Aktuelle Rechtsprechung zu Cookies & Datenschutz: Was jetzt zu tun ist

Aktuelle Rechtsprechung zu Cookies & Datenschutz: Was jetzt zu tun ist

Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) nun in Kraft und hat den Umgang mit personenbezogenen Daten auf eine neue Rechtsgrundlage gestellt. Doch beim Einsatz von Cookies lässt auch die DSGVO Interpretationsspielraum. Die aktuelle Rechtsprechung des EuGH wird da nun konkreter, aber eine abschließende Regelung zum Thema Cookies steht nach wie vor aus. Die soll erst in 2020 mit der europäischen E-Privacy-Verordnung (ePVO) folgen.

Das Ziel der DSGVO war und ist insbesondere der Schutz personenbezogener Daten von Internet-Nutzern. Und auch bei den in Cookies gespeicherten Daten kann es sich um personenbezogene Daten handeln, wie sie in Artikel 4 der DSGVO definiert sind. Doch teilweise werden Cookies auch nur dafür eingesetzt, bestimmte Funktionen wie Seiten- oder Spracheinstellungen zu steuern, ohne dass hierbei personenbezogene Daten erfasst werden.

Cookie-Hinweise in der Praxis

In der Praxis werden Cookie-Hinweise von Website-Betreibern ganz unterschiedlich umgesetzt: Einige informieren nur über das Setzen von Cookies, andere holen vorab ein ausdrückliches Einverständnis des Nutzers ein. Für welche Zwecke Cookies verwendet werden, bleibt im Cookie-Hinweis meist schwammig und wird wenn überhaupt erst in der Datenschutzerklärung konkretisiert.  

EuGH-Urteil: Ausdrückliche Einwilligung erforderlich

Das aktuell diskutierte Urteil des EuGH resultierte aus einer Klage des Verbraucherzentrale Bundesverbands (vzbz) gegen einen Gewinnspielanbieter. Dieser hatte im Cookie-Hinweis seiner Website das Häkchen zur Zustimmung zur Nutzung von Cookies bereits voreingestellt. Das Gericht kam zu dem Ergebnis, dass durch diese Voreinstellung die erforderliche ausdrückliche Einwilligung in die Verwendung von Cookies nicht wirksam erteilt wird.

Cookies sind nicht gleich Cookies

Doch das EuGH-Urteil lässt offen, ob dies für alle Cookies zu gelten hat. Die aktuelle EU-Cookie-Richtlinie unterscheidet in „technisch notwendige“ und „technisch nicht notwendige“ Cookies. Zur ersten Kategorie zählen Cookies, die für die Funktion einer Website unbedingt erforderlich sind, also etwa zum Speichern von Login-Daten oder für Warenkörbe bei Online-Shops. Als nicht notwendige Cookies sieht die Richtlinie u.a. Tracking-, Targeting- oder auch Social-Media-Cookies an.

Cookies der ersten Kategorie dürfen gemäß der Cookie-Richtlinie auch ohne vorherige Zustimmung des Nutzers gesetzt werden, die der zweiten Kategorie jedoch erst nach ausdrücklicher Einwilligung durch den Nutzer.

Die Situation auf nationaler Ebene

Deutschland hat die EU-Cookie-Richtlinie nicht mit einem eigenen Gesetz geregelt. Somit ist diese hierzulande nicht rechtlich bindend, stattdessen gilt das Telemediengesetz (TMG), welches eine Unterrichtung des Nutzers inklusive Hinweis auf ein Widerspruchsrecht als ausreichend erachtet. Üblicherweise ist das ein Cookie-Hinweis beim erstmaligen Aufruf der Website mit Verlinkung zu einem entsprechenden Textabschnitt in der Datenschutzerklärung.

Abschließende Regelung erst mit der E-Privacy-Verordnung

Das neuerliche EuGH-Urteil kann jetzt diesbezüglich als Verschärfung interpretiert werden, da es keine Unterscheidung bzgl. der Cookie-Kategorien vornimmt und generell die ausdrückliche Einwilligung als erforderlich ansieht. Jedoch ist das EuGH-Urteil nicht unmittelbar bindend. Der konkrete Fall geht zurück zum BGH. Allerdings haben sich deutsche Gerichte an die Vorgaben des EuGH zu halten.

Eine abschließende Klärung des Sachverhalts dürfte somit erst mit Verabschiedung der E-Privacy-Verordnung erfolgen, die für das Jahr 2020 erwartet wird. Doch schon der Entwurf lässt durchblicken, dass zukünftig Third-Party-Cookies, wie sie üblicherweise für Tracking-, Marketing- und Social-Media-Funktionen eingesetzt werden, nur noch mit ausdrücklichem, vorab erteiltem Einverständnis des Nutzers erlaubt sein werden.

Wie sollten Website-Betreiber die Verwendung von Cookies aktuell umsetzen, um weitestgehende Rechtssicherheit zu haben?

  • Mit dem ersten Aufruf der Website sollte die Einwilligung durch den Nutzer eingeholt werden, bevor Cookies gesetzt werden. Idealerweise für alle Cookies, mindestens aber für die technisch nicht unbedingt erforderlichen Cookies.
  • Der Cookie-Hinweis sollte möglichst detailliert und verständlich über die Cookie-Verwendung informieren
  • Die vom Cookie-Hinweis verlinkte Datenschutzerklärung soll diese Verwendungen dann konkretisieren und auf das Widerspruchsrecht hinweisen (Opt-Out). Gemäß DSGVO ist in der Datenschutzerklärung auch die Rechtsgrundlage für das Verwenden von Cookies zu nennen.
  • Gegebenenfalls sollte über den Einsatz eines sog. Consent Tools nachgedacht werden. Ein Consent Tool ist eine technische Plattform, die es einem Website-Betreiber ermöglicht, die Zustimmungen zum Einsatz von Cookies zu dokumentieren und zu verwalten.

Prüfen Sie am besten jetzt, wie es um den Cookie-Hinweis Ihrer Website bestellt ist und ob Handlungsbedarf besteht. Wir als Agentur unterstützen Sie gern dabei!