Der EuGH sollte auf Anfrage des Bundesgerichtshof noch mal unmissverständlich deutlich machen, wie das mit den Cookies auf Webseiten ablaufen soll. Muss der Benutzer ausdrücklich zustimmen – und wie genau hat das zu passieren? Genau das hat der EuGH jetzt erklärt.

Cookies sind zwar unsichtbar – aber eine große Sache. Jetzt hat der Europäische Gerichtshof (EuGH) klar gestellt, dass Nutzern keine Cookies untergejubelt werden dürfen. Betreiber von Webseiten oder Apps dürfen auch nicht einfach so die Zustimmung voraussetzen. Cookies sind in Europa nur dann erlaubt, wenn der Nutzer ausdrücklich der Verwendung zustimmt.

Wenn Web-Anbieter beim Ansteuern einer Webseite auf dem PC oder Mobilgerät des Besuchers Daten speichern wollen, ist von „Cookies“ die Rede. In den Dateien steht meist nicht viel. Zum Beispiel die Kundennummer. Oder andere Hinweise, die ein Wiedererkennen des Besuchers möglich machen, wenn er (oder sie) wieder vorbeikommt. Dann muss man sich nicht erneut einloggen. Der Warenkorb bleibt offen. Cookies bieten durchaus eine Menge Vorteile.

Einfach nicht zu widersprechen reicht nicht

Sie können aber auch genutzt werden – vor allem in Werbenetzwerken -, um Benutzer auszuspionieren. Das ist nicht automatisch das Wesen von Cookies – aber ein möglicher Fall des Missbrauchs. Deshalb gilt seit 2009: Wer Cookies speichern will, muss die Zustimmung des Benutzers haben. Seitdem die DSGVO in Kraft getreten ist, sind die Regeln sogar schärfer: Es reicht nicht, zu widersprechen – es braucht wirklich die eindeutige Zustimmung. Deshalb erscheinen auf Webseiten so häufig beim ersten Besuch Hinweise auf Cookies, die man mit „OK“ oder „Einverstanden“ bestätigt.

Aber was heißt „Zustimmung“? Das musste jetzt der EuGH klären, weil der Bundesgerichtshof eine Orientierung brauchte. Reicht es, wenn ein Anbieter ein fertig vorbereitetes Formular präsentiert, mit einem Häkchen vor „Cookies erlaubt“? Nein, sagt der EuGH. Es braucht eine eindeutige Zustimmung (hier das Urteil). Der Benutzer muss also zumindest „OK“ oder „Einverstanden“ anklicken oder selbst einen Haken vor die entsprechende Vereinbarung setzen. Es reicht nicht, dem Vorgang nur nicht zu widersprechen (etwa, weil in einem Formular die Akzeptanz von Cookies bereits angehakt ist).

Einfach nicht zu widersprechen reicht nicht

Der EuGH hat die geltende Regelung lediglich konkretisiert. Im vorliegenden Fall hatte ein Spieleanbieter die Teilnahme am Glücksspiel gleich mit der Zustimmung für die Speicherung von Cookies gekoppelt. Ein besonders dreister Fall, weil ausdrücklich der Cookie-Verwendung widersprochen werden musste. Nun ist klar: Cookies sind nur erlaubt, wenn die Nutzer auch zugestimmt haben. Einmal reicht. Allerdings müssen die Betreiber auch erklären, welche Daten gespeichert werden – und wie lange.

Wer Cookies generell aus dem Weg gehen will, kann den „privaten“ Surfmodus verwenden (dann werden vorhandene Cookies ignoriert) oder seinen Browser so einstellen, dass alle oder bestimmte Cookies ignoriert werden. Allerdings lassen sich dann einige Angebote nicht sinnvoll nutzen. Deshalb besteht auch die Möglichkeit, bestimmte Cookies zuzulassen, andere wieder nicht. Das unterscheiden zu können, setzt allerdings schon recht intime Kenntnisse voraus, welchem Zweck bestimmte Cookies dienen.