Chat with us, powered by LiveChat

Keine Cookies ohne Einwilligung? – Urteil de EuGH vom 01.10.2019 – (Aktenzeichen C 673/17 – Planet 49)

Am 01.10.2019 hat der Europäische Gerichtshof endlich die Frage geklärt, ob Cookies nur noch mit einer Einwilligung zulässig sind oder nicht (Urteil des EuGH (Aktenzeichen C 673/17 – Planet 49). Für  Marketingstrategen dürfte die Entscheidung eine kleine Katastrophe sein, das darf man verraten. Für Juristen ist die Entscheidung nicht wirklich überraschend. Aber fangen wir vorne an. 

Alles gut bisher – Was war das Problem?

Bereits seit 2009 verlangt die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der Fassung vom 25. November 2009, dass das Setzen eines Cookies nur mit einer informierten Einwilligung zulässig ist. Das heißt die Nutzung eines Cookies ist nur zulässig, wenn der Nutzer der Webseite dazu eingewilligt hat. Eine wirksame Einwilligung wiederum erfordert eine informierte Aufklärung. Das hat in Deutschland aber bislang niemanden so wirklich interessiert.  Bisher verwies man auf § 15 TMG, wonach ein Opt-Out ausreichend war. Nach Ansicht der Bundesregierung und auch der EU-Kommission war damit der Richtlinie genüge getan. Belastbar war diese Auffassung nach Meinung vieler Juristen nicht. Man hat sich aber offenbar damit abgefunden; vielleicht weil es bequem war.

Jetzt grätscht der EuGH dazwischen

Der bisherigen Praxis erteilte der EuGH nun mit Urteil vom 01.10.2019 – (Aktenzeichen C‑673/17 – Planet 49) eine Absage.

Eine wirksame Einwilligung setzt voraus, dass der Nutzer dem Einsatz eines Cookies aktiv zustimmt. Diese Voraussetzung ist nicht erfüllt, wenn das Häkchen bereits angekreuzt ist.

Das heißt einfach ausgedrückt: Weder ein Opt-Out, noch eine voreingestellte Einwilligung (also ein vorausgefülltes Häkchen) sind ausreichend für eine rechtssichere Einwilligung.

Nach Auffassung des EuGH gilt das im Übrigen nicht nur für Cookies bei denen personenbezogene Daten verarbeitet werden. Maßgeblich ist, dass der Nutzer vor Eingriffen in seine Privatsphäre geschützt werden soll. Dabei ist es unerheblich, ob die verarbeiteten Daten personenbezogen sind oder nicht.

Letztlich sind Betreiber einer Webseite auch noch verpflichtet Angaben zur Funktionsdauer der Cookies zu machen und ob Dritte Zugriff auf die Cookies erhalten können.

Keine Einwilligung bei technisch notwendigen Cookies

Es gibt allerdings eine wichtige Ausnahme. Eine Einwilligung ist nicht erforderlich, sofern die Cookies technisch unbedingt notwendig sind, damit der Anbieter die Webseite oder besser den “technischen Dienst” überhaupt zur Verfügung stellen kann. In der Richtlinie heißt es dazu etwas verklausuliert: Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Jetzt kann man sich wunderbar streiten, wann ein Cookie technisch unbedingt erforderlich ist und wann nicht. Unproblematisch sind Session- und Warenkorb-Cookies die zum Darstellen der Website oder zum Betrieb des Shops notwendig sind. Diese kann man weiter ohne Einwilligung nutzen. Anders wird es bei Cookies aussehen, die reinen Marketingzwecken dienen. Streiten kann man sich sicherlich über Cookies die etwa zur Analyse der Webseitenbesuche dienen. Wobei wahrscheinlich auch hier gute Gründe dafür sprechen, warum diese Cookies nicht unbedingt erforderlich sind und damit dem Einwilligungsvorbehalt unterliegen.

Was heißt das jetzt für die Praxis?

Wer Cookies nutzt, die für den technischen Betrieb der Seite und des Shops nicht unbedingt erforderlich sind, sollte davon ausgehen, dass diese Cookies nur mit einer Einwilligung genutzt werden dürfen. Das gilt auch für Cookies, die keine personenbezogene Daten verarbeiten, aber eben nicht zwingend erforderlich sind.

Die Nutzer müssen entsprechend aufgeklärt werden. In der Regel wird damit auch eine Anpassung der Datenschutzhinweise auf der Webseite notwendig.

Die bisherigen Cookie-Banner die lediglich ein “OK” zum Anklicken hatten, haben für die meisten Situationen ausgedient.

Was kann passieren, wenn ich nichts ändere?

Wer das  Urteil des EugH ignoriert und nichts unternimmt, riskiert Abmahnungen und Bußgelder. Es ist umstritten, ob Verstöße gegen die DSGVO durch Wettbewerber abgemahnt werden können. Die Tendenz geht aber – glücklicherweise –  in Richtung “nicht abmahnbar”. Dennoch muss man hier abwarten. Das letzte Wort ist noch nicht gesprochen. Unabhängig davon kann die jeweils zuständige Datenschutzbehörde eingreifen und ggf. Bußgelder verhängen. Auch hier ist noch nicht klar, wie hoch diese  ausfallen. Der Start dürfte aber bei ca. 900 EUR liegen, wenn nichts dazu kommt.

Bei Fragen stehen wir gerne zur Verfügung.

 

 

Comments(0)

    Leave a Comment