Urteil: Aktive und ausdrückliche Einwilligung für Cookies

Foto: Schokoladen-Cookies auf einem Backblech

Der Europäische Gerichtshof (EuGH) hat bestätigt, dass die Einwilligung für das Setzen von Cookies aktiv durch die Website-Besucher erfolgen muss. Ein Cookie-Banner mit einem bereits angekreuzten Kästchen genügt nicht.

Der EuGH, das höchste Gericht der Europäischen Union (EU), fasst das heutige Urteil C-673/17 in seiner Medienmitteilung unter anderem wie folgt zusammen:

«Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.»

Es hilft auch nicht, dass allenfalls gar keine Personendaten bearbeitet werden:

«Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass ‹Hidden Identifiers› oder ähnliche Instrumente in sein Gerät eindringen.»

Und:

«Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. […]»

Ausserdem muss – für den erwähnten «konkreten Fall» – informiert werden:

«Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.»

Unklar ist auf den ersten Blick, ob der EuGH eine aktive und ausdrückliche Einwilligung auch für Cookies fordert, die technisch notwendig sind. Solche Cookies, zum Beispiel Login- oder Warenkorb-Cookies, sind eigentlich vom «Opt-in» gemäss Cookie-Richtlinie ausgenommen.

Noch mehr nervige Cookie-Banner …

Mit Blick insbesondere auf die Datenschutz-Grundverordnung (DSGVO) und die EU-Cookie-Richtlinie ist das Urteil nicht überraschend:

Eine aktive und ausdrückliche Einwilligung («Opt-in») erfolgt nicht, wenn ein Website-Besucher oder sonstiger Nutzer ein bereits angekreuztes Kästchen, mit dem die Einwilligung standardmässig erteilt wird, abwählen muss («Opt-out»). Genauso wenig wird eine Einwilligung mit dem häufig zu lesenden Satz «Durch die weitere Nutzung dieser Website stimmen Sie zu, dass […]» eingeholt.

Wer sich entscheidet, eine ausdrückliche Einwilligung für Cookies einzuholen – allenfalls, weil eine solche Einwilligung rechtlich erforderlich ist – muss gewährleisten, dass die Einwilligung aktiv und damit rechtswirksam erteilt werden kann. Dafür müssen im Rahmen der Einwilligung entsprechende Informationen veröffentlicht werden, wie auch der EuGH in seinem Urteil ausdrücklich festhält.

… aber nicht mehr Schutz für betroffene Personen?

Allerdings stehen Website-Betreiber vor dem Problem, dass Cookie-Banner nerven und noch mehr ausdrückliche beziehungsweise aktive und informierte Einwilligungen den Schutz für betroffene Personen offensichtlich nicht verbessern:

Die meisten Nutzer klicken Cookie-Banner so schnell wie möglich weg und verzichten darauf, vorliegende Informationen zu lesen. Die Website-Besucher möchten eine – häufig kostenlose – Dienstleistung nutzen oder Informationen abrufen. Sie haben üblicherweise durch Cookies noch nie einen spürbaren Nachteil erlitten.

Gleichzeitig ist der Website-Betreiber normalerweise darauf angewiesen, gewisse Dritt-Dienste zu nutzen. Dabei kommen fast immer Cookies zum Einsatz, insbesondere zur Erfolgs- und Reichweitenmessung.

Wenn nun allenfalls sogar für jedes einzelne Cookie eine aktive und informierte Einwilligung eingeholt werden muss, ist das Einwilligungsprinzip definitiv zum Scheitern verurteilt. Die Nutzer zeigen mit ihrem Verhalten jedenfalls deutlich, dass sie eigentlich gar keine Cookie-Banner wünschen.

Für die Schweiz ist die EuGH-Rechtsprechung nicht anwendbar. Hingegen sind viele Website-Betreiber in der Schweiz betroffen, da ihre Websites auch von Personen im Europäischen Wirtschaftsraum (EWR) besucht werden. Im Ergebnis müssen sich viele Websites in der Schweiz unter anderem der DSGVO und der EU-Cookie-Richtlinie unterwerfen.

Bild: Pixabay / tookapic , Public Domain-ähnlich.

Ein Kommentar

  1. Mich stören diese Cookie Hinweise extrem. Es würde mir reichen, wenn eine korrekte und vollständige Seite mit Impressum und Datenschutz vorhanden wäre.

    Spannend finde ich aber, dass sich der EuGH auf der Website «https://curia.europa.eu» selber nicht an die Vorgaben hält.
    Und wenn ich den oben genannten Link verwende, läuft die Seite nicht einmal unter https und ohne Cookie Hinweis. Datenschutz oder Impressum finde ich auch keins.
    Aber das Thema haben wir ja auch bei den offiziellen Nationalen, Kantonalen und Städtischen Websites.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.