Am 01.10.2019 erging ein Urteil des EUGH bezüglich der Verwendung von Cookies welche enorme Auswirkungen für Webseitenbetreiber haben kann. 

Wichtig: Die folgende Problematik bezieht sich nur auf eine persönliche Webseite / Ihren persönlichen Onlineshop. Bei Plattformen wie Ebay, Amazon und Yatego haben Sie als dort handelnder Händler keinen Einfluss und müssen sich hier um nichts kümmern. 

Worum es in dem Urteil ging, was der EUGH entschied und welche Folgen dies hat erfahren Sie in folgendem Beitrag. 

 

Hintergrund:

Bei Cookies handelt es sich um kleine Textdateien, welche von einem Browser auf dem Rechner eines Internetnutzers gespeichert werden und auch wieder ausgelesen werden können. Einerseits sind Cookies für grundlegende Funktionen einer modernen Webseite dringend notwendig, etwa für die Warenkorbfunktion eines Onlineshops, anderseits kann mit Cookies auch das Nutzerverhalten auf einer Webseite nachvollzogen werden. Viele moderne Webanalysetools basieren auf dem Einsatz von Cookies.

Eigentlich gibt es schon seit über 15 Jahren eine europäische Regelung für Cookies durch die sogenannte Cookie-Richtlinie aus dem Jahr 2002. Hier wurde der Einsatz von Cookies erlaubt sofern der Nutzer über diese ausreichend informiert wurde und die Möglichkeit bekommt dem Einsatz von Cookies durch Opt-Out zu widersprechen. Als europäische Richtlinie musste diese vom deutschen Gesetzgeber in ein eigenes Gesetz umgesetzt werden, die eben genannte Regelung fand sich nun im § 15 (3) TMG.

Im Jahr 2009 wurde die Regelung der Cookie-Richtlinie auf europäischer Ebene in der Hinsicht abgeändert, dass nun für nicht technisch notwendige Cookies eine explizite Einwilligung, also ein Opt-In erforderlich wäre. Diese Regelung wurde vom deutschen Gesetzgeber jedoch nicht übernommen, in Deutschland blieb es bei der Opt-Out-Lösung des § 15 (3) TMG, die Bundesregierung hielt diese für ausreichend. Ob dies wirklich zutraf war in den vergangenen Jahren zwar immer wieder ein offener Streitpunkt, faktisch blieb es in Deutschland aber dabei, das im Gegensatz zu anderen europäischen Ländern keine Einwilligung in die Cookie-Nutzung notwendig war.

Eigentlich war geplant, die Internet-Thematik des Datenschutzes durch die parallel zur DSGVO verabschiedende e-privacy-Verordnung zu regeln, diese Verordnung wurde jedoch wegen Streitigkeiten auf EU-Ebene zunächst zurückgehalten, aktuell ist hier immer noch keine Einigung in Sicht. Die seit Mai letzten Jahres geltende DS-GVO, die damit einschlägig ist, trifft über Cookies in dem Sinne jedoch keine eigene Regelung.

Allerdings können durch Cookies personenbezogene Daten verarbeitet werden, für diese Verarbeitung wäre stets eine Rechtsgrundlage notwendig.

Abseits von speziellen Fällen bei welchen Cookies für die Vertragserfüllung einer Webdienstleistung notwendig sein können wären die denkbaren Rechtsgrundlagen für den Einsatz von Cookies die Einwilligung und die berechtigten Interessen.

Bei den berechtigten Interessen ist eine Interessensabwägung zwischen dem Nutzer und dem Webseitenbetreiber notwendig, hier war bisher umstritten ob sich hierauf ein Einsatz von technisch nicht notwendigen Cookies begründen lässt.

 

Das Urteil des EUGH

Der EUGH musste über die Cookie-Problematik im Rahmen einer BGH-Vorlage entscheiden.
Der zugrundeliegende Fall betraf einen Anbieter von Online-Gewinnspielen.

Dieser sah für Teilnehmer eines Gewinnspiels eine Cookie-Einwilligungserklärung vor, in welcher diese sich mit dem Einsatz eines Webanalysedienstes und interessensgerechten Werbung einverstanden erklären sollten.

Zwar war diese Erklärung mit einer Checkbox versehen, diese war jedoch bereits angekreuzt.

Gegen diese Einwilligungserklärung ging der Bundesverband der Verbraucherzentralen vor. Dieser Streit ging bis zum BGH, der dem EUGH dann mehre Auslegungsfragen bezüglich des europäischen Rechts vorlag.

So sollte der EUGH entscheiden, ob eine solch vorangekreuzte Einwilligung eine wirksame Einwilligung darstellt. Auch wollte der BGH wissen, inwiefern es eine Rolle spielt ob die Cookies personenbezogene Daten enthalten, und welche Informationen zu den Cookies zu erteilen sind.

Der EUGH bekräftigte zunächst, dass für das Setzen von Cookies sofern diese nicht technisch notwendig wären eine vorherige Einwilligung des Nutzers erforderlich sei, sich also nicht über berechtigte Interessen regeln lässt.

Für die Erteilung einer Einwilligung ist ein aktives Verhalten des Nutzers erforderlich, eine vorangekreuzte Checkbox wie hier würde dieses Merkmal nicht erfolgen.

Dies beträfe alle Cookies, unabhängig davon ob diese selbst personenbezogene Daten enthalten.

Die Richter entschieden, es müssen an der Stelle der Einwilligung alle Informationen gegeben werden, welche den Nutzer erlauben, eine informierte Entscheidung zu treffen welche Folgen mit der Einwilligung verbunden sind.

Welche Auswirkungen hat diese Entscheidung?

Zwar muss der BGH auf Basis der Antworten des EUGH noch abschließend über den vorliegenden Fall entscheiden, die Auswirkungen des Urteils sind jedoch schon jetzt relativ klar:

 

Alle nicht technisch notwendigen Cookies benötigen eine (eigene) Einwilligung.

 

Was sind Technisch notwendige Cookies?

Technisch notwendige Cookies sind alle Cookies welche direkt für den Betrieb der Webseite notwendig sind.

Betroffen sind:

 

  • Cookies, welche einen Log-In, den Warenkorb oder Bestellverlauf ermöglichen
  • Zur Wiedergabe von Videos oder Musik benötigte Cookies
  • Cookies von Zahlungsanbieter, vorausgesetzt über diese erfolgt keine Analyse des Nutzerverhaltens
  • Cookies für den Betrieb von Live-Chat-Systemen (ohne Analyse des Nutzerverhaltens)
  • Cookies welche selbst eine Cookie-Einwilligung speichern.

Die wesentliche Frage ob ein Cookie technisch-notwendig ist oder nicht lautet:

Kann die Webseite in ihrer Grundfunktionalität ohne Einsatz des Cookies einwandfrei funktionieren.

 Welche Cookies benötigen eine explizite Einwilligung?

  • Cookies für Webanalyse/ Tracking-Tools wie Google Analytics, Etracker, Econda
  • Cookies für Retargeting / Remarketing-Anbieter (Google, Bing, Criteo, Nosto, Facebook Pixel)
  • Cookies für Social-Media-Plugins (Facebook, Instagram, Twitter)
  • Cookies für Affiliate-Programme
  • Cookies für Youtube oder Vimeo-Videos
  • Online-Kartendienste (Google Maps, Bing Maps, Open Street Maps)

 

Wann und wie ist eine Einwilligung einzuholen:

Eine solche Einwilligung ist einzuholen, bevor der jeweilige Anbieter bzw. Cookie eingesetzt wird. Nur mit gegebener Einwilligung darf der jeweilige Cookie dann abgelegt werden, also der jeweilige Dienst dann eingesetzt werden.

Nicht ausreichend ist ein reiner Cookie-Hinweis bei welchen nur über die Verwendung von Cookies informiert wird.

Wie die Einwilligung sinnvoll eingeholt werden muss, hängt jedoch auch vom jeweiligen Dienst ab.

So führt bei Webanalyse oder Retargeting-Tools kein Weg daran vorbei, ein Cookie-Banner der Webseite vorzuschalten. Sofern der Kunde nicht in die Cookies einwilligt muss ihm eine Webseite ohne Webanalyse gegeben werden bzw. es ist kein Retargeting erlaubt.

Bei einem eingebundenen Youtube-Video oder einem Online-Kartendienst kann stattdessen ein vorgeschaltetes Element an der Stelle wo dieses eingebunden ist, eine Einwilligung einholen.

Wird die Einwilligung nicht gegeben, so wird das Video oder die Karte entsprechend nicht eingebunden um eine Cookie-Setzung zu verhindern.

 

Wie kann das Einholen von Einwilligungen technisch umgesetzt werden?

Shop-Module:

Für verschiedene Shopsysteme gibt es bereits entsprechende Module. Wir bitten um Verständnis, das wir diese jedoch nicht explizit prüfen konnten ob diese alle Vorgaben erfüllen und hier daher keine explizite Empfehlung aussprechen können. Problematisch ist, etwa diese teilweise die Auswahl der Cookies so zusammenfassen, das der Nutzer in die „Webanalyse“ einwilligt. Zwar ist dies schon ein wichtiger Schritt, der sicherste Weg wäre jedoch, explizit die Einwilligung in etwa „Google Analytics“ zu erfragen.

Diese sind auch meist kostenpflichtig.:

Shopware:

https://store.shopware.com/res7213479024655/cookiebot-shopware-6.html
Prestashop:

https://addons.prestashop.com/de/rechtssicherheit/8296-gdpr-cookies-gesetz-hinweis-audit-sperrung.html

https://addons.prestashop.com/de/rechtssicherheit/15954-cookie-law-banner-cookie-blocker.html

Shopify:

https://apps.shopify.com/cookie-optimizer?surface_detail=Cookie&surface_inter_position=1&surface_intra_position=9&surface_type=search

JTL:
https://www.jtl-software.de/jtl-store/erweiterungen/cin-cookie-manager

Plentymarkets:
https://marketplace.plentymarkets.com/plugins/storefront/cookiecontrol_6594 (Aktuell nur für Google Analytics)

XT-Commerce:

https://addons.xt-commerce.com/de/Plugins/DSGVO/DSGVO:-Konformes-Tracking-fuer-Google-Analytics/AdWords-Facebook.html

WordPress:

https://de.borlabs.io/borlabs-cookie/?status=accepted&expires=1575795263&p_sid=30363&p_aid=52804&p_link=1589&p_tok=7582996b-ab56-4975-8913-e0731e47c2a1

Jimdo:

Jimdo hat laut eigener Aussage entsprechende Anpassungen gemacht, so dass Nutzer Cookies akzeptieren oder ablehnen können:
https://www.jimdo.com/de/magazin/eugh-urteil-cookies-opt-in-2019/#Hinweis

Hier wäre daher kein direktes Handeln notwendig

 

Content-Management-Tools:

Darüber hinaus gibt es sogenannte Content-Management-Tools welche systemübergreifend funktionieren können. Auch für diese gilt, dass wir hier aktuell keine explizite Empfehlung oder Überprüfung vornehmen können.

Beispiele:

Cookie-Hub:

https://www.cookiehub.com/prices
Kostenlos verwendbar, Premium-Variante mit Reports für 40€ Jährlich.

Cookie-Bot:

https://www.cookiebot.com/de/

Kostenlos mit Einschränkungen, Premium-Version für 9/21/37€ monatlich je nach Anzahl der Unterseiten.

Osano -Cookie-Consent:

https://www.osano.com/cookieconsent

Als Open-Source-Version mit Programmieraufwand kostenlos, ansonsten für unter 7.500 Pageviews kostenlos, darüber hinaus ab 99.99$.

Consent-Manager:

https://www.consentmanager.net/

Kostenlose Basis-Version bis 10.000 Pageviews/Monat, sonst ab 50€ pro Monat

Civic Cookie-Control

https://www.civicuk.com/cookie-control/v8/pricing

Kostenlose Basis-Version, kostenpflichtig ab 39 Pfund.

Klaro:

https://klaro.kiprotect.com/

Open-Source und kostenlos, allerdings mit Programmieraufwand

Onetrust:

Kostenlos in Grundfunktion, inklusive Scan der Webseite, allerdings für Einbau Programmieraufwand notwendig.

https://www.onetrust.com/free-edition/

 

Alle Tools haben leider gemein, dass technischer Aufwand betrieben werden muss, um diese auf seiner Webseite entsprechend einzubauen. Teilweise müssen hier etwa entsprechende Skripte eingebaut bzw. m0difiziert werden um eine Cookie-Setzung zu verhindern

Videos, Onlinekarten und andere Web-Elemente

Videos, Onlinekarten und andere Web-Elemente

Für Web-Elemente wie YouTube- oder Vimeo-Videos oder Einbindungen von Google Maps und ähnlichen Web-Elementen kann auch mit 2-Klick-Lösungen gearbeitet werden,
wodurch der Nutzer zunächst ein vorgeschaltetes Element statt (etwa) dem Video sieht und an Ort und Stelle entscheidet, dass er das jeweilige Element nutzen will und hier dem Einsatz von Cookies zustimmt.

Für YouTube-, Facebook- und Vimeo-Videos empfiehlt sich hier die Lösung Embetty, welche als Open-Source-Lösung von Heise Online angeboten wird.
Nähere Informationen dazu finden Sie hier:

https://www.heise.de/newsticker/meldung/Embetty-Social-Media-Inhalte-datenschutzgerecht-einbinden-4060362.html

Für Google Maps werden hier Javascript-Scripte kostenlos angeboten:

https://01-scripts.github.io/2Click-Iframe-Privacy/demo.html#foo

 

Fazit:

 

Durch das EUGH-Urteil kommt leider ein sehr leidiges Thema auf Onlineshop-Betreiber zu:

Es steht nun fest, dass ein Webseitennutzer in alle Dienste welche Cookies setzen und für den Betrieb der Webseite nicht zwingend notwendig sind einwilligen muss.

Unsere Empfehlung ist daher:

  1. Prüfen Sie, welche Tools und Anbieter Sie aktuell auf Ihrer Webseite einsetzen, welche Cookies einsetzen.

Bei OneTrust:
https://www.onetrust.com/free-edition/
oder:

https://www.cookiebot.com/de/

lässt sich jeweils ein kostenloser Scan Ihrer Webseite anfordern, der Ihnen eine Übersicht über verwendete Cookies gibt.

 

  1. Prüfen Sie, wie dringend Sie diese wirklich benötigen

Natürlich ist sowohl Webanalyse wie Retargeting / Remarketing ein sehr wichtiger Service im E-Commerce. Leider ist jedoch auch bei einer richtig umgesetzten Einwilligungseinholung zu befürchten, dass nicht alle Webseitennutzer aktiv in das Tracking einwilligen werden, was dazu führen wird, dass die Datenbasis für die Webanalyse kleiner wird.
Insofern ist hier zu prüfen, ob ein Einsatz hier weiterhin Sinn ergibt.
Der Open-Source Webanalysetool Matomo etwa lässt sich grundsätzlich ohne Einsatz von Cookies einsetzen, allerdings sinkt dadurch die Genauigkeit der Analyse und das statt dessen eingesetzte Trackingverfahren ist auch rechtlich nicht unproblematisch.
Insbesondere, wenn Sie Tools auf Ihrer Webseite einsetzen, welche Cookies setzen, Sie jedoch ohnehin keinen aktuellen oder großen Nutzen aus Ihnen ziehen, ist dies ein guter Zeitpunkt um diese stillzulegen.

 

  1. Für alle Tools welche Sie als weiterhin als notwendig erachten, müssen Sie eine Einwilligung einholen

Hierfür gibt es schon verschiedene Lösungen wie oben ausgeführt, alle sind jedoch leider mit einem nicht zu vernachlässigenden Aufwand verbunden. Welche Lösung die richtige ist hängt hier sehr stark von Ihrem Shopsystem und der Anzahl der verbundenen Dienste zusammen.

Wir bitten um Ihr Verständnis, das wir keinen direkten technischen Support zum Einbau von solchen Lösungen bieten können.

 

  1. Passen Sie Ihre Rechtstexte an

In den nächsten Tagen werden wir Sie darüber informieren, dass Sie im Rechtstextkonfigurator Ihres Onlineshops angeben können, ob Sie für die betroffenen Dienste eine Einwilligung beim Nutzer einholen. Im Anschluss an die Beantwortung müssten Sie die Rechtstexte erneut übernehmen.