Um was geht es?
Der Europäische Gerichtshof (EuGH) hat am 01.10.2019 in der Rechtssache „Planet49“ entschieden, dass das Setzen von Cookies, die nicht zwingend für den korrekten Betrieb der Internetseite notwendig sind, einer aktiven Einwilligung durch den Betroffenen bedürfen.
Sofern Verantwortliche weiterhin Cookies setzen möchten, die über die Notwendigkeit zur Sicherstellung der Funktion der Internetseite hinausgehen, ist er gut beraten zu analysieren, ob und welche Cookies (und für welchen Zweck!) beim Aufruf der Website im Browser gesetzt werden.
Doch welche Cookies sind zwingend notwendig? Hierzu ist es erforderlich sich näher mit dem Thema Cookies zu beschäftigen.
Was sind Cookies?
Cookies sind kleine Datenpakete, die Webseiten – häufig automatisch und ohne Ihre Kenntnis – auf Ihrem Computer speichern. Sie sollen Ihnen das Surfen im Internet erleichtern. Eine Webseite kann Sie durch ein gesetztes Cookie z.B. bei Ihrem nächsten Besuch identifizieren und sich an Ihre Präferenzen anpassen. Zum Beispiel welche Sprache Sie verwendet haben, welche sonstigen Einstellungen auf der Internetseite getroffen wurden. Bei Ihrem nächsten Besuch werden diese auf Basis des Cookies wiederhergestellt. Manche Cookies sind für einen reibungslosen Betrieb unabdingbar. Unterschieden wird dabei grundsätzlich in Session- und Persistent-Cookies.
Session Cookies
Session Cookies sind Datenpakete, die ausschließlich während der Verwendung einer Internetseite gesetzt werden. Mit Schließen des Browsers werden die gesetzten Cookies sofort gelöscht. Ein Beispiel für Session Cookies sind Zugangsdaten für Webshops oder das Onlinebanking. Sofern die Login-Daten nicht zwischengespeichert würden, müssten Sie nach sehr kurzer Zeit die Zugangsdaten erneut eingeben – ein sinnvoller Betrieb der Internetseite wäre unmöglich.
Persistent Cookies – aka Tracking Cookies
Neben Cookies, die für den Betrieb einer Internetseite unabdingbar sind, gibt es weitere Arten von Cookies, die den Webseitenbetreibern einen Nutzen bieten sollen.
Falls Sie sich mal gefragt haben, warum das Paar Schuhe, was Sie sich vor Kurzem bei einem Onlineshop angesehen haben, auch auf anderen Internetseiten angezeigt wird: Die Antwort sind persistente Tracking-Cookies. Diese Dateien werden im Gegensatz zu Session Cookies nach dem Verlassen der Seite nicht gelöscht und ermöglichen es somit den Betreibern der Internetseiten Nutzer wiederzuerkennen und teilweise deren Surfverhalten – auch auf anderen Internetseiten – nachzuvollziehen. Freilich werden diese Art von Cookies nicht zwingend für den Betrieb einer Internetseite benötigt.
Was war die Frage, die zum EuGH-Urteil führte?
Nach Ansicht des EuGHs müssen sämtliche Cookies, die nicht zwingend für den Betrieb der Internetseite notwendig sind, durch eine Einwilligung der Betroffenen legitimiert werden.
Die Aufsichtsbehörden hatten schon in Ihrer Orientierungshilfe aus März 2019 damit argumentiert, dass Bereiche des Telemediengesetztes (TMG), die die Cookie-Verwendung in der bisherigen Vorgehensweise durch Hinweise in der Datenschutzerklärung möglich machten, nicht mehr anwendbar seien.
Zuvor hatte die bayerische Aufsichtsbehörde bereits im Februar 2019 im Rahmen des „Safer Internet Day“ zahlreiche Homepages hinsichtlich Tracking untersucht und beschlossen „die vorgefundenen Missstände abzustellen und die Einleitung von Bußgeldverfahren zu prüfen“.
Alle Aufsichtsbehörden fühlen sich nun durch das EuGH-Urteil in Ihrer Ansicht/Einschätzung bestätigt. Bayern hat auf einer aktuellen Veranstaltung angekündigt es nicht nur bei Überprüfungen zu belassen, sondern auch Sanktionen durchzuführen.
Das EuGH-Urteil wird sich in der geplanten ePrivacy-Verordnung der EU wiederfinden und es ist anzunehmen, dass die deutsche Gesetzgebung das ebenfalls durch Änderungen des Telemediengesetzes berücksichtigt.
Wie können die Anforderungen erfüllt werden?
Um bereits jetzt auf das EUGH-Urteil zu reagieren empfiehlt sich der Einsatz von sogenannten Consent Management Tools, die unterscheiden, ob Cookies für die Funktionalität der Seite erforderlich bzw. notwendig sind, oder lediglich einer Analyse des Webseitenbesuchers dienen, um z.B. zielgerichtetes Marketing durchzuführen und den Webseitenbesucher beim erneuten Besuch wiederzuerkennen.
Für alle Cookies, die nicht erforderlich sind, muss eine Einwilligung bei dem Betroffenen eingeholt werden. Gemäß Erwägungsgrund 32 muss eine Einwilligung durch eine „eindeutige bestätigende Handlung“ erfolgen, eine Vorauswahl, bei der bereits bei allen Cookies die Häkchen gesetzt sind, ist demnach nicht rechtskonform.
Wie geht es weiter?
Wie intensiv sich die Aufsichtsbehörden nun auf die Thematik „stürzen“ ist schwer abzuschätzen. Falls ein Unternehmen überprüft würde und sich daraus ein Bußgeld ergäbe, bliebe immer noch die Möglichkeit sich dagegen auf dem Rechtsweg zu wehren. Angesichts des EuGH-Urteils aus unserer Sicht mit zweifelhaftem Erfolg.
Nun ist der BGH wieder „am Zug“ und muss entscheiden wie das Ganze im deutschen Recht zu beurteilen ist. Zu erwarten sind Änderungen im Telemediengesetz, die dem Urteil des EuGH folgen. Möglicherweise wird auch der Gesetzgebungsprozess der ePrivacy-Verordnung durch das EuGH-Urteil beschleunigt.
Dieser Beitrag stellt keine Rechtsberatung dar. Wenn Sie zu diesem Thema Beratung wünschen freuen wir uns über Ihre Kontaktaufnahme und helfen gerne weiter!
Bildquelle: Bild von Bernadette Wurzinger auf Pixabay
Von Steven Bösel
Dieser Beitrag stellt keine Rechtsberatung dar. Wenn Sie zu diesem Thema Beratung wünschen freuen wir uns über Ihre Kontaktaufnahme und helfen gerne weiter!