Umgang mit Cookies/Rechtliche Situation

Das Cookie-Urteil des EuGH

Aus­gangs­si­tuation:
Im Jahr 2013 klagte der Bun­des­verband der Ver­brau­cher­zen­trale auf­grund einer vor­ein­ge­stellten Cookie-Zustimmung bei der Gewinn­spiel­re­gis­trierung auf der Web­seite Planet49. Den Teil­neh­menden wurde ein Fenster ange­zeigt, bei dem bereits die Ein­wil­ligung für Cookies ange­kreuzt war. Letztlich ging der Fall zum Bun­des­ge­richtshof (BGH). Da der Sach­verhalt eine EU-Rich­t­­linie tan­gierte, fragte der BGH den Euro­päi­schen Gerichtshof (EuGH) um Ein­schätzung der recht­lichen Lage. Am 01.10.2019 ver­kündete dieser seine Entscheidung.

Urteil:
Der EuGH hat ent­schieden, dass eine vor­ein­ge­stellte Zustimmung für Cookies nicht EU-rechts­­konform ist. Denn bereits seit 2009 ist es gesetzlich vor­ge­schrieben, dass Nutzer*innen über den Einsatz von Cookies infor­miert werden und dem auch aktiv zustimmen müssen. Der deutsche Gesetz­geber war jedoch der Meinung, dass die Opt-Out-Mög­­lichkeit aus § 15 Tele­me­di­en­gesetz (TMG) bereits einem Umsetzen der Daten­schutz­richt­linie für elek­tro­nische Kom­mu­ni­kation 2002/58/EG in natio­nales Recht ent­spricht. Aus diesem Grund wurde Nutzer*innen auf deut­schen Web­seiten oft eine vor­an­ge­kreuzte Checkbox zur Ein­wil­ligung von Cookies ange­zeigt. Ein deut­scher Son­derweg mit lediglich einer Opt-Out-Lösung ist somit end­gültig ausgeschlossen.
Eben­falls bestä­tigte der EuGH, dass es dabei uner­heblich ist, welche Art von Daten ver­ar­beitet wird. Ob es sich hierbei um per­so­nen­be­zogene Daten handelt oder nicht, macht also keinen Unterschied.
Als nächsten Schritt muss nun der BGH ent­scheiden, wie das Ganze im deut­schen Recht zu bewerten ist. Die Ein­schätzung des EuGH ist jedoch in diesem Zusam­menhang eindeutig.

Was bedeutet das für Unter­nehmen:
Unter­nehmen sollten schon jetzt auf eine vor­an­ge­kreuzte Checkbox zur Ein­wil­ligung von Cookies verzichten.
Juristen sind der Meinung, dass nur solche Cookies ohne Ein­wil­ligung ein­ge­setzt werden dürfen, die die tech­nische Vor­aus­setzung für einen Dienst dar­stellen und dieser nur dadurch ermög­licht wird. Grund­le­gende Analyse-Cookies von Web­seiten könnten eben­falls ohne Ein­wil­ligung als not­wendig ein­ge­stuft werden.
Um auf der sicheren Seite zu sein, sollten nun Unter­nehmen damit beginnen, ihre ver­wen­deten Cookies zu ana­ly­sieren. Es gilt ein­zu­schätzen, welche Cookies für die Bereit­stellung eines Dienstes essen­tiell erfor­derlich sind und welche nicht. In jedem Fall emp­fiehlt es sich im Zusam­menhang mit dem Prinzip der Daten­spar­samkeit, so wenig wie möglich Cookies zu ver­wenden. Auf keinen Fall sollten jedoch Cookies vor einer aktiven Ein­wil­ligung der Nutzer*innen gesetzt werden.
Ver­gessen Sie auch nicht, Ihre Nutzer*innen nach Art 13. DSGVO über die Ver­ar­beitung ihrer Daten zu infor­mieren. Das betrifft unter anderem die Funk­ti­ons­dauer von Cookies und ob Dritte Zugriff auf die ver­wen­deten Cookies erhalten.

Fazit:
Das Urteil des EuGH hat nun etwas Klarheit geschaffen. Es ist abzu­warten, wie der BGH ent­scheiden wird. Da die Vor­gaben des EuGH jedoch deutlich sind, ist eine Abwei­chung des BGH sehr unwahr­scheinlich. Eine feste Frist gibt es nicht.
Dennoch heißt es für Unter­nehmen: Jetzt handeln!