Vielleicht kann ich das Thema etwas aufhellen.
Es gibt zwei EU Richtlinien/ Verordnungen:
DSGVO und die E-Privacy-Richtlinie.
Bei der E-Privacy-Richtlinie geht’s letztendlich um den Schutz der Privatsphäre im Internet
(gerne auch als Cookie Richtlinie bezeichnet)
Diese E-Privacy-Richtlinie stammt aus dem Jahre 2002. Wenn die EU so eine Richtlinie ausgibt, müssen alle EU Länder diese auch als Gesetz umsetzen. Deutschland hat das umgesetzt durch das Telekommunikationsgesetz (TKG)
Deutschland war aber das einzige Land in Europa, das diese Richtlinie etwas „ungenau“ umgesetzt hat. Und zwar so ungenau, das es hieß, man braucht keine aktive Einwilligung für die Cookies.
Irgend eine Verbraucherzentrale hat einen Anbieter verklagt, weil die Einwilligung für Cookies vorangekreuzt war. Und damit hat der User nicht aktiv zugestimmt.
Das ging bis zum BGH, der sich auch unsicher war, wie die E-Privacy-Richtlinie zu interpretieren ist.
Das BGH gab dieses Verfahren weiter an die EU mit zusätzlichen Fragen.
Die EU entschied, das eine aktive Einwilligung benötigt wird und das stehe auch so in der E-Privacy-Richtlinie.
Es geht’s also primär um diese E-Privacy-Richtlinie und nicht um die DSGVO.
Diese veraltete E-Privacy-Richtlinie stammt aus dem Jahre 2002, wurde später etwas weiter konkretisiert. Die EU Länder wollten schon lange eine neue E-Privacy-Richtlinie umsetzten. Können sich aber nicht einigen wie die aussehen soll. Geplant war ursprünglich das diese neue Richtlinie zusammen mit der DSGVO rauskommen sollte…
Es war also schon immer so gewesen, das man eine aktive Zustimmung benötigte.
In der Praxis bedeutet das: Jeder Cookie ist zustimmungspflichtig. Egal ob Daten personenbezogen sind oder nicht. Egal in welcher Form, jedes ablegen einer Datei/ Cookie auf dem Rechner/Handy etc. eines Users, benötigt die eindeutige aktive Einwilligung und umfangreiche Aufklärung was dieser Cookie macht.
Das betrifft alles was irgendwie „Trackt“ Google Analytics etc. Es spielt auch keine Rolle ob du die Daten selbst auswertest oder an Dritte sendest. Ob die Auswertung anonyme Daten sind oder nicht.
Sobald ein Cookie auf dem Rechner des User abgelegt wird, brauchst du die Zustimmung. Das hat auch nichts mit der DSGVO zu tuen.
Jetzt gibt es Ausnahmen. Wenn es technisch oder zur Erleichterung für den User notwendig ist, darf man Cookies ohne Einwilligung nutzen. Diese Ausnahmen sind recht eng.
Bsp. hast du eine Website in verschiedenen Sprachen. Du darfst ein Cookie setzen der die Spracheinstellung in die Landessprache des Users umsetzt. (Technisch und Erleichterung).
Warenkorb oder Passwort Cookies (Technisch und Erleichterung)
etc.
Alle Cookies die Tracken, Nutzerverhalten analysieren etc. gehören nicht zu den Ausnahmen.
Es spielt auch keine Rolle ob ich Geld verdienen muß, sonst gibt es die Seiten nicht mehr. Das sind alles keine Ausnahmen.
Das große Problem ist nach dem Urteil, das man tatsächlich abgemahnt werden kann. Eine Abmahnung nach DSGVO ist umstritten und es besteht Konsens, dass nur die Datenschutzbehörde eingreifen kann.
Kurz um, für alle Webseitenbetreiber ist das die Hölle.
Wenn wir Glück haben, kommt irgendwann eine neue E-Privacy-Richtlinie die vielleicht diesen Cookie Punkt anders handhaben wird. Damit ist nicht vor 2022 zu rechnen.
