Was das Cookie-Urteil für Webseitenbetreiber bedeutet

Über die Frage, ob und wie eine Einwilligung für Cookies einzuholen ist, wird seit langem leidenschaftlich gestritten. Heute hat der Europäische Gerichtshof einen vorläufigen Schlusspunkt gesetzt (EuGH, Urteil vom 01.10.2019 – C‑673/17). Die Cookie-Banner, wie sie auf vielen Webseiten eingesetzt werden, sind im Ergebnis unzureichend.

Was die Entscheidung bedeutet, warum nicht jeder Cookie einer Einwilligung bedarf und was Webseitenbetreiber jetzt zu beachten haben, lesen Sie in dem folgenden Beitrag.

Zusammenspiel von ePrivacy-Richtlinie und Datenschutzgrundverordnung

In der Entscheidung des EuGH ging es um einen Cookie, der im Zusammenhang mit der Anmeldung zu einem Gewinnspiel des Anbieters Planet24 gesetzt werden sollte. Zweck war, die Aktivitäten des Nutzers zu Werbezwecken nachverfolgen zu können. Für ein solches Tracking ist eine Einwilligung erforderlich.

Dies ergibt sich aus Art. 5 Abs. 3 der Richtlinie 2002/58/EG, die auch unter der Bezeichnung „ePrivacy-Richtlinie“ oder „Cookie-Richtlinie“ bekannt ist.

„Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“

Die Richtlinie wurde in Deutschland nicht in nationales Recht umgesetzt.

Deutscher Sonderweg: „Opt-Out“

Entgegen der ePrivacy-Richtlinie ist nach deutschem Recht ein sogenanntes „Opt-Out“ zulässig. Dabei kann zunächst ein Cookie gesetzt werden, der Nutzer kann dem widersprechen. Ein „Opt-In“, also eine aktive Einwilligung des Nutzers, ist nicht erforderlich. Dies bestimmt § 15 Abs. 3 TMG, wonach ein Diensteanbieter

„für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen [darf], sofern der Nutzer dem nicht widerspricht.“

Diese Regelung führte dazu, dass ein „Opt-Out“ vielfach praktiziert wurde, auch wenn dies nach Inkrafttreten der DSGVO zumindest in Bezug auf Tracking-Cookies wie Google Analytics zweifelhaft war. Denn nach der DSGVO ist eine Einwilligung erforderlich, wenn personenbezogene Daten über Cookies verarbeitet werden sollen und sich der Verantwortliche nicht auf berechtigte Interessen berufen kann. Dabei ist davon auszugehen, dass berechtigte Interessen dann nicht mehr vorliegen, wenn das Verhalten des Nutzers nachverfolgt wird. Anders als die Richtlinie, die alle technisch nicht notwendigen Cookies nur mit einer Einwilligung zulässt, ist die DSGVO also eher flexibel – trotzdem ist ein „Opt-Out“ nicht unbegrenzt zulässig.

Um den Unterschied zu verdeutlichen: Eine Reichweitenmessung mittels Matomo, dem früheren Piwik, auf dem eigenen Server erfordert nach der ePrivacy-Richtlinie eine Einwilligung, während nach der DSGVO hingegen auf berechtigte Interessen zurückgegriffen werden kann.

In der Konstellation, die der Entscheidung des EuGH zugrunde lag, war daher naheliegend, dass der gesetzte Werbecookie einer aktiven Einwilligung („Opt-In“) bedurfte. Die fehlende Umsetzung der ePrivcy-Richtlinie in deutsches Recht spielte daher keine Rolle. Allerdings hat der Bundesgerichtshof in seinem Vorlagebeschluss zum EuGH bereits deutlich gemacht, dass § 15 Abs. 3 TMG im Lichte der ePrivacy-Richtlinie auszulegen ist. Damit wäre das in Deutschland vielfach praktizierte „Opt-Out“ trotz fehlender Umsetzung der Richtlinie nicht mehr möglich.

Brauche ich für Cookies immer eine Einwilligung?

Für technisch notwendige Cookies, wird man sagen können: Nein. Darüber hinaus ist zu fragen, ob der Cookie unbedingt erforderlich ist, um dem Nutzer den gewünschten Dienst zur Verfügung zu stellen. Hier kann man diskutieren, wann dies der Fall ist. Da die Richtlinie 2002/58/EG aber nicht umgesetzt wurde, besteht eine gesetzliche Verpflichtung derzeit nicht.

Die Entscheidung des EuGH hat an der gesetzlichen Regelung des § 15 Abs. 3 TMG freilich nichts geändert. Allerdings deutet der Vorlagebeschluss des BGH darauf hin, dass sich Webseitenbetreiber auf eine Änderung einstellen müssen. Denn wie eine richtlinienkonforme Auslegung aussehen wird, dürfte das oberste deutsche Zivilgericht bald entscheiden.

Was bedeutet die Entscheidung des EuGH?

Die Entscheidung des EuGH hat eine weitere wichtige Auswirkung: Sie stellt klar, wie eine Einwilligung auszusehen hat.

Bislang haben Webseitenbetreiber zumeist die Auffassung vertreten, eine „Einwilligung“ könne durch die Anzeige eines Cookie-Banners eingeholt werden. Cookies werden bereits mit dem Aufrufen der Seite gesetzt und der Nutzer wird durch den Banner hierauf hingewiesen.

Typisches Beispiel für einen Cookie-Banner ohne aktive Einwilligung: www.car2go.de

Diese Praxis war dies schon lange fragwürdig, mit der Entscheidung des EuGH ist sie nicht zu vereinbaren. Denn das Gericht sieht eine Einwilligung als nicht wirksam an, wenn der Nutzer nicht aktiv einwilligt. Erforderlich ist hiernach eine eindeutige bestätigende Handlung.

„Insoweit erscheint es praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat; unklar bleibt jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde. Es kann nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.“

EuGH, Urteil vom 01.10.2019 – C‑673/17

Damit sind Banner, bei denen ein Cookie bereits mit dem Laden der Seite gesetzt wird, nicht mehr ausreichend, wenn sie es denn je waren.

Ein „Verstanden“ reicht nicht mehr

Auch Banner, bei denen ein Cookie gesetzt wird, wenn der Nutzer einen Button klickt, dürfte den Anforderungen des EuGH nicht genügen. Denn es besteht kein Unterschied darin, ob ein Kästchen bereits vorausgewählt ist oder gar kein Kästchen angezeigt wird. In beiden Fällen fehlt es an einer eindeutigen bestätigenden Handlung.

Auch die vielfach anzutreffenden Banner, bei denen Cookies erst mit Anklicken eines Buttons gesetzt werden, die aber so eingestellt sind, dass Marketing- und Werbecookies zugelassen werden, sind unzulässig.

Keine Einwilligung bei dieser Voreinstellung: Es braucht eine aktive Handlung des Nutzers.

In der Konsequenz werden Cookie-Banner daher folgende Anforderungen erfüllen müssen:

  • Ein Cookie, der eine Einwilligung erfordert, darf nicht bereits mit dem Laden der Webseite gesetzt werden.
  • Der Banner muss dem Nutzer die Möglichkeit geben, in die Speicherung von Cookies aktiv einzuwilligen oder sie abzulehnen.
  • Keine Voreinstellungen, nach denen Cookies gesetzt werden.

Was ist mit Cookies ohne Personenbezug?

Überraschend an der Entscheidung des EuGH ist, dass eine Einwilligung auch dann erforderlich sein soll, wenn mithilfe des Cookies keine personenbezogenen Daten verarbeitet werden.

„[Der] Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – ‚Hidden Identifiers‘ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.“

Das bedeutet in der Konsequenz, dass sämtliche Cookies einer aktiven Einwilligung des Nutzers bedürfen, wenn sie nicht technisch notwendig sind.

Welche Informationen müssen Webseitenbetreiber zur Verfügung stellen?

Nutzer einer Webseite müssen nach Art. 13 DSGVO in der Datenschutzerklärung transparent über die Verarbeitung ihrer Daten informiert werden.

Der EuGH ist der Auffassung, dass im Falle von Cookies vor allem Angaben zur Funktionsdauer gegeben werden müssen. Webseitenbetreiber müssen daher angeben, wann ein Cookie abläuft. Darüber hinaus müssen sie darlegen, ob Dritte einen Zugriff auf die Cookies erhalten können.

Was sollten Webseitenbetreiber jetzt tun?

Überprüfen Sie, ob Ihre Webseite mit der aktuellen Rechtslage vereinbar ist:

  1. Werden technisch nicht notwendige Cookies gespeichert?
  2. Wenn ja: Sind die Cookies unbedingt erforderlich, um die Seite zur Verfügung zu stellen?
  3. Werden die nicht unbedingt erforderlichen Cookies erst gespeichert, wenn der Nutzer eingewilligt hat?
  4. Wenn nein: Muss der Nutzer aktiv einwilligen (z.B. durch Anklicken eines Kästchens)?
  5. Informieren Sie über die Lebensdauer des Cookies und über die Übermittlung von Daten an Dritte?

Über den Autor

Dr. Jasper Prigge ist Rechtsanwalt in Düsseldorf. Er berät kleine und mittelständische Unternehmen im Medienrecht, IT-Recht und Wettbewerbsrecht. Mehr zu den Tätigkeitsbereichen erfahren Sie hier.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Sie haben Fragen zu einem Rechtsproblem? Hinterlassen Sie hier eine Rückrufbitte.
    Datenschutzerklärung