Did someone just say Cookie?!

Neues EuGH-Urteil zu Cookies auf Webseiten

1) Urteil im Planet49-Vefahren vor dem EuGH heute (1.10.2019) veröffentlicht

Der EuGH hat heute Morgen in der Rechtssache Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV v Planet49 GmbH (Az. C-673/17) entschieden, dass ein Ankreuzkästchen mit voreingestelltem Häkchen nicht ausreicht, um eine Einwilligung in das Speichern von Cookies zu erklären. 

Im Planet49-Fall (dessen Sachverhalt im Jahr 2013 spielt) ging es dabei zwar konkret um Cookies, die Informationen zu Werbezwecken speicherten. Die Entscheidung des EuGH bezieht sich aber auf Cookies generell (Ausnahmen gibt es nur für Cookies, die nicht zwingend funktional sind (hierzu unter Ziff. 4).

2) Es kommt nicht darauf an, ob die Cookies personenbezogene Daten (z.B. eine IP-Adresse) enthalten oder nicht

Der EuGH führt außerdem aus, dass es keinen Unterschied macht, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Aus Art. 5 Abs. 3 der Richtlinie 2002/58 („Cookie-RL“) gehe hervor, dass die Mitgliedstaaten dazu verpflichtet sind, sicherzustellen, dass „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, (…), seine Einwilligung gegeben hat“. 

Eine Einwilligung für Cookies ist daher (meist) unerlässlich. Die Einwilligung muss für den konkreten Fall erteilt werden, d.h. die Zwecke, für die die Cookies gesetzt werden, müssen klar kommuniziert werden. Außerdem muss der Nutzer Informationen dazu erhalten, wie lange die Cookies auf dem Gerät bleiben und ob Dritte darauf Zugriff erhalten.  

3) Das gilt auch für sonstige Tracking-Tools! 

Die Nutzer sollen auch davor geschützt werden, dass „Hidden Identifiers“ oder ähnliche Instrumente in ihre Geräte eindringen. Dadurch wird auch klar, dass nicht nur Cookies von einer Einwilligung abhängen, sondern auch sonstige Tracking-Tools. 

Wer bisher Cookies und sonstige Identifier (Tracking-Tools wie Browserfingerprinting, Pixel etc.), insbesondere (aber nicht ausschließlich) Werbe-Cookies auf die Rechtsgrundlage der „berechtigten Interessen“ (Art. 6 (1) lit. f DSGVO) gestützt hat, sollte handeln. 

Cookies dürfen nur gesetzt werden, wenn eine Einwilligung vorliegt und die Einwilligung den Anforderungen der DSGVO gerecht wird. 

Einwilligungsbedürftig sind in der Regel alle (Drittanbieter-)Tracking-Cookies, Analyse-Cookies, Affiliate-Cookies, Retargeting- und Remarketing-Tools sowie Social-Media-Plugins etc.

4) Gibt es Ausnahmen oder „zulässige“ Cookies? 

Ja. Wenn und soweit alleiniger Zweck des Cookies die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn das Cookie unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen, sind (diese) Cookies zulässig (dies ergibt sich aus Art. 5 Abs. 3 S. 2 der – in Deutschland nicht umgesetzten – Cookie-RL in seiner letzten konsolidierten Fassung vom 19. Dezember 2009). 

Ein Cookie kann also zulässig sein, wenn es einem Nutzer eine bestimmte Funktion zur Verfügung stellt. Das bedeutet im Umkehrschluss, dass bei deaktivierten Cookies der Dienst nicht funktionieren würde. Dieser Dienst muss außerdem vom Nutzer ausdrücklich angefordert worden sein. Ein Beispiel hierfür macht die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 04/2012 (WP 194): Eine Onlinezeitung ist grundsätzlich für jedermann frei zugänglich, aber Nutzer, die sich angemeldet haben, können zusätzliche Funktionen nutzen, also z.B. Kommentare hinterlassen. 

Ein weiteres Beispiel sind Warenkorb-Cookies, die einerseits dazu dienen können, dass Nutzer, die versehentlich ihren Browser schließen und neu öffnen, ihre Artikel noch im Warenkorb wiederfinden, oder wenn Nutzer sich ausdrücklich wünschen, dass ihre Informationen bis zur nächsten Sitzung gespeichert werden (die „Angemeldet bleiben“-Funktion kommt aber auch einer Einwilligung gleich). 

Wenn Cookies mehrere Zwecke verfolgen, also gleichzeitig eine Login-/Warenkorbfunktion erfüllen und tracken, ist eine Einwilligung erforderlich. 

Cookies, die in der Regel zulässig sind (vgl. Artikel-29-Datenschutzgruppe WP 194): 

  • „User-Input-Cookies“, soweit sie Session-Cookies sind (oder ggf. für wenige Stunden gültig): temporäres Speichern von Angaben, die ein Nutzer macht; Warenkorbfunktionen 
  • Authentifizierungscookies, soweit sie Session-Cookies sind
  • Nutzerorientierte Sicherheitscookies, die Nutzer vor Missbrauch schützen (auch als persistentes Cookie möglich, falls dies erforderlich ist, um die Sicherheit zu gewährleisten) 
  • Cookies für die Spracheinstellung (als Session-Cookie)
  • Cookies für die Anpassung der Benutzeroberfläche (für die Dauer einer Sitzung, ggf. für wenige Stunden)

Cookies, die zwingend technisch erforderlich sind, sind somit nicht einwilligungsbedürftig. Welche Cookies das sind, ist jeweils im Einzelfall zu entscheiden. 

5) Verstanden, die Cookie-Einwilligung ist in der Regel Pflicht. Was ist noch zu beachten? 

Die Informationen über die Cookies müssen klar verständlich und detailliert erteilt werden. Der EuGH verlangt, dass Nutzer die Möglichkeit haben, die „Funktionsweise der verwendeten Cookies“ zu verstehen. 

Bei Cookies zu Werbezwecken gehören hierzu mindestens Angaben zur Funktionsdauer der Cookies und Informationen darüber, ob Dritte Zugriff auf die Cookies erhalten können. 

Übersicht Vor