdaten eingesetzt ist. Das betrifft natürlich alle Website-Analysewerkzeuge. Daher sollten Sie darauf achten, dass Sie hier „Opt-in“, also das bewusste Einschalten, eingestellt haben.