Foto: Einladung_zum_Essen / pixabay.com

EuGH entscheidet über das Thema Cookies auf Internetseiten

Am heutigen Dienstag, den 01.10.2019, hat der Europäische Gerichtshof ein Urteil (C-637/17) zum Thema Cookies auf Internetseiten gefällt. Dabei ging es im Detail um die Auslegung der sogenannten Cookie-Richtlinie (RL 2009/136/EG). Dieses Urteil wirft nun aber ein paar Fragen auf, denn viele Seitenbetreiber verstehen nicht so recht, was das nun für sie bedeutet und ob sie jetzt tätig werden müssen. Nachfolgend werden deshalb einige der wohl wichtigsten Fragen zur Einwilligung bei Cookies beantwortet.

Worum ging es eigentlich genau bei dem Urteil?

Grundlegend ging es bei dem heutigen Urteil um einen Fall, bei dem der Seitenbesucher durch den Seitenbetreiber gefragt wurde, ob denn Cookies im Browser gespeichert werden dürfen. Mithilfe dieser Cookies sollten Dienstleister sogenannte „interessengerichtete Werbung“ ausspielen können. Also gezielte Werbung, die für den Seitenbesucher von persönlichem Interesse sein könnte. Bis dahin ist erst einmal nichts einzuwenden. Allerdings gab es eine Tatsache, die dem Bundesverband Verbraucherzentrale jedoch ein Dorn im Auge war, denn die Tickbox, über die der Besucher angeben kann, ob er dem Einsatz von Cookies zustimmt oder nicht, war bereits voraktiviert. War der Besucher jedoch nicht damit einverstanden, so musste er sein Einverständnis gezielt mittels Inaktivierung der Tickbox entziehen – über ein sogenanntes ‚Opt-out‘.

Nachdem dieser Fall nun innerhalb Deutschlands durch sämtliche Instanzen ging, fanden sich Kläger und Beklagte schließlich vor dem EuGH wieder, der nun abschließend darüber entscheiden musste, in welcher Form eine Einwilligung des Seitenbesuchers erforderlich ist, damit der Seitenbetreiber Cookies einsetzen darf.

Warum ist dieses Urteil so wichtig und was besagt das deutsche Recht?

Zum Thema Cookies gab es bislang keinerlei Entscheidung, da die Meinungen hierzu deutlich auseinandergehen. Eine klare Regelung gab es also nicht, welche Abfrage gültig ist: ‚Opt-in‘ oder ‚Opt-out‘. Grund für diese Unsicherheit unter den Seitenbetreibern ist nicht zuletzt, dass innerhalb der EU jeder Mitgliedsstaat seine eigenen Regeln zur Cookie-Richtlinie hat.

So besagt beispielsweise das hierzulande geltende Telemediengesetz, dass personenbezogene Daten ausschließlich mit Einwilligung des Betroffenen verarbeitet werden dürfen, was jedoch gemäß § 15 Abs. 3 TMG nicht für anonymisierte Daten gilt. Deshalb galt hier bislang, dass der Betroffene in solchen Fällen einer Verwendung zumindest die Möglichkeit eingeräumt bekommen musste, einer Verwendung seiner anonymisierten Daten widersprechen zu können.

Nun ist es aber so, dass das TMG im Widerspruch zur Cookie-Richtlinie (RL 2009/136/EG) nach EU-Recht steht. Diese Richtlinie besagt, dass der Einsatz von Cookies nur mit Einwilligung des Betroffenen erlaubt ist. Hier wird kein Unterschied zwischen personenbezogenen und anonymisierten Daten gemacht.

Der EuGH hat nun endgültig klargestellt, dass künftig keinerlei Cookies mehr auf dem Endgerät des Seitenbesuchers mehr gespeichert werden darf, ohne dass zuvor dessen eindeutige Zustimmung eingeholt wurde. Diese Zustimmung muss freiwillig und eigenverantwortlich erfolgen. Der Seitenbesucher darf diese Entscheidung also nicht abgenommen bekommen, indem schon bei der Anfrage ein Haken im entsprechenden Feld gesetzt ist.

Wie hat eine solche Einwilligung auszusehen?

Sobald ein Internetnutzer zum ersten Mal eine Internetseite besucht, auf der Cookies verwendet werden, muss dieser gefragt werden, ob er der Verarbeitung von Cookies zustimmt. Er muss gezielt darüber informiert werden und seine Einwilligung freiwillig und ausdrücklich abgeben. Das bedeutet:

  1. Der Seitenbesucher muss persönlich aktiv werden, um über die sogenannte ‚Opt-in‘ Lösung die Verarbeitung von Cookies zu aktivieren. Eine ‚Opt-out‘ Lösung ist nicht erlaubt und stellt einen klaren Verstoß des Seitenbetreibers dar.
  2. Der Seitenbesucher ist darüber aufzuklären, wofür genau Cookies eingesetzt werden.
  3. Der Seitenbesucher darf nicht dazu gezwungen werden, seine Einwilligung zur Nutzung von Cookies zu geben, etwa, wenn die Internetseite ohne die Einwilligung nicht genutzt werden kann. Hierbei spricht man vom sogenannten ‚Kopplungsverbot‘.
  4. Die Einwilligung des Seitenbesuchers muss eindeutig sein, wie zum Beispiel durch das Setzen eines Hakens. Das Zustandekommen dieser Einwilligung durch Schließen eines Cookie Pop-ups ist nicht erlaubt.

Wie sieht es bei notwendigen Cookies aus?

Beim Betreiben von Internetseiten gibt es sogenannte ‚notwendige Cookies‘ und auch ‚nicht-notwendige Cookies‘. Notwendige Cookies sind alle die Cookies, die sich auf die Grundfunktion der Internetseite auswirken, wie etwa:

  1. die Seitennavigation
  2. der Zugriff auf abgesicherte Bereiche, die nicht jedem Seitenbesucher zugänglich sind
  3. die automatische Wahl der richtigen auf das jeweilige Endgerät angepassten Seitengröße

Punkt 2 trifft beispielsweise immer dann zu, wenn der Seitenbesucher in einem Onlineshop Produkte in den Warenkorb legt und auch dann sich darin befinden, wenn die Internetseite geschlossen und zu einem späteren Zeitpunkt wieder geöffnet wird. Notwendige Cookies sind also Cookies:

  • mit deren Hilfe individuelle Einstellungen des Seitenbesuchers gespeichert werden (sogenannte ‚Session-Cookies‘).
  • mit deren Hilfe Medieninhalte wiedergegeben werden können, die etwa aufgrund eines Abos nur für den betreffenden Seitenbesucher abrufbar sind.
  • die zum Betreiben eines rechtssicheren ‚Cookie Consent Tools‘ (Cookie-Banner) erforderlich sind.

Was ist ein nicht-notwendiges Cookie?

Neben den gerade geschilderten notwendigen Cookies gibt es aber auch noch nicht-notwendige Cookies. Diese sind, wie ihre Bezeichnung bereits verrät, nicht zwingend notwendig, damit der Seitenbesucher die Inhalte einer Internetseite abrufen kann. Für diese ist es daher zwingend erforderlich, vor dem Setzen eines solchen Cookies die Einwilligung des Seitenbesuchers einzuholen. Solche nicht-notwendigen Cookies werden unter anderem von zum Beispiel folgenden Tools verwendet:

  • Analyse-Tools (zum Beispiel Google Analytics)
  • Social-Media-Plugins (zum Beispiel Facebook)
  • Marketing-Tools (zum Beispiel Werbebanner)

Was bedeutet das Urteil nun für die Seitenbetreiber?

Durch das Urteil des Europäischen Gerichtshofes (EuGH) wurde nun erst einmal die grundlegende Frage seitens des Bundesgerichtshofes (BGH) beantwortet. Dieser muss nun auf Basis dieser Entscheidung ein eigenes, abschließendes Urteil im aktuell vorliegenden Fall des Bundesverbandes Verbraucherzentrale fällen. Dem BGH wird jedoch in Anbetracht dessen, dass der EuGH noch über dem BGH steht, nichts anderes übrigbleiben, als zum gleichen Ergebnis zu kommen wie der EuGH und somit das TMG diesbezüglich als ungültig anzuerkennen. Deshalb sollten Seitenbetreiber jetzt schon vorsorgen und ihre Internetseiten mit entsprechenden Consent-Tools ausstatten und diese so rechtssicher zu machen. Denn ab dem Moment, wo das Urteil des BGH gesprochen ist, werden sich sicherlich wieder viele Abmahner stark machen, um rechtswidrige Portale teuer abzumahnen.

Übrigens: Es sind nur Seitenbetreiber betroffen, die selbst ein eigenes Internetportal betreiben, wie etwa einen Onlineshop oder einen Blog. Händler, die ausschließlich auf solchen Portalen wie etwa Amazon oder eBay tätig sind, müssen hingegen nicht tätig werden.

Ganz wichtig: Es genügt nicht, lediglich ein entsprechendes Cookie Consent Tool einzurichten. Auch die Datenschutzerklärung muss dahingehend angepasst werden.

Posted in Datenschutz and tagged , , , , , , , , , , .

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.