EuGH Urteil: Einwilligung in Cookies ist zwingend und darf nicht voreingestellt sein!

Viele haben es befürchtet, nun ist es amtlich: In seinem Urteil vom 1. Oktober 2019 untersagt der Europäische Gerichtshof (EuGH) die geläufige Praxis, die Einwilligung in Cookies voreinzustellen, also das Häkchen im entsprechenden Feld bereits zu setzen.

Was bedeutet das genau? Nutzer müssen dem Setzen von Cookies ausdrücklich zustimmen (Opt-in). Eine mögliche Einwilligung darf nicht durch einen entsprechend gesetzten Haken bereits voreingestellt sein, den der Nutzer dann aktiv entfernen muss (Opt-out). Ebenso rechtswidrig sind Cookie-Consent-Banner, die den Nutzer lediglich darüber informieren, dass Cookies gesetzt werden und eine Zustimmung nur insofern ermöglichen, dass Nutzer diese Praxis mit einem „Ok“ bestätigen.

Was bedeutet das EuGH-Cookie-Urteil?

Die zentralen Aspekte des Urteils im Hinblick auf den Datenschutz haben wir kurz für Sie zusammengefasst.

  • Das Urteil gilt für alle Cookies. Es ist also unerheblich, ob es sich um personenbezogene oder andere Cookies handelt.
  • Es ist Anbietern untersagt, Cookies ohne ausdrückliche Zustimmung des Nutzers auf seinem Gerät (stationäre PCs, Smartphones, Tablets) zu speichern.
  • Cookies, die bereits auf Endgeräten gespeichert sind, sind nur dann zulässig, wenn der jeweilige Nutzer dem, auf Basis einer klaren und umfassenden Information über den Zweck der Verarbeitung (Richtlinie 95/46/EG), zugestimmt hat.
  • Weiterhin zulässig sind wahrscheinlich technisch zwingend notwendige Cookies. Cookies sind voraussichtlich dann erlaubt, wenn sie ausschließlich dazu dienen, eine Nachricht über ein elektronisches Kommunikationsnetz zu übertragen. Eine Speicherung von Informationen soll auch dann erlaubt sein, sofern es sonst nicht möglich ist, einen Dienst bereitzustellen, den der Nutzer ausdrücklich anfragt.
  • Mit seinem Cookie-Urteil nimmt der EuGH ein zentrales Element der ePrivacy-Verordnung (ePVO) vorweg: Um Cookies zu setzen, ist die vorherige Einwilligung des betroffenen Nutzers zwingend erforderlich. Das gilt nicht nur für personenbezogene und Cookies, die zu Werbezwecken gesetzt sind, sondern auch für Komfortfunktionen: Zum Beispiel ist es untersagt, die Sprache des Nutzers für einen zukünftigen Besuch zu speichern. Allerdings ist die bloße Zustimmung des Nutzers zum Cookie-Setzen noch nicht ausreichend. Daneben muss sichergestellt sein, dass er vorab ausreichend informiert und aufgeklärt wurde.

Infobox: Was ist ein Cookie?

Ein Cookie ist eine kleine Textdatei, die ein Webserver an einen Browser schickt, wenn Nutzer eine Website besuchen. Ein Cookie speichert Informationen über das Online-Verhalten des Nutzers auf der Festplatte des jeweiligen Geräts und stellt sicher, dass User beim nächsten Besuch der Website maßgeschneiderte Inhalte präsentiert bekommen.

Welche Cookies gibt es?

Prinzipiell unterscheidet man zwischen temporären und dauerhaften Cookies.

Notwendig: Notwendige Cookies helfen dabei, eine Website nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Website ermöglichen. Die Website kann ohne diese Cookies nicht richtig funktionieren.

Präferenzen: Präferenz-Cookies ermöglichen einer Website, sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Website verhält oder aussieht, wie z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.

Statistiken: Statistik-Cookies helfen Website-Besitzern zu verstehen, wie Besucher mit Website interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Marketing: Marketing-Cookies werden verwendet, um Besuchern auf Websites zu folgen. Die Absicht ist, Inhalte zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind. Auf diese Weise können interessenbezogene, personalisierte Inhalte, die in Abhängigkeit Ihres früheren Nutzungs- und Surfverhaltens auf einem Endgerät (z.B. Handy) an Sie angepasst wurden, auch auf einem anderen Ihrer Endgeräte (z.B. Tablet oder PC) angezeigt werden.

Was ist bei der Auswahl einer Marketing Automation Software bzgl. Cookies zu beachten?

Bei der Auswahl einer geeigneten Marketing Automation Software ist darauf zu achten, dass der Hersteller sowohl das Privacy-by-Design- als auch das Privacy-by-Default-Prinzip berücksichtigt. Beide Konzepte sind seit Inkrafttreten der DSGVO verpflichtend. So gewährleistet das Privacy-by-Default-Konzept die Einhaltung der Datenschutzregelungen durch entsprechende Standardeinstellungen in der Software. Üblicherweise ist die Default-Einstellung so restriktiv wie möglich; eine personenbezogene Datenerhebung ist ebenso wenig zulässig wie Tracking. Bei Bedarf kann der Systembenutzer jedoch die Einstellungen verändern oder erweitern.

Wie sollten Unternehmen jetzt vorgehen?

Auch wenn erst einmal abzuwarten ist, ob das BGH dem Urteil folgen wird, wovon auszugehen ist, sollten dennoch sukzessive kleine Anpassungen vorgenommen werden – um nicht wie vor Einführung der DSGVO vor einem riesigen Aufgabenberg zu stehen, der nicht rechtzeitig zu erklimmen ist. Eine Empfehlung ist, schon heute so transparent wie möglich zu beschreiben, was für welchen Zweck getrackt wird. Zudem sollten Marketer bei der Kampagnenplanung einen Parallel-Prozess definieren, der vorgibt, wie eine Kampagne verläuft, falls Nutzer dem Tracking widersprechen.

Wie geht Evalanche mit Cookies um?

Um die nötige Transparenz sicherzustellen, kann sich jeder User über unsere Datenschutzerklärung umfangreich über alle Cookies informieren, die gesetzt werden. Zusätzlich erhält jeder Kunde bei Vertragsabschluss und gerne auch vorab ein gesondertes Dokument, welches den Umgang mit personenbezogenen Daten in Evalanche detailliert beschreibt. U.a. gibt es in der Dokumentation ein eigenes Kapitel über das Cookie Management in Evalanche.

Bei SC-Networks, respektive in Evalanche hat Datenschutz und Datensicherheit einen sehr hohen Stellenwert. Bei Vertragsabschluss kann der Kunde entscheiden, ob die Datenerhebung im Rahmen des Trackings über Cookies personenbezogen oder pseudonymisiert erfolgen soll. Zusätzlich lässt sich komfortabel im System eine Tracking Opt-In / Tracking-Opt auf Profilebene konfigurieren, so dass jeder User explizit entscheiden kann, ob ein persönliches Nutzerprofil aufgebaut werden darf oder nicht.

In Evalanche sehen Sie alle Datenschutz Infos eines Users auf einen Blick

Die Datenschutz-Details zeigen Ihnen die wichtigsten Kennzahlen hinsichtlich des profil- und mandantenbezogenen Datenschutzes.

  • Wann und mit welcher IP hat sich das Profil eingetragen?
  • Existiert ein Trackingwiderruf?
  • usw.

Zusätzlich können Sie auf Anfrage eines Profils, alle gespeicherten personenbezogenen Daten automatisiert an das Profil senden. Über ein gesondertes „Log“ haben Sie zusätzlich die Übersicht über alle an das Profil gesendeten E-Mails, wie zum Beispiel die DOI-Bestätigungsmails.

EuGH Cookie Urteil Tracking Evalanche

Infos zum Profil und den Tracking Präferenzen in Evalanche

Beispiel aus der Praxis für das Tracking Opt-in

Ein User kann in diesem Fall bei der Erhebung seiner Daten über ein Webformular explizit einwilligen ob er „spezifischer informiert“ werden will bzw. ein Nutzerprofil erstellt wird. Erfolgt keine Zustimmung wird das Profil grundsätzlich nicht getrackt. Der User kann diese Einstellung jederzeit über das Formular oder auch über Mailings mittels eines Links bspw. im Footer wieder aktivieren/deaktivieren.

EuGH Cookie Urteil Tracking aktivieren in Evalanche

Umsetzung auf der Evalanche Seite „Kostenlos testen“

Jetzt E-Book zum Thema herunterladen!

Sie wollen mehr zum Thema rechtskonformes Email Marketing und Lead Management erfahren? Dann holen Sie sich jetzt das kostenlose E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“

 

 

 

Jetzt herunterladen
nach oben