Der EuGH hat gesprochen oder der Kekse-Klau zu Luxemburg

Odoo • A picture with a caption

Ausdrückliche, aktive Einwilligung für Cookies erforderlich

Es stand zu befürchten, vor allem nach der – schlüssigen - Begründung des Schlussantrags des zuständigen Generalstaatsanwalts, der der EuGH dann auch tatsächlich und im Wesentlichen gefolgt ist.
Der Europäische Gerichtshof (EuGH) hat entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Dies gilt unabhängig davon, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht. In den Erwägungsgründen folgt der Gerichtshof den Schlussanträgen des Generalanwalts.
Im konkreten Verfahren vor dem EuGH ging es vor allem darum, dass sich der Betreiber einer Website in Form von Hinweistexten das Recht einräumen ließ, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das entsprechende Auswahlkästchen war bereits vorangekreuzt. Erst mit einem zusätzlichen Klick konnten Nutzer die Zustimmung widerrufen.

Nach der Entscheidung ist klar:
Das Erfordernis einer „Willensbekundung“ der betroffenen Person deutet auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten eines Nutzers einer Website.
Auch ließ der EuGH die Begründung nicht gelten, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsse die explizite Zustimmung zur Datenverarbeitung erteilt werden.
„Das Unionsrecht soll Nutzer vor jedem Eingriff in ihre Privatsphäre schützen, insbesondere gegen „Hidden Identifiers“ oder ähnliche Instrumente.“ so die Pressemitteilung des Gerichtshofs.
Der Gerichtshof stellt ferner klar, dass Webseitenbetreiber gegenüber dem Nutzer vor Erteilung der Einwilligung hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen müssen sowie zur Identität des Verantwortlichen, Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind, Dauer der Speicherung und weitere Informationen beispielsweise zu Empfängern oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten. Diese Informationen gehören möglichst in die Datenschutzerklärung.

Um die vom EuGH formulierten Anforderungen zukünftig umsetzen zu können, werden einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, als Einwilligung nicht ausreichen. Kurioserweise ist auch das Cookie-Banner auf der Website des EuGH ein Beispiel für eine solche, mangelhafte Umsetzung.
Wird eine Einwilligung als Rechtsgrundlage für Cookies benötigt, musst sichergestellt sein, dass das jeweilige Cookie erst dann gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.

ACHTUNG: Der Webseiten-Betreiber ist häufig nicht Allein-Verantwortlicher, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam verantwortlich. Diesbezüglich ist auch noch vieles unklar.
Es ist nahezulegen, mit den jeweiligen Anbietern dringend über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen.

Unklarheiten, noch immer und im Angesicht der Entscheidung:

  • Allem voran ist nicht klar abgegrenzt, welche Cookies als „unbedingt erforderlich“ anzusehen sind.

  • Insbesondere bei den Persistent-Cookies bleibt m.E. die Rechtslage unklar.

  • Bei den Persistent-Cookies gilt grundsätzlich: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist daher eine Einwilligung benötigt wird.

Ziemlich sicher zu den notwendigen Cookies gehören:

  • Cookies über den Login-Status bei Websites, bei denen Sie sich anmelden können,

  • bei Online-Shops ein Warenkorb-Cookie und

  • bei mehrsprachigen Websites ein Cookie, der die Auswahl der Sprache festhält.

Marketing-Cookies gehören definitiv NICHT zu den notwendigen Cookies in diesem Sinne, auch wenn Werbetreibende das ebenso sicher wie aus der Sichtweise berechtigt deutlich anders einschätzen werden.

Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen unbedingte Voraussetzung darstellen. D.h., dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werde würden. Dagegensprechen aber natürlich auch Argumente.
Dementsprechend kann nur angeraten werden, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.

Nicht klar ist nach dem Urteil, ob in die einzelnen Cookies der einzelnen Anbieter (Facebook, Google) auch separat eingewilligt werden muss. Die Klärung dieser Frage bleibt wohl einem späteren Urteil vorbehalten. Wer auf Nummer sicher gehen möchte, sollte dies zu tun. Es wird derzeit jedoch auch für ausreichend angesehen, die Cookies in Kategorien zu unterteilen, zum Beispiel Marketing, Statistik, externe Medien etc.

Insgesamt lässt sich hieraus folgende vorläufige Handlungsempfehlung ableiten:

  • Es sollte (nochmals!) analysiert werden, ob und welche Cookies (und für welchen Zweck) beim Aufruf der Website im Browser gesetzt werden.

  • Es ist zu unterscheiden zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.

  • Bei den Session-Cookies sollte dringend (wie natürlich im Übrigen auch) überprüft werden, ob diese wirklich benötigt werden. Viele Spracheinstellungs-Session-Cookies gelten als überholt und werden heute meist nicht mehr wirklich benötigt.

  • Session-Cookies für die Warenkorb-Steuerung, können als unbedingt erforderlich gelten, so dass keine Einwilligung erforderlich ist.

  • Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, sollen i.d.R. als „vom Nutzer verlangt“ gelten dürfen und daher ohne Einwilligung verwendet werden.

  • Bei den Perisent Cookies gilt grundsätzlich: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist daher eine Einwilligung benötigt wird.

  • Im Umkehrschluss gilt dann: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.

Anmerkung:

Deutschland hätte die seit 2009 geltende Cookie-Richtlinie längst umsetzen müssen. Die Richtlinie sah prinzipiell ein sog. Opt-In-Verfahren vor, bei dem Nutzer für den Einsatz von Cookies ihre Einwilligung geben müssen. Die Bundesregierung war dabei aber der Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz (§ 15 TMG) bereits EU-rechtskonform umgesetzt seien. Diese Interpretation war äußerst gewagt, da das TMG im Gegensatz zur Forderung der EU-Cookie-Richtlinie eine Opt-Out-Lösung ausreichen ließ. Das Urteil kann (auch) als klare Ansage an den deutschen Gesetzgeber verstanden werden, das deutsche Recht an die EU-Regeln anzupassen. Das Bundeswirtschaftsministerium kündigte bereits eine Änderung des Telemediengesetzes an.
Oder der europäische Gesetzgeber verabschiedet zuvor die ePrivacy-Verordnung. Gerade weil der EuGH in seinem heutigen Urteil einen relativ harten Kurs fährt, dürften nun deutlich mehr Parteien an einer Regelung in der ePrivacy-Verordnung interessiert sein. Dies könnte im Idealfall zu Rechtsklarheit führen.

Link zum Urteil