Um die aktuelle Entscheidung des EuGH zum Thema Cookie zu verstehen, ergibt es Sinn, als erstes folgende Frage zu stellen:
Was sind Cookies und welche Daten speichern sie?
Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer oder anderen Endgeräten des Users ablegt. Allgemein gesprochen speichern sie Daten zum Besuch einer Website, wodurch auch die Benutzerfreundlichkeit einer Website verbessert werden kann, weil der/die Nutzer:in z.B. nicht immer wieder aufs Neue die Spracheinstellung auswählen muss. Es gibt Cookies, ohne die eine Website nicht fehlerfrei funktionieren kann (erforderliche Cookies). Online-Warenkörbe arbeiten beispielsweise mit ihnen. Cookies werden aber auch eingesetzt, um etwa das Surfverhalten aufzuzeichnen, wodurch dann personalisierte Werbung generiert werden kann. Für die rechtliche Bewertung der Cookies ist die Unterscheidung zwischen erforderlichen und nicht-erforderlichen Cookies zentral. Häufig erfolgt die Wiedererkennung des Users mithilfe einer zufällig generierten Nummer in anonymisierter Form. Ein Personenbezug liegt allerdings insbesondere dann vor, wenn die entsprechende Seite einen Log-In erfordert, so dass der Cookie einem spezifischen User zugeordnet werden kann.
Welche Kategorien von Cookies gibt es?
Cookies treten im Alltag in einer Vielzahl verschiedener Formen auf, eine sinnvolle Einordnung der Cookies kann allerdings anhand Ihres Zweckes erfolgen. Folgende Kategorien bieten hierfür eine Übersicht:
Erforderliche Cookies (Cookies, die für den Betrieb der Website unbedingt notwendig sind)
Präferenz-Cookies (Cookies, mithilfe deren grundlegende Einstellung, wie etwa die Sprache der Page gespeichert werden und somit die Usability der Page erhöhen)
Statistik-Cookies (Cookies, die in anonymer Form Auskunft darüber geben wie der User mit der Website interagiert)
Marketing-Cookies (Cookies, die dazu dienen, das Userverhalten zu tracken um Ads zu schalten, welche konkret auf den Benutzer zugeschnitten sind).
Diese Kategorisierung der Cookies ist, wie bereits genannt, zentral für die rechtliche Bewertung der Cookies. Denn nicht-Erforderliche Cookies dürfen nur dann gesetzt werden, wenn der User rechtswirksam in die Cookie-Nutzung eingewilligt hat. Die Frage wann dies der Fall ist, bildet den elementaren Bestandteil des Urteils des EuGH.
Drei Fragen an den EuGH
Dem Urteil des EuGH ging eine Klage des Verbraucherzentrale Bundesverband e. V. gegen den Gewinnspielanbieter Planet49 voraus. Der Bundesgerichtshof (BGH) als Revisionsinstanz setzte das Verfahren aus und legte dem EuGH drei Fragen zur Vorabentscheidung vor. Vereinfacht gesprochen lauteten diese wie folgt:
Ist eine voreingestellte Zustimmung zu Cookies eine wirksame Einwilligung und damit rechtens?
Macht es einen Unterschied, ob die Cookies personenbezogene Daten speichern oder nicht?
Welche Mindestinformationen müssen vom Websitebetreiber zu Cookies gegeben werden, damit es sich um eine wirksame Einwilligung handelt?
Das Urteil
Im Falle einer voreingestellten Zustimmung zu Cookies muss der/die Nutzer:in dieser gezielt widersprechen, möchte er/sie nicht, dass Cookies gespeichert werden. Dieses Verfahren bezeichnet man als Opt-out. Der EuGH hat nun entschieden, dass Cookie-Banner jedoch als Opt-in gestaltet sein müssen, d.h. Nutzer müssen selbst aktiv ihr Häkchen setzen, je nachdem, ob sie den Cookies zustimmen oder nicht. Wie das in der Praxis genau auszusehen hat, dazu hält sich der EuGH allerdings bedeckt
Bezüglich der zweiten Frage kam der EuGH zu dem Schluss, dass es keine Rolle spielt, ob Cookies personenbezogene Daten sammeln oder nicht. Alle auf Endgeräten gespeicherten Informationen sind Teil der Privatsphäre der Nutzer und damit zu schützen. Damit stellt der EuGH gleichsam klar, dass e-Privacy nicht dasselbe wie Datenschutz ist. Das Datenschutzrecht regelt den Schutz personenbezogener Daten, die e-Privacy-Richtlinie regelt darüberhinausgehend den Schutz der Privatsphäre im digitalen Raum insgesamt.
Der EuGH folgt auch dem Schlussantrag des Generalanwalts, dass eine wirksame Einwilligung eines Users voraussetzt, dass der Benutzer mithilfe von klaren und umfassenden Informationen in die Lage versetzt werden muss, die Konsequenzen seiner Einwilligung leicht zu bestimmen. Im konkreten Fall bedeutete dies, dass Planet49 zumindest über die Funktionsdauer der Cookies und den Zugriff Dritter hätte informieren müssen. Der EuGH macht außerdem deutlich, dass technisch notwendige Cookies (also die erforderlichen Cookies) von diesen Regelungen ausgenommen sind. Es bleibt jedoch weiterhin unklar, welche Cookies technisch notwendig sind und welche nicht. Zur Klärung dieser drängenden Fragen wird die endgültige e-Privacy-Verordnung abzuwarten sein. Diese sollte eigentlich zusammen mit der DSGVO in Kraft treten, doch die Verhandlungen dauern bis dato noch an. Das jetzige Urteil ist aber ein klares Signal für die einheitliche Umsetzung der bisherigen e-Privacy-Richtlinien innerhalb der EU und eine klare Aufforderung an den deutschen Gesetzgeber das aktuelle Telemediengesetz anzupassen.
Sie verwenden Cookies auf Ihrer Website und sind sich unsicher, wie Sie das neue Urteil für die verschiedenen Cookie-Arten umsetzen können? Hier finden sie eine Checkliste zum Download, die Ihnen beim korrekten Cookie-Einsatz auf Ihrer Website hilft.
Autorinnen: Kathrin Strauß und Maike Weiss
Artikel veröffentlicht am: 13. Oktober 2019