1. Oktober 2019

EuGH: Anforderungen an die Cookie-Einwilligung

Mainz, den 01. Oktober 2019 – Der EuGH hat heute eine Entscheidung zu den Anforderungen an die datenschutzrechtliche Einwilligung  der Besucher in die Verwendung von Cookies durch Webseitenbetreiber getroffen. Die entsprechenden „Cookie-Banner“ auf Webseiten sollten überprüft und ggf. entsprechend aktualisiert werden.

Spätestens seit Einführung der europäischen Datenschutzgrundverordnung müssen Betreiber einer Webseite ihre Besucher darüber informieren, welche personenbezogenen Daten des Besuchers durch den Betreiber der Webseite verarbeitet werden. Dabei sind unter anderem der Zweck und die Rechtsgrundlage der Verarbeitung zu nennen. Dies erfolgt in der Praxis meist über eine Datenschutzerklärung, die der Besucher der Webseite zunächst bestätigen muss, bevor er auf die Homepage gelangt. Zu den regelmäßig notwendigen zu verarbeitenden Daten gehören die IP-Adresse des Nutzer, Datum und Uhrzeit, welcher Browser eingesetzt wird und ähnliche technisch notwendige Informationen. Vielfach wird in diesen Datenschutzerklärungen auch der Einsatz von sog. „Cookies“ ([ˈkʊki]; englisch „Keks“) erläutert. Dabei handelt es sich um eine Textdatei, die im Browser auf dem Computer des Webseiten-Besuchers gespeichert werden kann.

Leider nicht gemeint: Cookies am Schreibtisch. © photo created by freepik – www.freepik.com

Der Wikipedia-Eintrag zum Thema „Cookies“ beschreibt den Vorgang wie folgt: Der Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. Aufgabe dieser Cookies ist beispielsweise die Identifizierung des Surfers (Session ID), das Abspeichern eines Logins bei einer Internetanwendung wie Wikipedia, Facebook usw. oder das Abspeichern eines Warenkorbs bei einem Online-Händler. Ein häufiger Einsatzzweck ist das Webtracking von Nutzern mit speziell präparierten Seiten.

Der Europäische Gerichtshof hat heute auf ein Vorabentscheidungsersuchen des deutschen Bundesgerichtshofs entschieden, dass

  • keine wirksame Einwilligung vorliegt, wenn Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt werden sollen, welches der Nutzer zur Verweigerung seiner Einwilligung erst abwählen muss. Das Häkchen zur Einwilligung muss der Besucher also aktiv selbst setzen.
  • Dabei ist es gleichgültig, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
  • Der Webseitenbetreiber muss im Rahmen der Einwilligungsabfrage auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, machen.

In dem betreffenden Verfahren war der Bundesverband der Verbraucherzentralen und Verbraucherverbände gegen einen Anbieter von online-Gewinnspielen vorgegangen. Dieser hatte von den Teilnehmern an einem zu Werbezwecken veranstalteten Gewinnspiel die Einwilligung in die Weitergabe ihrer personenbezogenen Daten an Sponsoren und Kooperationspartner sowie in die Speicherung von Cookies eingeholt und dabei ein voreingestelltes „Einwilligungs-Häkchen“ verwendet. Der Volltext der Entscheidung ist hier abrufbar (zuletzt aufgerufen am 01.10.2019).

In der Praxis bedeutet die Entscheidung, dass Webseiten-Betreiber, die Cookies einsetzen, überprüfen sollten, ob sie bereits „Cookie-Banner“ mit den entsprechenden Datenschutzhinweisen zum Einsatz von Cookies eingebunden haben und dort die aktive Einwilligung durch „Häkchen setzen“ vom Besucher abfragen.

Neben der DSGVO beruht das Urteil auf Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 (Datenschutzrichtlinie für elektronische Kommunikation). Dort wird die Verwendung von Cookies auf Ebene des EU-Rechts seit 2009 bereits von einer Einwilligung abhängig gemacht. Diese europarechtliche Anforderung war jedoch bisher im deutschen Recht nicht vollständig per Gesetz umgesetzt worden. § 15 Telemediengesetz (TMG) sieht lediglich eine Opt-Out-Lösung statt der Opt-In-Lösung vor.

Das aktive Einwilligungserfordernis (Opt-In) gilt jedoch nicht ausnahmslos für alle Arten von Cookies: Gem. Art. 5 Abs. 3 der Richtlinie 2002/58 steht es „einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“ Sog. Session- und Warenkorb-Cookies werden daher wohl als erforderlich einzuordnen sein und dürften ohne ausdrückliches Opt-In des Webseiten-Besuchers und unter Verwendung der Opt-Out-Lösung verwendbar bleiben. Bezüglich Analyse-Cookies, durch die z.B. die Klicks der Webseitenbesucher nachvollzogen werden können, ist dies jedoch eher zu bezweifeln. Für die Frage, welche Arten von Cookies unter die Anforderung der ausdrücklichen Einwilligung fallen, bietet das Urteil jedoch keine neuen Erkenntnisse.

Es verbleiben weitere Unsicherheiten etwa bei der Verwendung von Cookies von Drittanbietern wie Google, bei denen der Webseiten-Betreiber oft selbst nicht vollständig gemäß den datenschutzrechtlichen Anforderungen über die Verarbeitung informiert ist und somit seine Webseiten-Besucher ebenfalls nicht im vollständigen Umfang informieren kann.

Zudem dürfte der Widerruf von Einwilligungen ein praktisches Problem darstellen, da der Webseiten-Betreiber die Namen seiner Besucher in der Regel nicht kennt, und somit Probleme bei der Zuordnung eines Widerrufs zu einem gespeicherten Cookie bestehen.