COOKIE-SONDERWEG

Der Europäische Gerichtshof hat mit seinem Urteil zur Rechtssache C‑673/17 vom 01.10.2019 den deutschen Cookie-Sonderweg für unzulässig erklärt und greift somit den neuen Bedingungen zur Nutzung von Cookies, die mit in Kraft treten der e-Privacy-Verordnung unmittelbar in jedem Mitgliedsstaat der Europäischen Union gelten würde, vor.

Hintergründe

Wie bereits im letzten Blog Beitrag zur e-Privacy-Verordnung beschrieben, hätte diese bereits im Mai 2018 als Ergänzung zur Datenschutz-Grundverordnung in Kraft treten sollen. Grundsätzlich wird die Verordnung die die Richtlinie 2002/58/EG aus dem Juli 2002 ablösen, sodass sie unmittelbar für alle Mitgliedsstaaten gilt.

Bisher wurde in Deutschland die Einschätzung vertreten, dass die bereits bestehenden Paragraphen 12 und 15 des Telemediengesetzes (TMG) die Anforderungen des Art. 5 Abs. 3 e-Privacy-Richtlinie 2002 hinreichend umsetzen und keine weitere Anpassung der deutschen Gesetze erfolgen muss.

Diese zu großzügige Auslegung und die fehlende Anpassung dieses Sachverhalts an die neuen Bestimmungen der DS-GVO wurden unteranderem durch die Konferenz der unabhängigen Datenschutzaufsichtsbehöden des Bundes und der Länder (DSK) bemängelt (vgl. hierzu Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien).

Bisher war demnach die Nutzung von Cookies mit einer Widerspruchslösung (Opt-Out) in Verbindung mit der korrekten Information der Nutzer, dass Cookies verwendet werden zulässig. Das heißt, dass eine Datenverarbeitung bereits ohne vorherige Zustimmung des Nutzers möglich war und diese nur für die Zukunft untersagt werden konnte. Diese Widerspruchslösung steht der Einwilligung (Opt-In) gegenüber, die in Art. 7 DS-GVO sowie unter anderem auch in Erwägungsgrund 32 DS-GVO beschrieben ist. So muss eine Einwilligung durch das „Anklicken eines Kästchens beim Besuch einer Internetseite“ erfolgen, wobei das Verfahren, dass ein im „Stillschweigen, bereits angekreuzte[s] Kästchen oder Untätigkeit der betroffenen Person“, nicht zulässig ist.

Urteil des EUGH

Daher liegt gemäß des Urteils des EuGH keine „wirksame Einwilligung im Sinne von Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 […] vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“

Das EuGH begründete seine Entscheidung im konkreten Fall, „dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“

Fazit und daraus folgende Maßnahmen

Durch dieses Urteil wird zum einen der deutsche Sonderweg beendet und festgelegt, dass der Betroffene selbst aktiv der Nutzung von Cookies auf der Website zustimmen muss. Zum anderen müssen die Nutzer ausführlich in Bezug auf Cookies informiert werden. Die Information muss gemäß des Urteils des EuGH auch die Funktionsdauer, sowie den Zugriff Dritter auf die Cookies enthalten, was sich unter andrem auf Analyse-Tools auswirken wird.

Aufgrund der neuen Rechtslage müssen Cookie-Banner von Websites angepasst werden. Es muss den Nutzern die Gelegenheit geboten werden, ihre Zustimmung zu verweigern, sodass eine Datenerhebung vor der aktiven Einwilligung unterbunden wird, sowie eine ausführliche Information über die Verwendung von Cookies vorgelegt werden.

 

zurück zum Blog