Definition: Cookies
Cookies sind Textdateien, die von einer Website auf dem Endgerät eines Nutzers hinterlegt werden, sobald er diese besucht. So werden Einstellungen wie Sprache oder Anmeldedaten gespeichert und wiedererkannt, wenn der Nutzer die Homepage erneut aufruft. Das ermöglicht und erleichtert die Nutzung einer Website. Es gibt aber auch sog. Tracking-Cookies, die es dem Website-Betreiber erlauben, das gesamte Surfverhalten des Nutzers aufzuzeichnen und die Informationen insbesondere für Werbezwecke zu nutzen.
EuGH-Urteil zu Cookies: Entscheidung konkretisiert DSK-Positionspapier
Mit dem Urteil vom 01.10.2019 (Az.: C-673/17) hat der EuGH bekräftigt, was seit Mai 2018 gilt: Website-Betreiber dürfen Tracking-Cookies nur mit ausdrücklicher, nachweisbarer und widerrufbarer Einwilligung der betroffenen Person setzen. An dieser Stelle ist es wichtig, zwischen sog. First Party Cookies und Marketing- bzw. Tracking-Cookies (Third Party Cookies) zu unterscheiden:
- Das Setzen von First Party Cookies ist erforderlich, um dem Besucher das Nutzen einer Website überhaupt zu ermöglichen bzw. zu erleichtern. So wird z. B. ein Cookie für die Anzeige des Warenkorbs benötigt.
- Hinter Tracking-Cookies stecken meist Marketingtools wie Google Analytics. Sie bezwecken lediglich das Sammeln von Informationen über das Surfverhalten des Nutzers, um ein Profil insbesondere zu Werbezwecken zu erstellen. Oft werden die so gesammelten Daten auch an Dritte weitergegeben.
Nur Letztere sind Bestandteil des aktuellen EuGH-Urteils, das geltendes Recht lediglich konkretisiert. Denn die Datenschutzkonferenz (DSK) hat bereits Ende April 2018 in einem Positionspapier erklärt, dass das Tracking des User-Verhaltens mittels Cookies nur mit Opt-in zulässig ist. In diesem Schreiben hebelt die DSK die entsprechenden Regelungen in §§ 12, 13 und 15 des Telemediengesetzes (TMG) aus und verweist auf die vorrangige Wirksamkeit des Art. 6 Abs. 1 der Europäischen Datenschutz-Grundverordnung (DSGVO).
Dennoch ist das EuGH-Urteil vom 01.10.2019 für Website-Betreiber wegweisend. Denn es nimmt nicht nur eine Einschätzung der gesetzlichen Regelungen vor, sondern macht ganz konkrete Angaben dazu, welche Daten im Hinblick auf Cookies geschützt sind und welche konkreten Angaben ein Cookie-Banner enthalten muss.
Was gilt als First Party Cookie?
Ein Schlupfloch, das Website-Betreiber jetzt noch nutzen können, ist die Unsicherheit darüber, welche Cookies konkret als First Party Cookies gelten. Denn es ist nicht abschließend geklärt, welche Cookies nun wirklich für die Funktionsweise der Website erforderlich sind. Dazu werden wohl noch andere Gerichtsurteile folgen, die der „Infodienst Datenschutz für Praktiker“ vorstellen und einordnen wird.
Geht es schließlich an die Ausarbeitung eines datenschutzkonformen Cookie-Banners mittels eines Consent Tools, dürfen Website-Betreiber nicht vergessen, ihre Datenschutzerklärung entsprechend anzupassen. Eine Muster-Datenschutzerklärung nach DSGVO finden sie hier. Weitere Vorlagen, Checklisten und Merkblätter für einen datenschutzrechtlich optimal umgesetzten Internetauftritt erhalten Website-Betreiber mit der „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“.
EuGH-Urteil beschreibt drei Grundsätze zu Tracking-Cookies
Die meisten Websites arbeiten aktuell mit Cookie-Bannern, die lediglich über den Einsatz von Cookies informieren – zwischen First Party Cookies und Tracking-Cookies wird zumeist gar nicht unterschieden. Das zeigt, dass trotz bestehender rechtlicher Vorgaben große Unsicherheit darüber herrscht, wie denn ein Cookie-Banner gestaltet werden und welche Informationen dieser enthalten muss, um den datenschutzrechtlichen Anforderungen zu genügen.
Auf Grundlage der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie von Richtlinien, die durch diese Rechtsschriften abgelöst wurden, hat der EuGH in seinem Urteil folgende Grundsätze zu Tracking-Cookies beschrieben:
1. Opt-in-Verfahren für Tracking-Cookies ist verpflichtend
Das Setzen von Tracking-Cookies anhand eines Opt-out-Verfahrens ist laut EuGH datenschutzrechtlich nicht zulässig. Es reicht also nicht aus, wenn der Website-Betreiber durch ein Cookie-Banner darüber informiert, dass Cookies gesetzt werden bzw. wurden und der Besucher der Website dieser „automatischen“ Cookie-Einwilligung erst aktiv widersprechen muss.
Konkret heißt es im Urteil, dass
„keine wirksame Einwilligung [...] vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“
Vielmehr muss der Nutzer anhand einer aktiven Zustimmung das Setzen von Tracking-Cookies auf seinem Rechner erlauben. Dafür wird ein Opt-in-Verfahren benötigt.
2. Geschützt sind alle Daten des Users nicht nur die personenbezogenen
Nach Ansicht des EuGH ist es nicht von Bedeutung, ob es sich bei den durch Tracking-Cookies gesammelten Daten um personenbezogene Daten handelt oder nicht. Denn Informationen, die auf dem Endgerät des Nutzers gespeichert werden, gehören grundsätzlich zur Privatsphäre des Anwenders.
3. Inhalt des Cookie-Banners
Die Frage nach den Mindestinformationen eines datenschutzkonformen Cookie-Banners, beantwortet der EuGH ebenfalls. Demnach muss ein Cookie-Banner mindestens folgende Informationen beinhalten:
|
Bis wann muss das rechtssichere Cookie-Banner implementiert sein?
Bis zu welchem Zeitpunkt Website-Betreiber das rechtssichere Cookie-Banner umgesetzt haben müssen, gehört zu den offenen Fragen. Zu viel Zeit sollten sich Unternehmen damit nicht lassen, denn das aktuelle EuGH-Urteil konkretisiert lediglich bereits geltendes Recht.
Das Bayerische Landesamt für Datenschutzaufsicht führte bereits zum Safer Internet Day 2019 eine Untersuchung von Websites mit sehr großer Reichweite durch. Dabei wurde u. a. auch der Einsatz der „Cookie-Banner“ betrachtet. Das Ergebnis ist ernüchternd: Keine der untersuchten Websites, die Cookie-Banner nutzen, wird den Anforderungen der DSGVO an eine zulässige Einwilligung gerecht. Laut Pressemitteilung des BayLDA wurden die erkannten Defizite auch zum Anlass für „aufsichtliche Verfahren“.
Zu bedenken ist allerdings auch, dass die Veröffentlichung der ePrivacy-Verordnung weiterhin aussteht, in der konkrete Regelungen zur Cookie-Nutzung enthalten sein werden. Ursprünglich hätte die Verordnung gemeinsam mit der DSGVO erscheinen sollen, lässt jedoch auf sich warten.
Gratis-Download
Laden Sie sich das kostenlose Dokument „Checkliste Art. 17 DSGVO“ herunter und erfahren Sie den aktuellen Stand zum Recht auf Löschung und Vergessenwerden!
Quellen: curia.europa.eu, e-recht24.de