Cookie-Sonderweg
Der Europäische Gerichtshof hat mit seinem Urteil zur Rechtssache C‑673/17 vom 01.10.2019 den deutschen Cookie-Sonderweg für unzulässig erklärt. Er greift somit den neuen Bedingungen zur Nutzung von Cookies, die mit Inkrafttreten der e-Privacy-Verordnung unmittelbar in jedem Mitgliedsstaat der Europäischen Union gelten würden, vor.
Hintergründe
Wie bereits im letzten Blog Beitrag zur e-Privacy-Verordnung beschrieben, hätte diese bereits im Mai 2018 als Ergänzung zur Datenschutz-Grundverordnung in Kraft treten sollen. Grundsätzlich wird die Verordnung die die Richtlinie 2002/58/EG aus dem Juli 2002 ablösen, sodass sie unmittelbar für alle Mitgliedsstaaten gilt.
Bisher wurde in Deutschland die Einschätzung vertreten, dass die bereits bestehenden Paragraphen 12 und 15 des Telemediengesetzes (TMG) die Anforderungen des Art. 5 Abs. 3 e-Privacy-Richtlinie 2002 hinreichend umsetzen und keine weitere Anpassung der deutschen Gesetze erfolgen muss.
Quelle: pixabay.com
Diese zu großzügige Auslegung und die fehlende Anpassung dieses Sachverhalts an die neuen Bestimmungen der DS-GVO wurden unter anderem durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bemängelt (vgl. hierzu Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien).
Die Nutzung von Cookies war bisher demnach mit einer Widerspruchslösung (Opt-Out) in Verbindung bei korrekter Information der Nutzer über die Verwendung von Cookies zulässig. Das heißt, dass eine Datenverarbeitung bereits ohne vorherige Zustimmung des Nutzers möglich war. Diese konnte nur für die Zukunft untersagt werden. Diese Widerspruchslösung steht der Einwilligung (Opt-In) gegenüber, die in Art. 7 DS-GVO sowie unter anderem auch in Erwägungsgrund 32 DS-GVO beschrieben ist. So muss eine Einwilligung durch das „Anklicken eines Kästchens beim Besuch einer Internetseite“ erfolgen, wobei das Verfahren, dass ein im „Stillschweigen, bereits angekreuzte[s] Kästchen oder Untätigkeit der betroffenen Person“ beinhaltet, nicht zulässig ist.
Urteil des EUGH
Daher liegt gemäß des Urteils des EuGH keine „wirksame Einwilligung im Sinne von Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 […] vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“
Das EuGH begründete seine Entscheidung im konkreten Fall damit, „dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“
Fazit und daraus folgende Maßnahmen
Es wird festgelegt, dass der Betroffene selbst aktiv der Nutzung von Cookies auf der Website zustimmen muss. Dieses Urteil beendet somit zum einen der deutsche Sonderweg beendet. Zum anderen müss der Verantwortliche die Nutzer ausführlich in Bezug auf Cookies informieren. Die Information muss gemäß des Urteils des EuGH auch die Funktionsdauer sowie den Zugriff Dritter auf die Cookies enthalten. Dies wird unter anderem Auswirkungen auf Analyse-Tools haben.
Aufgrund der neuen Rechtslage müssen Verantwortliche Cookie-Banner von Websites anpassen. Eine Verweigerung der Zustimmung durch die Nutzer muss also möglich sein. Eine Datenerhebung muss vor der aktiven Einwilligung also unterbunden sowie eine ausführliche Information über die Verwendung von Cookies vorgelegt werden.
Kontaktieren Sie uns!
Wir stehen Ihnen gerne zur Verfügung, falls Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.