EuGH-Urteil bestätigt: Einsatz von Tracking-Cookies ist nur mit Opt-in erlaubt

© Tim – stock.adobe.com

Der Europäische Gerichtshof (EuGH) hat am 01.10.2019 ein Urteil gefällt, das wegweisend für Website-Betreiber ist. Das Gericht hat geurteilt, dass der Einsatz von Cookies zum Zweck des reinen User-Trackings nur erlaubt ist, wenn die betroffene Person ausreichend informiert wird und anhand eines Opt-in-Verfahrens dem Setzen von Cookies aktiv zustimmt. Damit setzt der EuGH keinen neuen Maßstab, sondern konkretisiert bereits geltendes Recht.

 

Definition: Cookies 

Cookies sind Textdateien, die von einer Website auf dem Endgerät eines Nutzers hinterlegt werden, sobald er diese besucht. So werden Einstellungen wie Sprache oder Anmeldedaten gespeichert und wiedererkannt, wenn der Nutzer die Homepage erneut aufruft. Das ermöglicht und erleichtert die Nutzung einer Website. Es gibt aber auch sog. Tracking-Cookies, die es dem Website-Betreiber erlauben, das gesamte Surfverhalten des Nutzers aufzuzeichnen und die Informationen insbesondere für Werbezwecke zu nutzen. 

EuGH-Urteil zu Cookies: Entscheidung konkretisiert DSK-Positionspapier 

Mit dem Urteil vom 01.10.2019 (Az.: C-673/17) hat der EuGH bekräftigt, was seit Mai 2018 gilt: Website-Betreiber dürfen Tracking-Cookies nur mit ausdrücklicher, nachweisbarer und widerrufbarer Einwilligung der betroffenen Person setzen. An dieser Stelle ist es wichtig, zwischen sog. First Party Cookies und Marketing- bzw. Tracking-Cookies (Third Party Cookies) zu unterscheiden: 

  • Das Setzen von First Party Cookies ist erforderlich, um dem Besucher das Nutzen einer Website überhaupt zu ermöglichen bzw. zu erleichtern. So wird z. B. ein Cookie für die Anzeige des Warenkorbs benötigt.
  • Hinter Tracking-Cookies stecken meist Marketingtools wie Google Analytics. Sie bezwecken lediglich das Sammeln von Informationen über das Surfverhalten des Nutzers, um ein Profil insbesondere zu Werbezwecken zu erstellen. Oft werden die so gesammelten Daten auch an Dritte weitergegeben.

Nur Letztere sind Bestandteil des aktuellen EuGH-Urteils, das geltendes Recht lediglich konkretisiert. Denn die Datenschutzkonferenz (DSK) hat bereits Ende April 2018 in einem Positionspapier erklärt, dass das Tracking des User-Verhaltens mittels Cookies nur mit Opt-in zulässig ist. In diesem Schreiben hebelt die DSK die entsprechenden Regelungen in §§ 12, 13 und 15 des Telemediengesetzes (TMG) aus und verweist auf die vorrangige Wirksamkeit des Art. 6 Abs. 1 der Europäischen Datenschutz-Grundverordnung (DSGVO)

Dennoch ist das EuGH-Urteil vom 01.10.2019 für Website-Betreiber wegweisend. Denn es nimmt nicht nur eine Einschätzung der gesetzlichen Regelungen vor, sondern macht ganz konkrete Angaben dazu, welche Daten im Hinblick auf Cookies geschützt sind und welche konkreten Angaben ein Cookie-Banner enthalten muss. 

Was gilt als First Party Cookie?

Ein Schlupfloch, das Website-Betreiber jetzt noch nutzen können, ist die Unsicherheit darüber, welche Cookies konkret als First Party Cookies gelten. Denn es ist nicht abschließend geklärt, welche Cookies nun wirklich für die Funktionsweise der Website erforderlich sind. Dazu werden wohl noch andere Gerichtsurteile folgen, die der „Infodienst Datenschutz für Praktiker“ vorstellen und einordnen wird.

Geht es schließlich an die Ausarbeitung eines datenschutzkonformen Cookie-Banners mittels eines Consent Tools, dürfen Website-Betreiber nicht vergessen, ihre Datenschutzerklärung entsprechend anzupassen. Eine Muster-Datenschutzerklärung nach DSGVO finden sie hier. Weitere Vorlagen, Checklisten und Merkblätter für einen datenschutzrechtlich optimal umgesetzten Internetauftritt erhalten Website-Betreiber mit der „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“.   

Setzen Sie die aktuellen Datenschutz-Anforderungen stets rechtssicher um mit den Arbeitshilfen aus der

Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop

mehr erfahren

EuGH-Urteil beschreibt drei Grundsätze zu Tracking-Cookies 

Die meisten Websites arbeiten aktuell mit Cookie-Bannern, die lediglich über den Einsatz von Cookies informieren – zwischen First Party Cookies und Tracking-Cookies wird zumeist gar nicht unterschieden. Das zeigt, dass trotz bestehender rechtlicher Vorgaben große Unsicherheit darüber herrscht, wie denn ein Cookie-Banner gestaltet werden und welche Informationen dieser enthalten muss, um den datenschutzrechtlichen Anforderungen zu genügen. 

Auf Grundlage der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie von Richtlinien, die durch diese Rechtsschriften abgelöst wurden, hat der EuGH in seinem Urteil folgende Grundsätze zu Tracking-Cookies beschrieben:

1. Opt-in-Verfahren für Tracking-Cookies ist verpflichtend  

Das Setzen von Tracking-Cookies anhand eines Opt-out-Verfahrens ist laut EuGH datenschutzrechtlich nicht zulässig. Es reicht also nicht aus, wenn der Website-Betreiber durch ein Cookie-Banner darüber informiert, dass Cookies gesetzt werden bzw. wurden und der Besucher der Website dieser „automatischen“ Cookie-Einwilligung erst aktiv widersprechen muss.

Konkret heißt es im Urteil, dass

 „keine wirksame Einwilligung [...] vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im        Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das        der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“ 

Vielmehr muss der Nutzer anhand einer aktiven Zustimmung das Setzen von Tracking-Cookies auf seinem Rechner erlauben. Dafür wird ein Opt-in-Verfahren benötigt.

2. Geschützt sind alle Daten des Users nicht nur die personenbezogenen

Nach Ansicht des EuGH ist es nicht von Bedeutung, ob es sich bei den durch Tracking-Cookies gesammelten Daten um personenbezogene Daten handelt oder nicht. Denn Informationen, die auf dem Endgerät des Nutzers gespeichert werden, gehören grundsätzlich zur Privatsphäre des Anwenders.

3. Inhalt des Cookie-Banners 

Die Frage nach den Mindestinformationen eines datenschutzkonformen Cookie-Banners, beantwortet der EuGH ebenfalls. Demnach muss ein Cookie-Banner mindestens folgende Informationen beinhalten: 

  • Identität des Verantwortlichen für die Verarbeitung der Nutzer-Daten 
  • Zweck(e) der Verarbeitung 
  • ggf. Angaben zu Dritten, die mit der Einwilligung Zugriff auf die gesammelten Daten erhalten
  • Funktionsdauer der Cookies  

Bis wann muss das rechtssichere Cookie-Banner implementiert sein?   

Bis zu welchem Zeitpunkt Website-Betreiber das rechtssichere Cookie-Banner umgesetzt haben müssen, gehört zu den offenen Fragen. Zu viel Zeit sollten sich Unternehmen damit nicht lassen, denn das aktuelle EuGH-Urteil konkretisiert lediglich bereits geltendes Recht. 

Das Bayerische Landesamt für Datenschutzaufsicht führte bereits zum Safer Internet Day 2019 eine Untersuchung von Websites mit sehr großer Reichweite durch. Dabei wurde u. a. auch der Einsatz der „Cookie-Banner“ betrachtet. Das Ergebnis ist ernüchternd: Keine der untersuchten Websites, die Cookie-Banner nutzen, wird den Anforderungen der DSGVO an eine zulässige Einwilligung gerecht. Laut Pressemitteilung des BayLDA wurden die erkannten Defizite auch zum Anlass für „aufsichtliche Verfahren“.

Zu bedenken ist allerdings auch, dass die Veröffentlichung der ePrivacy-Verordnung weiterhin aussteht, in der konkrete Regelungen zur Cookie-Nutzung enthalten sein werden. Ursprünglich hätte die Verordnung gemeinsam mit der DSGVO erscheinen sollen, lässt jedoch auf sich warten. 


Gratis-Download 

Laden Sie sich das kostenlose Dokument „Tracking und die ePrivacy-Verordnung: Aktueller Stand und Ausblick“ herunter und erfahren Sie den aktuellen Stand zur ePrivacy-Verordnung sowie die Auswirkungen auf Ihr Unternehmen! 


Quellen: curia.europa.eu, e-recht24.de

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.