Neues EuGH Urteil zu Cookies: Was ist für Webseitenbetreiber zu tun?
Zuletzt am 9. Mai 2018 zum Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) haben wir unsere Kunden über unseren Newsletter über die weitreichende Änderungen informiert. Bis heute können Sie eine Zusammenfassung über die wichtigsten Änderungen für Webseitenbetreiber herunterladen. (Um diese zu öffnen klicken Sie auf „Zusammenfassung“.)
An dieser Stelle nochmal der klare Hinweis, wir sind keine Rechtsberatung und ersetzen auch keine.
Dennoch kennen viele unsere Philosophie, die eben alle relevanten Themen einschließt: „Viele der lokalen Kleinunternehmer werden und wurden völlig falsch beraten, wenn es um ihren Auftritt im Internet geht. Wir machen den Unterschied!“
Für uns als Agentur ist die Auseinandersetzung mit allen zugehörigen Datenschutzthemen mit großem Aufwand verbunden. Daher arbeiten wir dort seit der DSGVO mit „eRecht24“ zusammen, eine Kanzlei die sich auf die Rechte im Internet spezialisiert hat und auf dem Gebiet als führend gilt. Dennoch können wir keine Haftung übernehmen oder Garantien geben.
Was sind denn „Cookies“ bzw. was ist genau betroffen?
In dem u.g. Urteil des EuGH wird zwar nur von Cookies gesprochen: “Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.”
Gemeint sind jedoch alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen (z.B. sogenannte Fingerprints, die eine Quersumme der technischen Eigenschaften eines Gerätes bilden).
D.h., die Reichweite des Urteils ist sehr groß. Nur zur Vereinfachung spricht man von „Cookies”. [1]
Entscheidung vom EuGH und seine Konsequenzen
Der Europäische Gerichtshof (EuGH) hat sich am 1. Oktober 2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen (alt. „Cookie-Opt-Ins”) ausgesprochen. Sie sollten seitdem keine (nicht unbedingt erforderlichen) Cookies einsetzen, ohne dass Ihre Nutzer sich mit ihnen ausdrücklich einverstanden erklärt haben (EuGH, 1.10.2019 – C-673/17 “planet49”). [1]
Es gab in den letzten Wochen dann auch gleich mehrere Urteile des EuGH, in der diese Fragen behandelt wurden. Kurz zusammengefasst: Tracking-Cookies dürfen nicht mehr ohne echte Einwilligung der Nutzer gesetzt werden. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden.
Es sind aber nicht alle Cookies betroffen. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind z.B.:
- Warenkorb-Cookies
- Cookies für LogIns
- Cookies die eine Länder- oder Sprachauswahl betreffen
- Cookies, die Consent Tools für die Cookie Einwilligung setzen
Im Wesentlichen geht es bei der aktuellen Diskussion also um Marketing- und Tracking Cookies. Wir empfehlen deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen. [2]
Ab wann muss eine Einwilligungslösung für Cookies umgesetzt sein?
Das aktuelle EuGH Urteil (Werbeeinwilligung Planet49) vom 1. Okober 2019 entscheidet den ursprünglichen Fall nicht, dieser geht erst einmal zurück zum BGH. Genau wie der EuGH-Fall zum Facebook Button (Fashion ID) erst einmal zurück zum OLG Düsseldorf geht.
Aber: Die deutschen Gerichte werden sich in ihren Urteilen an die Vorgaben des EuGH halten. Und die Datenschutzbehörden werden wohl ebenfalls dieser Auffassung folgen.
Deswegen gibt es hier keine festen Fristen für die Umsetzung. Sie sollten sich aber nicht zu viel Zeit lassen, da seit dem 1. Oktober 2019 die Meinung des EuGH klar ist. [2]
Sieht das deutsche Telemediengesetz keine Ausnahme vor?
Das deutsche Telemediengesetz erlaubt es im § 15 Abs. 3 TMG , “für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.”
Diese Regelung kann nach dem EuGH-Urteil jedoch nicht mehr so verstanden werden, dass Cookies ohne Einwilligung der Nutzer auf deren Gerät verarbeitet werden können.
Damit entschied der EuGH auch rückwirkend, dass die bereits 2009 eingeführte Cookie-Opt-In-Pflicht, vom deutschen Gesetzgeber nie richtig umgesetzt wurde. [1]
Wird die ePrivacy-VO Änderungen mit sich bringen?
Der EuGH ist der ePrivacy-Verordnung (VO) zuvorgekommen.
Die ePrivacy-VO soll im Hinblick auf Cookies praktisch nur das wiederholen, was in der bisherigen ePrivacy-Richtlinie (RL) stand. Dort steht unter anderem auch, dass nicht nur die Verarbeitung personenbezogener, sondern auch anonymer Cookies einer Einwilligung bedarf.
Der EuGH sagte nun in seinem Urteil, dass nicht nur personenbezogenes, sondern auch anonymes Tracking einer Einwilligung bedarf: “Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“. Da die DSGVO nur für personenbezogene Daten gilt, ist der EuGH daher wohl der Ansicht, dass die ePrivacy-Richtlinie im Hinblick auf Cookies neben der DSGVO weiterhin gilt.
D.h. im Hinblick auf Cookies ist es irrelevant, ob und wann die ePrivacy-VO in Kraft tritt. Denn die in ihr enthaltenen Regelungen zu Cookies, gelten bereits jetzt. [1]
Wie kann eine Cookie-Einwilligung eingeholt werden?
Derzeit kann eine Cookie-Einwilligung praktisch nur mit sogenannten „Cookie-(Einwilligung/Opt-In) -Bannern” eingeholt werden (oder im Rahmen einer Registrierung).
Die Einwilligung muss ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen. [1]
Quellen:
[1] – https://datenschutz-generator.de/eugh-cookie-einwilligung-banner-detailinformationen-pflicht
[2] – https://www.e-recht24.de/artikel/datenschutz/11648-eugh-urteil-cookies-einwilligung.html
Titelbild von Mae Mu