Cookie-Opt-in ist verpflichtend: Das sollten Sie beachten!

Cookies dürfen nur mit Erlaubnis gesetzt werden!

Fast alle Webseiten benutzen Cookies. Dabei handelt es sich um Textdateien, die im Browser des Nutzers gespeichert werden. Das kann nötig sein, damit die Webseite richtig funktioniert oder um den Dienst anbieten zu können, den der Nutzer angefordert hat. Solche essentiellen bzw. funktionalen Cookies dürfen in der Regel vom Webseitennutzer gesetzt werden, ohne dass der Nutzer darüber informiert werden muss.

Es gibt aber auch Cookies, die eigentlich nicht erforderlich sind. Diese nützen meist nur dem Webseitenbetreiber selbst, indem sie zum Beispiel Daten über die Nutzer für personalisierte Werbung sammeln. Auch die Verwendung solcher Cookies ist erlaubt, aber nur unter einer Bedingung: Der Nutzer hat dieser zuvor ausdrücklich zugestimmt. Dieses Einwilligungsverfahren ist als Cookie-Opt-in bekannt.

Der Begriff kommt vom englischen „to opt”, was „sich entscheiden” bedeutet. Hier gibt es zwei Varianten: Opt-in steht dafür, dass sich jemand für eine Sache entscheidet, Opt-out bedeutet, dass die Entscheidung gegen etwas getroffen wird.

Technisch ist bei Webseiten auch ein Opt-out-Verfahren möglich: Die Cookies werden dann bereits in dem Moment gesetzt, wenn der Nutzer die Seite aufruft. Erst wenn er die Verwendung ausdrücklich ablehnt, werden die Cookies blockiert. Rechtlich ist diese Methode aber meist unzulässig.

DSGVO: Der Cookie-Opt-in ist Pflicht!

In Artikel 6 der Datenschutz-Grundverordnung (DSGVO) wird ausdrücklich gesagt, dass die Verarbeitung personenbezogener Daten, sofern sie nicht aus bestimmten Gründen unumgänglich ist, nur mit Zustimmung der betroffenen Person erfolgen darf. Darunter fallen auch das Setzen nicht-essentieller Cookies auf Webseiten, denn diese sammeln und verarbeiten zwangsläufig die Daten der Nutzer.

Eine Zeit lang war jedoch nicht klar, in welcher Form die Zustimmung der Betroffenen erfolgen muss. Gilt es bereits als Einwilligung, wenn dem Nutzer ein Cookie-Opt-out angeboten wird und er dieses einfach nicht nutzt? Ein Urteil des Europäischen Gerichtshofs im Oktober 2019 sorgte schließlich für Klarheit: Das einzige rechtlich zulässige Verfahren ist eine Opt-in-Lösung (EuGH, 01.10.2019 – C-673/17). Das Opt-out ist hingegen nicht erlaubt.

Das Urteil des EuGH sowie die Entscheidungen anderer Gerichte haben in den vergangenen Jahren außerdem einige Regeln definiert, wie ein Cookie-Opt-in-Banner gestaltet sein muss:

• Es muss den Nutzer genau informieren, in welche Art der Datenverarbeitung er einwilligt.
• Es muss den Nutzer über sein Widerrufsrecht aufklären.
• Es muss eine Möglichkeit geben, die nicht-essentielle Datenverarbeitung abzulehnen.
• Das Banner darf den Nutzer nicht unterbewusst manipulieren, z. B. indem der „Akzeptieren”-Button auffälliger gestaltet ist als der „Ablehnen”-Button.
• Voreinstellungen sind beim Cookie-Opt-in verboten. Enthält das Banner Checkboxen, dürfen diese nicht bereits im Vorfeld abgehakt sein.

Hinweis: Ein unzureichender Cookie-Opt-in stellt genauso einen Datenschutzverstoß dar wie ein fehlender Cookie-Opt-in. Webseitenbetreiber sollten also sicherstellen, nur zulässige Einwilligungen ihrer Nutzer einzuholen, andernfalls können hohe Bußgelder drohen: Die DSGVO sieht hier Höchstbeträge von 20 Millionen Euro vor. Wird der Verstoß durch ein Unternehmen begangen, kann das Bußgeld auch bis zu 4 Prozent des weltweiten Jahreseinkommens betragen.

Quellen und weiterführende Links

• Art. 6 DSGVO

(39 Bewertungen, Durchschnitt: 4,13 von 5)

Loading...

Über den Autor

Gitte H.

Gitte ist seit 2017 Teil der Redaktion von datenschutz.org. In ihren Beiträgen befasst sie sich unter anderem mit der gesetzeskonformen Vernichtung von Daten, aber auch der Datenrettung und Datensicherheit.

Bildnachweise