Cookies auf Websites: Auch Sozialunternehmen sollten ihre Website einem Review unterziehen

​veröffentlicht am 13. November 2019

Quelle: EuGH-Urteil vom 01.10.2019, Rechtssache C-673/17

Das Gerichtsurteil des EuGH in Sachen Cookies bedeutet Hausaufgaben für jeden Website-Betreiber, auch für Sozialunternehmen. Es gilt zu unterscheiden zwischen technisch erforderlichen Cookies und technisch nicht erforderlichen Cookies. Die bisherige Praxis eines einfachen Hinweises auf der Startseite genügt nicht mehr.

Den Satz „Diese Website verwendet Cookies. Mit dem Besuch der Seite erklären Sie sich damit einverstanden. Für weitere Informationen klicken Sie hier” kennt jeder Internet-Anwender auswendig. Viele Websitebetreiber, auch in der Sozialwirtschaft, setzen diesen allgemeinen Hinweis weiterhin ein. Oftmals wird übersehen: Dieser einfache Hinweis reicht inzwischen nur noch dann aus, wenn ausschließlich technisch erforderliche Cookies eingesetzt werden. Sobald jedoch Cookies verwendet werden, die beispielsweise Werbezwecken dienen oder gar dem Anlegen von Benutzerprofilen, reicht so ein einfacher Hinweis auf der Startseite nicht aus. Es bedarf vielmehr einer ausdrücklichen Einwilligung des Users. Für diese Einwilligung darf keine Voreinstellung vorhanden sein. Sie ist also nur dann tragfähig, wenn der User selbst den betreffenden Haken aktiv setzt.

Typische Anwendungsbereiche von Cookies, die als nicht technisch erforderlich angesehen werden, sind beispielsweise Cookies, die Präferenzen des Anwenders ermitteln, außerdem Cookies, die dem Websitebetreiber dazu dienen, Userstatistiken zu erzeugen oder natürlich Cookies, die Marketingzwecken dienen, also beispielsweise der Personalisierung von werblichen Angeboten.

Der EuGH war vom BGH um eine Vorabentscheidung gebeten worden. Diese betrifft ein Verfahren der Verbraucherzentrale Bundesverband gegen die Planet49 GmbH. Mit dieser Entscheidung kippt der EuGH letztlich eine großzügigere deutsche Regelung nach § 15 Abs. 3 TMG. Dabei spielt auch die teilweise wenig bekannte sog. ePrivacy Richtlinie der EU eine Rolle. Der EuGH stellt in seinem aktuellen Urteil klar, dass die Einwilligung für technisch nicht erforderliche Cookies auch dann erforderlich ist, wenn der Cookie keine personenbezogenen Daten im Sinne der DSGVO sammelt.

Auch wenn Krankenhäuser, Sozialunternehmen und Wohlfahrtseinrichtungen mit ihren Websites meist nicht in der Form verkäuferische Ziele verfolgen wie gewerbliche Unternehmen, sollte dies nicht dazu führen, dieses Urteil vorschnell als „nicht relevant” abzutun. Die Praxis, Cookies großzügig einzusetzen und im Zweifelsfall eher mehr als weniger zu installieren, hat sich bei vielen Webagenturen allgemein etabliert, ohne dass dabei stark unterschieden wird nach gewerblich oder sozial. Nicht immer ist in der Einrichtung selbst das verbindliche Wissen darüber vorhanden, welche Cookies denn nun tatsächlich eingesetzt werden, welche Zwecke diese verfolgen und ob tatsächlich die dafür erforderlichen Einwilligungen eingeholt werden und dokumentiert sind. Da der Websitebetreiber jedoch als Verantwortlicher im Sinne der DSGVO gilt, ist auch den Sozialunternehmen anzuraten, sich mit dem Status Quo in ihrer „Keksdose” sorgfältig zu beschäftigen und ggf. nachzubessern. Das bayerische Landesamt für Datenschutzaufsicht hatte beispielsweise bereits im Februar angekündigt, Missstände beim Einsatz von Tracking-Tools gezielt abzustellen und dabei auch die Einleitung von Bußgeldverfahren zu prüfen.

Weitere Informationen:

• Pressemitteilung: „Safer Internet? Oder doch eher „I don’t care”: Ernüchterndes Ergebnis im Datenschutzcheck am Safer Internet Day 2019
• EuGH zu Cookies: Anforderungen an eine wirksame Einwilligung