Komplexes Thema: Der datenschutzkonforme Einsatz von Cookies. - (Bild: AdobeStock/faithie)
Mit einer Pressemitteilung hat der Europäischen Gerichtshof (EuGH) am 1. Oktober 2019 durch die Aussage „Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers“ für einige Furore und so neben der an sich zu begrüßenden Aufmerksamkeit für den Datenschutz auch für Irritationen gesorgt.
Dies war nicht zuletzt der Überschrift der Pressemitteilung geschuldet, denn die Frage, ob denn für alle Cookies Einwilligungen eingeholt werden müssen, war gar nicht Gegenstand der an den EuGH gerichteten Fragen und ist auch nicht Bestandteil der zitierten Rechtsprechung. Der folgende Beitrag soll hier ein wenig Licht ins Dunkel bringen und Handlungsempfehlungen geben.
Das EuGH Urteil „Planet49“
Im Wege eines Vorabentscheidungsersuchens hat der Bundesgerichtshof (BGH) dem EuGH Fragen hinsichtlich des Einsatzes von Cookies und der damit verbundenen Ausgestaltung entsprechender Einwilligungsverfahren zur rechtlichen Klärung vorgelegt. Eine dieser Frage bezog sich auf die Wirksamkeit von Einwilligungen mittels „vorangekreuzter Checkboxen“ und der Angabe einer Opt-out-Möglichkeit.
Welche Gesetze gelten eigentlich für den Einsatz von Cookies?
Nachdem im Urteil auf verschiedene Richtlinien und die DSGVO Bezug genommen wird, scheint an dieser Stelle eine kurze Klärung bezüglich der zu beachtenden Normen angezeigt. Beim Einsatz von Cookies auf Webseiten ist neben der DSGVO auch die Richtlinie für elektronische Kommunikation, die sogenannte e-Privacy-Richtlinie, sowie deren Ergänzung, die Cookie-Richtlinie zu beachten. Beide wurden durch den Bundesgesetzgeber im TKG sowie im TMG als „umgesetzt“ erklärt.
Erforderlichkeit von Einwilligungen
Für die Verarbeitung personenbezogener Daten bedarf es eines Erlaubnistatbestandes, der eine der in Art 6 Abs. 1 DSGVO genannten Bedingungen erfüllt. Das Urteil des EuGH stellt weiter fest, dass Cookies unabhängig vom Personenbezug der Einwilligung bedürfen, welche die Anforderungen der DSGVO erfüllen muss.
Allerdings ist bei dieser Aussage zu berücksichtigen, dass der EuGH keine Aussagen zu Art. 5 Abs. 3 S. 2 der e-Privacy-Richtlinie getroffen hat. Dieser behandelt die Frage, wann der Einsatz von Cookies als unbedingt erforderlich angesehen werden kann (und damit auch ohne Einwilligung erfolgen kann). Diese Frage wurde durch dieses Urteil gerade nicht beantwortet.
Voraussetzungen der Einwilligung
Die Voraussetzungen einer wirksamen Einwilligung richten sich nach der DSGVO. Diese regelt, dass eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung darstellt, in der ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck kommt.
Laut DSGVO kann die Einwilligung unter anderem durch Anklicken eines Kästchens beim Besuch einer Internetseite zum Ausdruck kommen. Es wird allerdings auch ausdrücklich ausgeschlossen, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen können, was der EuGH in der aktuellen Rechtsprechung bestätigt.
Cookie-Verwirrung? Hier finden Sie Unterstützung:
Sehr gerne unterstützt Sie David Malzkorn von der Rehm Datenschutz GmbH beim datenschutzkonformen Einsatz von Cookies und Tracking-Tools.
Auswirkungen des EuGH-Urteils auf die Praxis
Im Folgenden werden in aller Kürze die für Sie wesentlichen Handlungsempfehlungen bzw. die konkreten Auswirkungen des Urteils vorgestellt:
- Auch nach dem ergangenen Urteil besteht die Möglichkeit, Cookies ohne Einwilligung einzusetzen. Dies nur dann, wenn die Verarbeitung „unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Da dieser Aspekt nicht Bestandteil der an den EuGH gerichteten Fragen war, muss diesbezüglich auf die Positionierung der DSK verwiesen werden. Rehm Datenschutz geht derzeit davon aus, dass sogenannte Session-Cookies oder Cookies, welche für die Speicherung von Login- oder Warenkorb-Funktionen erforderlich sind, nicht von der Einwilligungserfordernis nach o.a. Kriterien erfasst sind.
- Sofern eine Einwilligung erforderlich ist, muss diese durch ein Opt-In eingeholt werden. Das bloße Anbieten eines Opt-Out-Verfahrens ist für die Erteilung der Einwilligung nicht ausreichend. Vereinzelt wurde das noch mit § 15 Abs. 3 S. 1 TMG gerechtfertigt. Der EuGH hat diese Norm in den Entscheidungsgründen jedoch mit keiner Silbe erwähnt, sondern nur direkt den Richtlinienwortlaut als Maßstab anlegt.
- Die nach Art. 13 DSGVO erforderlichen Angaben zur Erfüllung der Informationspflichten sind zu berücksichtigen. Hierbei soll nach Ansicht des EuGH auch die Funktions- und somit die Lebensdauer des eingesetzten Cookies angegeben werden.
Fazit
Es liegt in der Natur der Sache, dass sogenannte Vorabentscheidungsersuchen nach Art. 267 AEUV lediglich fragmentarisch, nämlich nur im Hinblick auf die vom vorlegenden Gericht gestellten Fragen, ergehen und keine vollumfassende Regelung treffen können. Insofern sind pauschale Aussagen bzgl. des Einsatzes von Cookies oder Tracking-Tools mit Vorsicht zu genießen.
Solche Aussagen sind in höchstem Maße fehleranfällig, da regelmäßig der Einzelfall zu betrachten ist. Dementsprechend wird es auch weiterhin dem Verantwortlichen obliegen, bei der Planung des Einsatzes von Cookies beziehungsweise der Identifikation von Rechtsgrundlagen bei bereits eingesetzten Cookies zu differenzieren, ob es sich hierbei um technisch notwendige Cookies handelt, die für die Darstellung der Webseite erforderlich sind oder solche, welche bloß die Entwicklung einer Marketingstrategie begünstigen. Selbiges dürfte, abseits der angesprochenen Rechtssache des EuGH, auch für weitere Trackingmethoden gelten.
