EuGH verschärft Datenschutzpflichten bei Verwendung von Cookies

Immer wieder gibt es unterschiedliche Auffassungen darüber, wie Website-Besucher über Cookies auf den Seiten informiert werden müssen und ob sie diesen Cookies explizit zustimmen müssen. Der EuGH hat jetzt entschieden, dass eine aktive Einwilligung erfolgen muss, sofern es sich nicht um solche Cookies handelt, die für die Funktion der Webseiten unbedingt erforderlich sind.

Was sind Cookies?

Als Cookies werden kurze Textdateien bezeichnet, die von den Webservern auf die Rechner oder auch Smartphones der Internetsurfer übertragen und dort gespeichert werden. Sie dienen primär zur Identifikation der Seitenbesucher oder enthalten Informationen über die Aktivitäten des Nutzers auf den Webseiten.

So lassen sich z.B. die virtuellen Warenkörbe in Online-Shops hierüber realisieren oder einmal vorgenommene Einstellungen der Nutzer speichern. In sehr vielen Fällen werden Cookies aber auch Website-übergreifend, etwa von Werbenetzwerken gesetzt, um hierüber das Surfverhalten der Nutzer nachvollziehen zu können.

Verbraucherverbandsklage gegen das Cookie-Setzen ohne Einwilligung

Der EuGH musste sich jetzt mit diesen Cookies beschäftigen, nachdem der BGH um eine Vorabentscheidung ersucht hatte. Dabei ging es um eine Klage des Verbraucherzentrale Bundesverband (vzbv) gegen ein Online-Gewinnspielanbieter, der Cookies auf seiner Website nutzte und dabei einen Cookie-Hinweistext einblendete, bei dem die Besucher lediglich per Mausklick eine pauschale Zustimmung zu diesem Verfahren erteilen konnten.

BGH stellte dem EuGH drei Rechtsfragen zum Thema Cookies 

Neben der Frage ob eine  voreingestellten Zustimmung in des Übertragen von Cookies auf das Gerät des Surfers (Opt-Out-Verfahren) rechtens sei, sollte der EuGH auch klären, ob es bei den Cookies eine Rolle spielt, ob diese personenbezogene Daten speichern oder nicht, und welche Mindestinformationen zu den Cookies gegeben werden müssen.

So entschied der EuGH zum Zustimmungserfordernis Cookies

In ihrem Urteil gaben die Richter am EuGH nun folgende Antworten auf diese Fragen. 

Opt-Out-Verfahren ist nicht zulässig: Eine Einwilligung zu Cookies über ein voraktiviertes Kästchen, bei dem für einen Widerspruch das Häkchen entfernt werden muss, reicht demnach für eine wirksame Einwilligung nicht aus.

Statt eines solchen Opt-Out-Verfahrens muss die Einwilligung durch eine aktive Zustimmung (=Opt-In) erfolgen.

Auch nicht persönliche Daten sind gesetzlich geschützt: Ob es sich bei den per Cookie gespeicherten Daten dabei um personenbezogene Daten handelt oder nicht, spielt nach Ansicht des EuGH keine Rolle. Begründet wird dies mit dem Hinweis auf die Europäische Konvention zum Schutz der Menschenrechte und der Grundfreiheiten, nach der auch alle auf Endgeräten gespeicherten Informationen Teil der Privatsphäre des Nutzers und damit geschützt sind.

Als Mindestinformationen zu den Cookies nennen die Richter neben der allgemeinen Datenschutzerklärung Angaben zur Funktionsdauer der Cookies sowie zu denjenigen, die Zugriff auf diese Daten haben. 

Ausgenommen von diesen Pflichten bleiben allerdings solche Cookies, die erforderlich bzw. notwendig sind, um den Dienst in der vom Nutzer gewünschten Form anbieten zu können.

Bei ihrem Urteil berufen sich die Luxemburger Richter nicht nur auf die sogenannte europäische Cookie-Richtlinie aus dem Jahr 2002, sondern auch auf die neue EU-Datenschutzgrundverordnung.

(EuGH, Rechtssache v. 1.10.2019, C‑673/17)

Reaktionen auf das Urteil:

Erwartungsgemäß unterschiedlich fielen die ersten Reaktionen auf das Urteil aus. So begrüßte man beim vzbv die Entscheidung als wichtiges Zeichen für den Schutz der digitalen Privatsphäre und hofft auf eine rasche Änderung der bislang weit verbreiteten Praxis der unzureichenden Cookie-Banner.

Beim Branchenverband Bitkom sieht man genau diese notwendigen Änderungen als erhebliche Mehrbelastung für unzählige Website-Betreiber, zudem werde das Surfen im Web durch die Notwendigkeit zur expliziten Zustimmung umständlicher.

Einige Unsicherheiten bleiben

Auch wenn das Urteil zunächst einmal einige wichtige Fragen beantwortet hat, bleiben auch künftig immer noch einige wesentliche Unklarheiten.

So ist es beispielsweise keineswegs eindeutig geklärt, welche Cookies als notwendig für die Funktionsweise eingestuft werden sollen, für die diese Einwilligungs- und Informationsvorgaben dann nicht gelten.

So könnten hierunter teilweise auch Cookies von Web-Analysediensten fallen, sofern diese bestimmte Voraussetzungen erfüllen. Entsprechende Hinweise haben etwa einige nationale Datenschutzbehörden bereits gegeben, darunter auch die deutsche Datenschutzkonferenz in einer Orientierungshilfe für Anbieter von Telemedien. (→ Datenschutzkonferenz macht strenge Vorgaben zu Cookie-Hinweisen)

Ohnehin könnte sich die derzeitige Regelung zu den Cookies demnächst erneut ändern, denn nach wie vor arbeitet man bei der EU an einer neuen E-Privacy-Verordnung, die entsprechende Vorgaben machen wird. Eigentlich sollte diese Verordnung zusammen mit der DSGVO in Kraft treten, doch bis heute wurde in den Verhandlungen keine Einigung erzielt und derzeit ist es noch völlig offen, wann mit dieser Verordnung zu rechnen ist.

Weitere News zum Thema

Geplante e-Privacy-Verordnung - Auswirkungen für Unternehmen

Datenschutzbehörde beanstandet bei 40 Unternehmen Einsatz von Marketing-Tool

Schlagworte zum Thema:  Datenschutz, Social Media, EuGH