Verwendung von Cookies

Bild Gerd Altmann Pixabay

Der EuGH fordert für die Verwendung von Cookies auf Internetseite eine ausdrückliche freiwillige Einwilligung des Nutzers / Urteil des EuGH vom 01.10.2019 (Az. C-673/17) 

In einem aktuellen Urteil hat der europäische Gerichtshof (EuGH) zur Frage, inwieweit es zulässig ist auf einer Internetseite ohne Einwilligung des Nutzers Cookies zu verwenden, sinngemäß folgendes entschieden:

Cookies dürfen nach europäischem Recht nur gesetzt werden, wenn der Besucher der Internetseite ausdrücklich darin einwilligt. Die deutsche Rechtslage, wonach alternativ zur Einwilligung auch Widerspruchslösungen zulässig sind, verstößt gegen EU-Recht.

1. Hintergrund

Definition Cookies: Cookies sind Textdateien, die auf der Festplatte des Computers eines Internetseitenbesuchers abgelegt werden, um dessen Nutzungsverhalten auf der Internetseite zu analysieren. Auf Grundlage der hierdurch gewonnenen Nutzungsdaten aller Internetseitenbesucher können Internetseitenangebote nutzerfreundlicher gestaltet und weiterentwickelt werden.

Bisherige deutsche Rechtslage: Wegen der in Deutschland nicht umgesetzten sogenannten Cookie-Richtlinie (Richtlinie 2009/136/EG zum Schutz personenbezogener Daten bei Internetseiten-Besuchen) ist es nach deutschem Recht zulässig, Cookies zu setzen, ohne dass hierfür die Einwilligung des Internetseitenbesuchers eingeholt werden muss. Unter bestimmten Voraussetzungen genügt es, dem Besucher der Internetseite die Möglichkeit einzuräumen, der Verwendung von Cookies zu widersprechen.

 2. Sachverhalt

Ein deutscher Verbraucherverband hatte wegen der Verwendung von Cookies durch die deutsche Planet49 GmbH an die deutschen Gerichte gewandt. Bei Online-Gewinnspielen hat dieses Unternehmen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem die teilnehmenden Internetnutzer ihre Einwilligung in das Speichern von Cookies erklären mussten. Die Cookies dienten dabei zur Sammlung von Informationen zu Werbezwecken für Partnerprodukte der Planet49 GmbH. In dem bis vor dem BGH geführten Verfahren hat das oberste deutschen Zivilgericht nun den EuGH in einem Vorabentscheidungsersuchen um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation gebeten (BGH, Beschluss vom 05.10.2017; Az. I ZR 7/16)

3. Begründung des Gerichts

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die deutsche Praxis, den Internetseitenbetreiber nur ein Widerspruchsrecht einzuräumen, gegen europäisches Recht verstößt.

Das Setzen von Cookies erfordere stets die vorherige, ausdrückliche Einwilligung des Internetseitenbesuchers. Von besonderer Bedeutung sei dabei die Freiwilligkeit der Einwilligung. Vor diesem Hintergrund dürfte die Weiternutzung der Internetseite und ihrer Angebote nicht von der Erteilung der Einwilligung abhängig gemacht werden. Die erforderliche Einwilligung werde ebenso wenig durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, wirksam erteilt. Insoweit mache es zudem keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Denn das Unionsrecht solle den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. Schließlich müsse der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen.

4. Fazit 

Das vorstehe Urteil des EuGH entfaltet zwar keine sofortige unmittelbare Rechts-, jedoch eine praxisrelevante Signalwirkung. Es ist absehbar, dass sich in naher Zukunft auch der Bundesgerichtshof der Entscheidung des EuGH anschließen wird und die deutsche Rechtslage im Sinne des Europarechts auslegt.
Denkbar ist auch eine zusätzliche Klarstellung durch den deutschen Gesetzgeber. Zudem ist zu erwarten, dass die Datenschutzbehörden kurzfristig ihre Prüfungspraxis nach dem EuGH-Urteil ausrichten werden (erste diesbezügliche Schreiben sind uns bekannt). Kfz-Betriebe, die auf ihren Internetseiten noch Cookies ohne Einwilligung der Internetseitenbesucher einsetzen, sollten deshalb ihr Vorgehen möglichst zeitnah entsprechend anpassen. Insoweit hatten wir auch schon mit Rundschreiben vom 15.05.2018 (G18-087/F-18-041) zu einem solchen Vorgehen geraten. Schon damals hatten wir aus Vorsichtsgründen die Einwilligung des Internetznutzers als rechtssichere Variante empfohlen.

In der Anlage 1 findet sich ein aktualisiertes Muster für die Formulierung eines Datenschutzhinweises auf Internetseiten, mit dem die aktuelle EuGH-Entscheidung entsprechend umgesetzt werden soll. Keinesfalls kann es jedoch ungeprüft übernommen werden. Vielmehr bedarf es für jeden Einzelfall einer individuellen Anpassung.
Unser Dachverband, der ZDH, hat ebenfalls sein bestehendes Muster des Datenschutzhinweises bei Internetseiten aktualisiert (insbesondere die Musterformulierung für ein Cookie-Banner), welches als Anlage 2 beigefügt ist.