Das neue Cookie-Urteil des EuGh sollte im Fokus aller Websitebetreiber stehen. Doch worum geht es genau? Der Europäische Gerichtshof hat am 01.10.2019 entschieden, dass der Einsatz von nicht funktionalen Cookies nur dann zulässig ist, wenn der Nutzer seine aktive Einwilligung gibt. Der konkrete Anlass für dieses Urteil war die Klage der Verbraucherzentrale gegen ein Online-Gewinnspiel, bei dem die Teilnehmer durch ein bereits voreingestelltes Ankreuzfeld ihre Einwilligung für die Speicherung von Cookies erteilten. Die gespeichterten Userdaten wurden dann zu Marketingzwecken verwendet.
Laut EuGH ist mit einer Voreinstellung, die vom Nutzer aktiv abgewählt werden muss, keine explizite und damit gültige Einwilligung gegeben. Als zweite Voraussetzung für eine wirksame Einwilligungserklärung nennt der EuGH die Informationspflicht. Nach dieser muss der Nutzer in der Datenschutzerklärung (DSE) einer Website ausreichend über den Einsatz von Cookies aufgeklärt werden. Dazu gehören Informationen über
In dem Urteil vom 01.10.2019 beruft sich der EuGH auf die EU-Cookie-Richtlinie von 2002. Auf Basis dieser Richtlinie benötigen Cookies, die eine rein technische Funktion erfüllen, keine Einwilligungspflicht. Hierzu zählen alle Cookies, die für den bedarfsgerechten Betrieb einer Website benötigt werden. Mit der Funktionalität der Cookies verfolgt der Betreiber nach DSGVO Art. 6, 1f ein berechtigtes Interesse. Technisch notwendige und funktionale Cookies gehören zu den First Party Cookies. Diese Cookies werden auf dem Browser des Nutzers gespeichert und in der Regel nur von der besuchten Seite selbst genutzt.
Technisch notwendige Cookies sind z.B. Session Cookies, die Nutzereinstellungen für eine Browser-Sitzung speichern. Ihre Funktion besteht darin, den Online-Einkauf einfacher und angenehmer zu gestalten. Zu diesen Cookies gehören bspw. Warenkorb Cookies, Login-Cookies oder Cookies, mit denen die Sprachauswahl des Nutzers gespeichert wird. Auch Cookies von ausgewählten Zahlungsanbietern sind rein funktional, wenn die verwendeten Daten ausschließlich zur Abwicklung der Zahlung genutzt werden.
Rein funktionale Cookies dürfen also:
Auch wenn technisch notwendige Cookies keine Einwilligung benötigen, muss ihre Nutzung in der Datenschutzerklärung vermerkt sein. Außerdem muss die Datenschutzerklärung (DSE) über eine Opt-Out-Lösung verfügen, mit welcher der Einsatz von funktionalen Cookies verweigert werden kann.
Nach Art. 6 Abs. 1a der DSGVO ist die Verwendung von „personenbezogenen Daten für einen oder mehrere bestimmte Zwecke“ nur dann rechtmäßig, wenn die „betroffene Person (…) ihre Einwilligung zu der Verarbeitung“ gegeben hat.
Diese Einwilligungspflicht gilt für Cookies, die zur Optimierung von Marketingstrategien genutzt werden. Hierzu gehören alle Cookies, die das Nutzerverhalten für Werbe- und/oder Analysezwecke tracken und damit zur Profilbildung beitragen. Third Party Cookies, die Tracking-Daten an Drittunternehmen übermitteln, benötigen eine aktive Einwilligung des Nutzers.
In der rechtlichen Grauzone befinden sich momentan Tracking-Cookies, die das Nutzungsverhalten in pseudonomysierter Form analysieren (z.B. Google Analytics). Laut Telemediengesetz (TMG) § 15 Abs. 3 dürfen pseudonimisierte Nutzerprofile auch ohne Einwilligung erstellt werden, wenn der Nutzer darüber in der DSE informiert wird. Die deutsche Datenschutzkonferenz (DSK) nimmt hingegen den o.g. Art. 6 Abs. 1a der DSGVO als Rechtsgrundlage und erklärt auf dieser Basis jegliches Tracking für einwilligungspflichtig. Die Ausnahmeregelung des Telemediengesetzes ist für die DSK damit außer Kraft gesetzt.
Klarheit soll hier die ePrivacy Verordnung bringen. Mit dem Inkraftreten dieser Verordnung ist jedoch erst ab 2021 zu rechnen. Auf Nummer sicher gehen Sie also mit der Handlungsempfehlung der DSK.
Dieser Blogbeitrag ersetzt keine rechtliche Beratung für Ihr Unternehmen, es werden lediglich Hintergrundinformationen bereitgestellt. Wir weisen Sie deshalb darauf hin, dass wir trotz sorgfältiger Recherche für Vollständigkeit und Richtigkeit der Angaben keine Haftung übernehmen.