EuGH: Cookies dürfen nur noch mit Einwilligung gesetzt werden

EuGH: Cookies dürfen nur noch mit Einwilligung gesetzt werden

Der EuGH beschloß nun endgültig, dass Cookie-Einwilligungen Pflicht sind.

Die bis dato häufig verwendeten Einwilligungsbanner „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” sind damit nicht mehr ausreichend.

Damit haben sich die Datenschutzbehörden mit der Opt-In-Lösung durchgesetzt. Allerdings bleiben noch viele Punkte offen.

Insbesondere ist nicht geklärt, ob Nutzer auch einzelnen Cookie-Anbietern oder zumindest Cookie-Gruppen (z.B. “Onlinemarketing”) aktiv zustimmen müssen.

Sollten sich Datenschützer auch mit dieser Ansicht durchsetzen, dann wäre die Onlinemarketingbranche von heute auf morgen iher Datengrundlage beraubt. Denn kaum ein Nutzer klickt die einzelnen Checkboxen an, wenn er das Banner mit einem Klick schließen kann.

In dem verlinkten Beitrag beantworte ich daher die dringendsten Fragen zum Urteil sowie zur Ausgestaltung von Cookie-Einwilligung-Bannern sowie Ausnahmen für erforderliche Cookies in Form einer FAQ:

Neues EuGH-Urteil: Cookie-Einwilligung-Banner und Detailinformationen sind nun endgültig Pflicht!

EuGH: Cookies dürfen nur noch mit Einwilligung gesetzt werden

24 Gedanken zu „EuGH: Cookies dürfen nur noch mit Einwilligung gesetzt werden

  1. Aber der EuGH hat sich doch nicht mit der Frage des Ob, sondern mit der des Wie der Cookie-Einwilligung auseinandergesetzt. Die Rechtslage des Ob gibt es doch schon seit 2009.

    1. Mit dem Recht ist es ein bisschen wie mit Schrödingers Katze. Was richtig und was falsch ist, steht erst mit der Entscheidung des Gerichts fest. D.h., das Gericht entscheidet auch insoweit über das Ob, als es sagt, dass die Einwilligungspflicht schon immer so galt.

  2. Sehr geehrter Herr Dr. Schwenke,
    aufgrund des Beschlusses des EuGH´s zum Thema cookies habe ich mir, um mich zu informieren
    , Ihre Seite aufgerufen.
    Dabei ist mir dann aufgefallen das Sie, ohne meine Einwilligung, cookies auf meinen Rechner laden.
    Ich wollte Sie freundlichst drauf hinweisen.

    Mfg

  3. Ich stelle mir nun die Frage, worin der Unterschied zwischen Cookies und Browser-Fingerprinting im rechtlichen Sinn liegt? Technisch ist mir der Unterschied bekannt, aber weshalb ist ein Cookie im Browser mit nicht personenbezogenen Daten, nämlich beispielsweise einer zufällig generierten, anonymen Client-ID scheinbar kritischer als ein Browser-Fingerprint, welcher eben auch diese anonyme Client-ID widerspiegelt? Der Unterschied ist doch nur, dass man im Fall der Cookies diese ID selbst generiert und im Browser speichert und sich der Browser-Fingerprint schon durch den Browser, das Betriebssystem etc. automatisch ergibt. Ich würde das sogar anders herum als kritischer erachten, weil man als Nutzer die Cookies wenigstens aktiv löschen kann. Das ist bei einem Fingerprint nicht so einfach möglich.
    Wie komme ich nun auf Cookie vs. Fingerprint?
    Die Verbraucherzentrale Bundesverband, welche geklagt hatte, verwendet selbst Matomo (ehemals Piwik) und stellt das Fingerprinting als unproblematischer dar:
    https://www.vzbv.de/datenschutzerklaerung#piwik
    Tatsächlich bietet vzbv.de keine Opt-Out-Möglichkeit von diesem Fingerprinting, was ich ebenfalls fragwürdig finde. „Do not track“ wird zwar berücksichtigt, ist aber in beispielsweise der aktuellen Safari-Version nicht mehr enthalten. Dort geht man mit der ITP (aktuell 2.3) sogar den Weg, dass Cookies nach 7 Tagen gelöscht werden, wenn diese durch den Client (JavaScript) geschrieben wurden. Diese Sicherheitsfunktion bringt bei Fingerprinting allerdings auch nichts mehr.
    Hier wäre außerdem interessant, ob man vielleicht die Pseudonymisierung und Anonymisierung verwechselt hat, da man die Pseudonymisierung als Mittel darstellt keine Rückschlüsse mehr auf eine Person ziehen zu können. Das wäre dann aber eigentlich eine Anonymisierung.

    1. Diese Frage stellt sich mir auch, da der EuGH auch anonyme Cookies für einwilligungspflichtig hält: „Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind“ (s. RN 107 http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1). Da Fingerprinting mit Cookies gleich gesetzt wird (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp224_en.pdf), wäre also auch in diesem Fall eine Einwilligung erforderlich.

  4. Aber die Richtlinie 2002/58 wurde doch in Deutschland gar nicht umgesetzt.
    Also sollte das private Seiten erst einmal gar nicht betreffen oder?

  5. Schöner Artikel! Allerdings habe ich das Gefühl, dass noch immer mehr Fragen offen als geklärt sind. Zum Beispiel der korrekte Aufbau von Opt-In-Checkboxen…
    Man kann ja nicht jeden einzelnen Cookie absegnen lassen, aber kategorisiert man die Cookies nun besser nach dem Zweck des Cookies, dem Anbieter, den gespeicherten Daten … ?

  6. Hallo Dr. Schwenke,
    mir ist im Rahmen meiner Cookie-Anpassungen bei Durchsicht Ihrer Datenschtzerklärung (und auch der Datenschutzerklärung von Trusted Shops) aufgefallen, dass bei den Rechten der betroffenen Person Kurzzusammenfassungen dieser Rechte stehen und das Widerspruchsrecht ist optisch hervorgehoben. Ich hatte in meiner Datenschutzerklärung die Rechte bisher nur aufgezählt und den entspr. Absatz in der DSGVO genannt, z.B. „Recht auf Auskunft (gem. Art. 15 DSGVO)“. Bei den einzelnen Diensten habe ich immer erläutert, wie man dem Dienst widersprechen oder seine Einwilligung widerrufen kann.

    Ist es denn vorgeschrieben, dass die Rechte näher erklärt werden müssen? Denn bei solchen Zusammenfassungen wird ja immer nur ein Teil des Gesetztestextes genannt und da sehe ich die Gefahr, dass man wichtige Teile gar nicht nennt. Den ganzen Gesetzestext zu kopieren, macht ja aber auch keinen Sinn.

    Am liebsten würde ich einfach nur bei den Aufzählungen bleiben, evtl. könnte ich ja einen Link zum Gesetztestext setzen.
    Es würde mich sehr freuen, wenn Sie mir hier weiterhelfen könnten.
    Vielen Dank und beste Grüße aus Düsseldorf,
    Lina

    1. Den Hinweis auf den Gesetzesauszug halte ich für sehr gut und werde mir meine Hinweise unter diesen Gesichtspunkt nochmal genauer betrachten. Der Hinweis gehört zu Verfahren, die sich so eingebürgert haben, z.B. weil Datenschutzbehörden oder Fachpublikationen dies vorschlugen. Ihre Lösung halte ich ohnehin für zulässig, da das Gesetz nur einen „Hinweis auf das Recht“ z.B. zur Auskunft fordert.

  7. Vielen Dank für die schnelle Antwort.
    Also denken Sie dass es zulässig ist, wenn ich bei den einzelnen Diensten (Kontaktformular/ Newsletter/ Matomo/ Facebook Pixel usw) immer erläutere, wie man der Datenverarbeitung widersprechen bzw seine Einwilligung widerrufen kann und dann am Ende der Datenschutzerklärung nochmal einen allgemeingültigen Punkt wie folgt mache (ohne Erklärungen aber evtl mit Verlinkung zum ausführlichen Gesetzestext):
    ————
    „Ihre Rechte
    Aus der Verarbeitung Ihrer personenbezogenen Daten ergeben sich für Sie folgende Rechte:
    – Recht auf Auskunft (gem. Art. 15 DSGVO)
    – Recht auf Berichtigung (gem. Art. 16 DSGVO)
    – Recht auf Löschung („Recht auf Vergessenwerden“, gem. Art. 17 DSGVO)
    – Recht auf Einschränkung der Verarbeitung (gem. Art. 18 DSGVO)
    – Recht auf Datenübertragbarkeit (gem. Art. 20 DSGVO)
    – Widerrufsrecht (gem. Art. 7 Abs. 3 DSGVO)
    – Widerspruchsrecht (gem. Art. 21 DSGVO)
    – Beschwerderecht (gem. Art. 77 DSGVO)
    Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt, besteht für Sie das Beschwerderecht bei einer Aufsichtsbehörde. Hierfür können Sie sich an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.

    Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Antrag auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten sowie zur Ausübung von Ihrem Widerspruchs- oder Widerrufsrecht kontaktieren Sie uns bitte über die unter Ziffer 1 dieser Datenschutzerklärung genannten Kontaktdaten.“
    ————

    Vielen Dank und beste Grüße

  8. Danke für deinen Content!

    Bin auch am Aufbau einer Webseite und möchte natürlich auch Marketing tools Nutzen (Smartlook, FB Pixel etc.)
    Datenschutz spielt natürlich eine Große Rolle und sollte nicht ausser acht gelassen werden.

    Hast du Empfehlungen für ein gutes Plugin, welches Konform ist?

    Ich freue mich über dein Feedback!

    Gruß,
    Ilias

  9. Ich find ihren Blog wirklich sehr gut, denn es sagt noch mal aus, wie wichtig eigentlich
    Cookies sind. Daher finde ich dass sie wertvolle Informationen noch mal rausgegeben haben.
    Vielen Dank
    VG

  10. Hallo Herr Dr. Schwenke,
    meiner Meinung ist diese Einstellung der Cookies genau richtig.
    Nur mit Einwilligung sollte dies geschehen!
    Danke für den Mehrwert!

    Liebe Grüße

    Anne

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen