DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Umgang mit Cookies/Rechtliche Situation

Das Cookie-Urteil des EuGH

Aus­gangs­si­tuation:
Im Jahr 2013 klagte der Bun­des­verband der Ver­brau­cher­zen­trale auf­grund einer vor­ein­ge­stellten Cookie-Zustimmung bei der Gewinn­spiel­re­gis­trierung auf der Web­seite Planet49. Den Teil­neh­menden wurde ein Fenster ange­zeigt, bei dem bereits die Ein­wil­ligung für Cookies ange­kreuzt war. Letztlich ging der Fall zum Bun­des­ge­richtshof (BGH). Da der Sach­verhalt eine EU-Rich­t­­linie tan­gierte, fragte der BGH den Euro­päi­schen Gerichtshof (EuGH) um Ein­schätzung der recht­lichen Lage. Am 01.10.2019 ver­kündete dieser seine Ent­scheidung.

Urteil:
Der EuGH hat ent­schieden, dass eine vor­ein­ge­stellte Zustimmung für Cookies nicht EU-rechts­­konform ist. Denn bereits seit 2009 ist es gesetzlich vor­ge­schrieben, dass Nutzer*innen über den Einsatz von Cookies infor­miert werden und dem auch aktiv zustimmen müssen. Der deutsche Gesetz­geber war jedoch der Meinung, dass die Opt-Out-Mög­­lichkeit aus § 15 Tele­me­di­en­gesetz (TMG) bereits einem Umsetzen der Daten­schutz­richt­linie für elek­tro­nische Kom­mu­ni­kation 2002/58/EG in natio­nales Recht ent­spricht. Aus diesem Grund wurde Nutzer*innen auf deut­schen Web­seiten oft eine vor­an­ge­kreuzte Checkbox zur Ein­wil­ligung von Cookies ange­zeigt. Ein deut­scher Son­derweg mit lediglich einer Opt-Out-Lösung ist somit end­gültig aus­ge­schlossen.
Eben­falls bestä­tigte der EuGH, dass es dabei uner­heblich ist, welche Art von Daten ver­ar­beitet wird. Ob es sich hierbei um per­so­nen­be­zogene Daten handelt oder nicht, macht also keinen Unter­schied.
Als nächsten Schritt muss nun der BGH ent­scheiden, wie das Ganze im deut­schen Recht zu bewerten ist. Die Ein­schätzung des EuGH ist jedoch in diesem Zusam­menhang ein­deutig.

Was bedeutet das für Unter­nehmen:
Unter­nehmen sollten schon jetzt auf eine vor­an­ge­kreuzte Checkbox zur Ein­wil­ligung von Cookies ver­zichten.
Juristen sind der Meinung, dass nur solche Cookies ohne Ein­wil­ligung ein­ge­setzt werden dürfen, die die tech­nische Vor­aus­setzung für einen Dienst dar­stellen und dieser nur dadurch ermög­licht wird. Grund­le­gende Analyse-Cookies von Web­seiten könnten eben­falls ohne Ein­wil­ligung als not­wendig ein­ge­stuft werden.
Um auf der sicheren Seite zu sein, sollten nun Unter­nehmen damit beginnen, ihre ver­wen­deten Cookies zu ana­ly­sieren. Es gilt ein­zu­schätzen, welche Cookies für die Bereit­stellung eines Dienstes essen­tiell erfor­derlich sind und welche nicht. In jedem Fall emp­fiehlt es sich im Zusam­menhang mit dem Prinzip der Daten­spar­samkeit, so wenig wie möglich Cookies zu ver­wenden. Auf keinen Fall sollten jedoch Cookies vor einer aktiven Ein­wil­ligung der Nutzer*innen gesetzt werden.
Ver­gessen Sie auch nicht, Ihre Nutzer*innen nach Art 13. DSGVO über die Ver­ar­beitung ihrer Daten zu infor­mieren. Das betrifft unter anderem die Funk­ti­ons­dauer von Cookies und ob Dritte Zugriff auf die ver­wen­deten Cookies erhalten.

Fazit:
Das Urteil des EuGH hat nun etwas Klarheit geschaffen. Es ist abzu­warten, wie der BGH ent­scheiden wird. Da die Vor­gaben des EuGH jedoch deutlich sind, ist eine Abwei­chung des BGH sehr unwahr­scheinlich. Eine feste Frist gibt es nicht.
Dennoch heißt es für Unter­nehmen: Jetzt handeln!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alper Kaya, DATEV eG

Alper Kaya ist seit Herbst 2014 Student der Wirt­schafts­wis­sen­schaften mit Schwer­punkt Betriebs­wirt­schaft an der Friedrich-Alex­ander-Uni­ver­sität Erlangen-Nürnberg.
Seit 2018 ist er daneben als Werk­student bei der Datev eG tätig. Derzeit unter­stützt Herr Kaya den Beauf­tragten für den Daten­schutz im Bereich Service und Ver­trieb.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.