Cookies, also Textinformationen zum Erkennen von Nutzern, dürfen nicht mehr automatisch gesetzt werden. Das gilt auch, wenn der Nutzer beim Aufrufen einer Internetseite darauf hingewiesen wird. So entschied der EuGH am 1. Oktober 2019 (Az. C-673/17). Den europäischen Richtern zufolge ist es erforderlich, dass der Nutzer dem Setzen von Cookies aktiv zustimmt, bevor sie gesetzt werden. Was bedeutet die Entscheidung für die Praxis?
Cookies (englisch „Kekse“) sind sowohl für Internetnutzer als auch für die Betreiber von Webseiten wichtig: Warenkorb-Cookies merken sich ausgewählte Waren. Cookies können auch Spracheinstellungen speichern. Und natürlich sind Cookies – vor allem für die Betreiber von Webseiten – wichtig für die Analyse des Nutzerverhaltens, also für statistische Zwecke oder das Anzeigen individualisierter Werbung.
Ohne ausdrückliche vorherige Zustimmung des Besuchers einer Internetseite dürfen Cookies laut der EuGH-Entscheidung nicht eingesetzt werden. Damit liegt der EuGH im Ergebnis auf einer Linie mit den eher strengen deutschen Aufsichtsbehörden. Unternehmen und Wirtschaftsanwälte waren bislang überwiegend der Meinung, dass – zumindest in bestimmten Fällen – eine „Opt-Out“-Lösung für Cookies ausreichend ist.
Den Stein für das Verfahren vor dem EuGH ins Rollen gebracht hatte der Verbraucherzentrale Bundesverband e.V. (VZBV). Er beanstandete die Internetseite des Glückspielanbieters Planet49. Auf der Anmeldeseite hatte Planet49 bereits ein Häkchen gesetzt, dass der Nutzer mit dem Setzen von Cookies einverstanden ist; dieses Häkchen muss der Nutzer abwählen, wenn er nicht wollte, dass Cookies gesetzt werden. Der VZBV hielt dieses „Opt-Out“-Verfahren für unzulässig und ging gerichtlich dagegen vor. In der Revisionsinstanz legte der BGH dem EuGH eine Reihe von Fragen zum Einsatz von Cookies vor, unter anderem, ob eine ausdrückliche Einwilligung erforderlich ist, bevor ein Cookie gesetzt wird.
Dem EuGH zufolge entspricht die „Opt-Out“-Lösung nicht den Anforderungen an eine „wirksame Einwilligung“. Von einer aktiven Einwilligung, wie sie die ePrivacy-Richtlinie auch bei nicht personenbezogenen Daten vorsehe, könne bei einem bereits ausgefüllten Einwilligungsfeld nicht die Rede sein. Darüber hinaus beanstandete der EuGH, dass der Nutzer bei einem „Opt-Out“-Verfahren nicht hinreichend informiert werde. Der EuGH beleuchtet die Zulässigkeit des Setzens von Cookies vor allem im Licht der ePrivacy-Richtlinie, die in Deutschland allerdings bislang nur unzureichend in nationales Recht umgesetzt wurde. Die deutschen Datenschutzaufsichtsbehörden gingen daher bislang davon aus, dass beim Einsatz von Cookies alleine die DS-GVO anzuwenden ist. Das Verhältnis zwischen ePrivacy-Richtlinie und DS-GVO hat der EuGH in seiner Entscheidung offengelassen. Sofern die ePrivacy-Richtlinie vorrangig wäre, wäre bei der Datenverarbeitung eine Einwilligung erforderlich, die den Anforderungen des EuGH entspricht. Das „berechtigte Interesse“ im Sinne von Art. 6 Abs. 1 lit. f) DS-GVO, das eine Einwilligung entbehrlich macht, wäre dann wohl nicht mehr ausreichend.
Praxistipp
Die Entscheidung der Luxemburger Richter macht deutlich, dass auch beim Betreiben einer Website der Schutz personenbezogener Daten und eine transparente Datenverarbeitung von großer Bedeutung sind. Ein generelles „Opt-Out“-Verfahren für Cookies ist nicht mehr zu empfehlen. Auch die Praxis, von einer stillschweigenden Einwilligung auszugehen, wenn der Besucher die Website trotz Cookie-Hinweis weiter nutzt, ist nicht mehr zulässig. Stattdessen muss der Nutzer vor dem Setzen von Cookies informiert werden und dem aktiv zustimmen – und zwar auch dann, wenn mit dem Cookie keine personenbezogenen Daten gesammelt werden.
Unklar ist noch, wie die vom EuGH beantwortete Frage von den Gerichten und den Aufsichtsbehörden praktisch gehandhabt werden wird. Momentan wäre es daher möglicherweise auch vertretbar, in eng umgrenzten Fällen zumindest den Einsatz von sehr „datenschutzfreundlichen“ Cookies auf überwiegende berechtigte Interessen im Sinne der DS-GVO zu stützen und keine ausdrückliche Einwilligung einzuholen. Spätestens mit dem Inkrafttreten der ePrivacy-Verordnung, also voraussichtlich 2020, wäre diese Argumentation jedoch hinfällig. Wer datenschutzrechtliche Risiken weitgehend vermeiden möchte, sollte für alle Cookies, die nicht technisch erforderlich sind, ausdrückliche Einwilligungen einholen.
