In seiner heutigen Entscheidung (Az. C-673/17) hat der Europäische Gerichtshof (EuGH) die bisherige deutsche Praxis für den Einsatz von Cookies für unzulässig erklärt und folgendes entschieden:
- Webseiten dürfen Cookies nur dann auf dem Rechner der Nutzer speichern, wenn diese hierin zuvor ausdrücklich eingewilligt haben. Dazu genügt es nicht, wenn die Häkchen bei den jeweiligen Cookies in der Voreinstellung gesetzt sind (Opt-Out), vielmehr müssen die Nutzer aktiv werden, damit die Einwilligung wirksam ist (Opt-In). Der Nutzer solle vor jedem Eingriff in seine Privatsphäre geschützt werden. „Ein voreingestelltes Ankreuzkästchen genügt nicht.“
- Der Gerichtshof machte darüber hinaus deutlich, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies unter anderem Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.
(Presseveröffentlichung des EuGH unter https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf)
Nach der Auffassung des EuGH ist es dabei unerheblich, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsste gemäß dem Unionsrecht (Richtlinie 2002/58/EG) eine ausdrückliche Einwilligung zur Datenverarbeitung erteilt werden. „Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass ‚Hidden Identifiers‘ oder ähnliche Instrumente in sein Gerät eindringen“, heißt es in der Pressemitteilung des Gerichts.
Der deutsche Gesetzgeber hatte – wohl auch auf Druck der Wirtschaft – die europäischen Vorgaben, die eigentlich bis 2011 hätten umgesetzt werden müssen, nur unzureichend erfüllt. Mit dem Telemediengesetz (TMG) hatte man diese Vorgaben großzügig interpretiert, was von zahlreichen Datenschützern immer wieder kritisiert wurde. Das erklärt auch, warum die Cookie-Banner auf rein deutschen Webseiten bisher zumeist deutlich anders aussehen als auf internationalen Seiten. Aus denselben Gründen wurde von der deutschen Regierung die geplante neue e-Privacy-Richtlinie, die eigentlich zeitnah zur DSGVO erlassen werden sollte, immer wieder und bis heute blockiert. Der deutschen Interpretation ist der EuGH nun mit deutlichen Worten entgegengetreten.
Was bedeutet das Cookie-Urteil des EuGH nun konkret für Betreiber einer Website?
Die bisher weit verbreitete Lösung mittels so genannter „Cookie-Banner“ den Websitebesucher auf Cookies hinzuweisen und ihm ggf. die Möglichkeit der Deaktivierung (für Folgebesuche) über eine Opt-out-Möglichkeit in der Datenschutzerklärung zu ermöglichen, reicht nach diesem Urteil nun defintiv nicht mehr aus. Um Cookies auch weiter rechtskonform einsetzen zu können, was insbesondere durch die Tools und Plug-Ins beliebter Drittanbietern wie Google (z.B. Google Analytics, GoogleMaps, YouTube, Facebook etc.) geschieht, müssen zukünftig folgende Vorgaben umgesetzt werden:
- Zunächst bedarf es der vorherigen aktiven Einwilligung des Nutzers. Dabei bedeutet „vorherige“, dass eine aktive Einwilligung eingeholt werden muss, bevor der Cookie gesetzt wird. Dies wird sich nur durch entsprechend vorgeschaltete Seiten – „so genannten Consent Banner“ – bewerkstelligen lassen, die beim Aufruf der Seite zwingend vorgeschaltet werden, bevor der Cookie im Browser des Nutzers gesetzt wird.
- Auch müssen detaillierte Informationen zu den jeweiligen Cookies erteilt werden, d.h die vorhandenen Informationen müssen zumindest überprüft, in den meisten Fällen aber wohl auch ergänzt bzw. erweitert werden.
- Schließlich müssen die Datenschutzerklärungen geändert werden, denn das berechtigte Interesse nach Art. 6 (1) f DSGVO kann so nicht mehr als Rechtsgrundlage für den Einsatz von Cookies herangezogen werden. Rechtsgrundlage für das Setzen eines Cookies kann daher unabhängig vom Inhalt und Nutzen des Cookies ausschließlich eine Einwilligung des Betroffenen sein, so dass die Rechtsgrundlage für den Einsatz von Cookoes daher nur noch auf Art. 6 (1) a DSGVO gestützt werden kann. Da Einwilligungen gemäß Art. 7 (3) DSGVO auch jederzeit widerruflich sein müssen, stellt sich derzeit die Frage, wie dies praktisch bewerkstelligt werden kann, wenn der Verantwortliche – also der Websitebetreiber – den Einwilligenden nicht identifizieren kann, was regelmäßig der Fall ist. Hier werden rechtskonforme technische Lösungen noch zu entwickeln sein.
Bis vollständig rechtskonforme „Cookie Consent“-Lösungen inklusive sämtlicher erforderlichen Informationen im Banner und der Datenschutzerklärung einer Website am Markt verfügbar und auf der Webseite installiert sind, müssen wir zur Risikominimierung leider dazu raten, sämtliche nicht zwingend notwendige Cookies zu deaktivieren. Dies gilt insbesondere für die beliebten und weitverbreiteten Werbe-Tools und Plugins von Drittanbietern, wie z.B. Youtube, GoogleMaps, GoogleAnalytics usw.
Jedenfalls aber sollte schnellstmöglich ein auf dem Markt bislang erhältlicher Cookie-Consent-Banner mit Informationen zu den Cookies installiert werden und eine wirksame aktive Einwilligung des Nutzers in den Einsatz der Cookies eingeholt werden.