Cookies: Muss die Datenschutzerklärung angepasst werden?

Am 1. Oktober 2019 urteilte der EuGH über die rechtmäßige Verarbeitung von Cookies. Es ging prinzipiell um die Frage, ob dafür eine Einwilligung des Besuchers nötig ist, und falls ja, wie diese aussehen muss. Egal, ob durch die Cookies personenbezogene Daten erhoben werden oder nicht: Laut dem Urteil braucht es nun eine Einwilligung, wenn nicht notwendige Cookies verwendet werden sollen (wir berichteten).

Viele der bisher genutzten „Cookie-Banner“ erfüllen die Anforderungen an eine ordnungsgemäß eingeholte Einwilligung nicht. Dass insofern ein entsprechender Consent-Manager benötigt wird, haben wir bereits berichtet. Händler fragten uns aber auch, ob nun Änderungen an ihrer Datenschutzerklärung nötig sind. Die Antwort lautet in vielen Fällen: Ja.

Warum braucht es eine Änderung?

Bis zum Urteil des EuGH zu Beginn des Monats war die praktische Rechtslage im Hinblick auf Cookies in Deutschland schwierig. Das lag, ganz vereinfacht gesagt, an der (Nicht)Umsetzung der europäischen Vorgaben, auf denen auch die Entscheidung des Europäischen Gerichtshofs beruht. Die entsprechende deutsche Vorschrift im Telemediengesetz (TMG) nennt andere Voraussetzungen für die Verwendung von Cookies, als es das europäische Recht eigentlich vorgibt: Dieses erfordert, wie der EuGH nun bestätigt hat, eine aktive Einwilligung. Die deutsche Regelung hingegen verweist auf die Notwendigkeit eines Widerspruchs durch den Betroffenen, auch bekannt als Opt-Out – ein aktives Einwilligen war hier nicht vorgesehen.

Lange Rede, kurzer Sinn: Viele Seitenbetreiber lösten ihre Situation mit einem solchen Opt-Out und holten keine wirksame Einwilligung ein. Entsprechend erfüllten viele der bis jetzt genutzten Cookie-Banner teilweise nur die Funktion, über die Verarbeitung von Daten informieren zu wollen. Selbst der Versuch, Einwilligungen einzuholen, war oft zum Scheitern verurteilt: So gab es Banner, die außer der Schaltfläche „Akzeptieren“ keine Möglichkeit zur Interaktion zuließen, oder bei denen einzelne Checkboxen zur Verwendung von Cookies etwa zu Marketing-Zwecken bereits automatisch abgehakt waren. Eine rechtlich wirksame Einwilligung kann so nicht eingeholt werden – das hat der EuGH in seinem Urteil festgestellt. 

Was muss angepasst werden?

Nicht technisch notwendige Cookies sollten also fortan nur mit der Einwilligung des Seitenbesuchers verwendet werden. Das gilt laut dem Europäischen Gerichtshof auch unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Die Datenschutzerklärung sollte also dahingehend angepasst werden und eine Einwilligungslösung berücksichtigen. Seitenbesucher müssen umfassend über die Datenverarbeitung und die ihnen zustehenden Rechte informiert werden. Sinnvoll ist es zum Beispiel, in der Datenschutzerklärung einen Link vorzuhalten, mit dem eine erteilte Einwilligung widerrufen werden kann.

Welche Anpassungen genau vorgenommen werden sollten, das hängt entscheidend vom Einzelfall ab. Jede Webseite nutzt unterschiedliche Cookies und auch von der Umsetzung der rechtlichen Vorgaben hängt ab, was genau in der Datenschutzerklärung angepasst werden muss. Werden ausschließlich technisch notwendige Cookies eingesetzt, gibt es hingegen die hohe Wahrscheinlichkeit, dass keine Änderungen der Datenschutzerklärung nötig sind. Auch auf einen Cookie-Banner kann dann verzichtet werden. Hier sollte jedoch genau geprüft werden, was für Cookies verwendet werden. Weitere Informationen zu Cookies gibt es im Hinweisblatt.