Der Begriff der Cookies

Cookies sind kleine Textdateien, die beim Besuch einer Webseite lokal auf dem Endgerät des Nutzers abgelegt werden. Mit Hilfe der Cookies lassen sich über den Webbrowser Nutzereinstellungen und andere Informationen speichern. Wenn der Nutzer eine Webseite erneut besucht, kann die Webseite diese Informationen abrufen und an den Server senden. So können Cookies einerseits das Navigieren zwischen Seiten erleichtern und das Nutzererlebnis verbessern, andererseits aber auch dabei helfen, Informationsangebote und Werbung auf die Interessen der Nutzer abzustimmen oder das Nutzerverhalten auf der Webseite zu erfassen.

 

Zusammenfassung des EuGH-Entscheidung (Rechtssache C‑673/17)

Am Dienstag, den 01.10.2019, hat sich der EuGH zum Thema der datenschutzrechtlichen Einwilligung bei der Verwendung von Cookies positioniert, während die Praxis davon ausging, dass dieses Thema nun endgültig mit der anstehenden ePrivacy-VO geregelt werden würde. Dem Urteil ging ein jahrelanger Rechtsstreit zwischen dem Verbraucherzentrale Bundesverband e.V. (vzbv) und der Planet 49 GmbH voraus. Das Gericht entschied, dass für die Verwendung von Cookies eine aktive Einwilligung des Nutzers vorliegen müsste und bereits voreingestellte Ankreuzkästchen dieser Anforderung nicht genügten. Die einschlägigen Vorschriften seien nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers auf einer Webseite gespeicherten Informationen um personenbezogene Daten handele oder nicht. Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zählten zu den Informationen, die der Diensteanbieter dem Nutzer einer Webseite zu geben hat.

 

Auswirkungen des Urteils auf die Praxis

Webseitenbetreiber müssen nach Auffassung des EuGH sicherstellen, dass sie für die Verwendung von Drittanbieter-Cookies eine „echte“ Einwilligung des Webseitennutzers erhalten, die den datenschutzrechtlichen Anforderungen genügt. Bislang wurde die Verwendung von Drittanbieter-Cookies häufig auf ein berechtigtes Interesse des Webseitenbetreibers gem. Art. 6 Abs. 1 lit. f DSGVO gestützt, in der Hoffnung, dass damit eine rechtliche Grauzone ausgenutzt wird. Häufig gab es hierfür einen Informationsbanner ohne jegliche Einwilligungsmechanismen. Nach der Entscheidung des EuGH ist dies zumindest nicht mehr möglich. Dennoch ist hervorzuheben, dass der EuGH andere Rechtsgrundlagen aus der DSGVO nicht explizit ausgeschlossen hat. Der Präsident des BayLDA, Thomas Kranig, kündigte auf der IAPP Konferenz in Deutschland an, mehrere Unternehmen wegen dem nicht datenschutzkonformen Einsatz von Tracking-Mechanismen mit Geldbußen zu sanktionieren.

 

Ausblick und Handlungsnotwendigkeiten

Die Entscheidung des EuGH bezieht sich lediglich auf die Einwilligung, aber lässt andere Rechtsgrundlagen aus der DSGVO unberührt. Demnach müssten datenschutzkonforme Einwilligungsmechanismen und weitere Rechtsgrundlagen genauer betrachtet werden. Fakt ist, dass der BGH nun die Antworten des EuGH auf das deutsche Recht übertragen muss. Wahrscheinlich wird dies dazu führen, dass er den § 15 TMG für nicht anwendbar erklärt und Art. 6 Abs. 1 lit. a DSGVO als einschlägige Rechtsgrundlage heranzieht. Dies bleibt aber abzuwarten. Aktuell können aufgrund der Rechtsunsicherheit zwar keine klaren Äußerungen zur Rechtslage gemacht werden, dennoch sollten folgende Schritte unternommen bzw. folgende Aspekte beachtet werden:

  • Alle auf der Webseite eingesetzten Cookies müssten noch einmal überprüft werden. Es müsste ermittelt werden, welche Cookies technisch notwendig sind, und welche nicht.
  • Entsprechend sollte auf nicht zwingend notwendige Cookies verzichtet werden.
  • Für Cookies, die auf ein berechtigtes Interesse gestützt werden können, sollten umfangreiche Interessenabwägungen vorgenommen werden.
  • Bis Rechtsklarheit besteht, sollten keine neuen Tracking- oder Werbe-Cookies eingesetzt werden.

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz
Fachkundenachweis zum Datenschutzbeauftragten