EuGH-Urteil: Aktive Einwilligung bei Cookies erforderlich

Der Europäische Gerichtshof hat sich am 01.10.2019 zum Thema Cookie-Hinweis geäußert, Unklarheiten aufgelöst und somit die langwierige Debatte beendet. Durch diese Maßnahmen soll für mehr Datentransparenz gesorgt werden. Demnach müssen Nutzer der Datenerhebung durch sogenannte Cookies aktiv zustimmen. Das schließt die Abwahl automatisch vorangekreuzter Einwilligungen, sogenannte Opt-outs, aus. Der Gerichtshof entschied ferner, dass es unerheblich ist, ob es sich bei der Datenverarbeitung um personenbezogene oder pseudonymisierte Daten handelt. Außerdem sollen für Nutzer Informationen über die Funktionsdauer und den Zugriff Dritter hervorgehen.
Laut aktuellen Berichten sind Verbraucherzentralen und Datenschutzbehörden bereits tätig und haben Bußgelder und Abmahnungen angekündigt.

Was sind Cookies?

Cookies sind kleine Textdateien, welche die Wiedererkennung eines Endgerätes ermöglichen. Sie werden durch die Webseitenanbieter auf dem Endgerät gespeichert. Es wird unterschieden zwischen den für die Nutzer nützlichen und den eher unbeliebten Cookies. Zum einen werden Vorgänge, wie z.B. der Login auf einer Webseite, durch gespeicherte Passwörter, oder das Zwischenspeichern von Warenkörben erleichtert.
Tracking-Cookies sind hingegen unbeliebte Cookies, wodurch umfassende Auswertungen über Surf- und Nutzungsverhaltens von Kunden durchgeführt werden. Nutzerdaten werden dauerhaft gespeichert. So werden personalisierte Werbung und Produktvorschläge erstellt. Von solchen Werbe-Cookies war auch beim EuGH-Urteil die Rede. Cookies mit werblichen Zwecken sind also von der Neuregelung betroffen.

Hintergrund

Die Klage des Verbraucherzentrale Bundesverbands (VZBZ) gegen die Gewinnspielfirma Planet49 GmbH war der Auslöser der Verhandlung im EuGH. Bei Online-Gewinnspielen auf der Webseite wurden Cookie-Hinweise angezeigt, welche die Nutzer fragten, ob sie mit der Auswertung ihres Surfverhalten für Werbezwecke einverstanden seien. Es ging darum 57 Unternehmen zu erlauben sie per Post, Telefon oder E-Mail zu kontaktieren. Das Ankreuzkästchen war jedoch bereits angehakt. Dies stellt für Verbraucher/-innen keine rechtskonforme Wahlmöglichkeit dar. Somit stimmten Nutzer mit nur einem Mausklick auf den Teilnahme-Button der Abfrage zu.

Hierzulande herrscht Unklarheit

Was das alles aber für deutsche Seitenbetreiber bedeutet, bleibt weitgehend offen. Bekanntlich sind EU-Richtlinien nur dann gültig, wenn sie in dem jeweiligen nationalen Gesetz verankert werden. Bei den E-Privacy-Richtlinien wurde das oft nicht umgesetzt. Die meisten Webseitenbetreiber berufen sich weiterhin auf das deutsche TMG, welches statt einer aktiven Einwilligung das Opt-out Kästchen vorsieht. Darüber hinaus sind deutsche Datenschutzbehörden der Meinung, dass sowohl die E-Privacy-Richtlinien als auch das TMG nur noch dann von Relevanz sind, wenn keine Erhebung personenbezogener Daten stattfindet und somit die DSGVO nicht betroffen ist. Aktuell werden Cookies zu Werbezwecken ohne Einwilligung der Nutzer eingesetzt. Dabei berufen sich die Seitenbetreiber auf ihr „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f) der DSGVO. Ob diese Methode legitim ist, wurde ebenfalls nicht klar definiert.

To Do für Webseitenbetreiber:

In Zukunft werden bloße Cookie Hinweis-Pop-Ups ohne Einwilligungsoptionen zur Zustimmung nicht mehr als gesetzlich ausreichend betrachtet. Die Datenübertragung ist nur durch die Einwilligung des Nutzers gestattet. Geeignet ist die Verwendung von Consent Tools oder Opt-In Banner, welche die aktive Zustimmung erfordern.

Im nächsten Schritt muss die Datenschutzerklärung auf der Webseite um die eingesetzten Tools ergänzt werden. Weitere Informationen finden Sie auf der Homepage unseres Rechtspartners e-Recht24.