anyaberkut - stock.adobe.com

Brauchen alle Cookies bei Webseiten eine Einwilligung?

Nach dem EuGH-Urteil kursieren Meldungen, dass alle Cookies nur nach aktiver Einwilligung des Nutzers verwendet werden dürfen. Datenschutzbehörden haben für eine Klarstellung gesorgt.

Über Cookies und die dafür notwendige Einwilligung der betroffenen Nutzer und damit der Besucher von entsprechenden Webseiten wird schon seit langem diskutiert. Mit der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO/GDPR) sehen die deutschen Aufsichtsbehörden für den Datenschutz einen klaren Handlungsbedarf, da die DSGVO ihrer Ansicht nach das deutsche TMG (Telemediengesetz) in der Frage der notwendigen Einwilligung für Cookies „verdrängt“.

Demnach können die entsprechenden Vorgaben aus dem TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, seit dem 25. Mai 2018 nicht mehr angewendet werden, so die Aufsichtsbehörden.

Die Aufsichtsbehörden erklärten entsprechend: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. zum Beispiel bevor Cookies platziert werden beziehungsweise auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Viele Branchenverbände kritisierten diese Aussage und sahen die Vorgaben des TMG zum Cookie-Einsatz als weiterhin gültig an, also die sogenannte Opt-Out-Regelung bei Cookies.

Entscheidung des Europäischen Gerichtshofs

In seinem Urteil vom 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) klargestellt, dass Webseitenbetreiber Cookies nur unter aktiver und freiwilliger Einwilligung der Nutzer verwenden dürfen, meldeten mehrere Aufsichtsbehörden für den Datenschutz. Informationen über die Funktionsdauer der Cookies sowie über die Möglichkeit Dritter, auf die erhobenen Daten zuzugreifen, sind demnach dafür unabdingbar. Voreingestellte Zustimmungen erklärte der Europäische Gerichtshof für unzulässig.

Eine aktive Einwilligung haben viele deutsche Anbieter bislang nicht vorgesehen, unterstrich die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. Pauschal heiße es auf zahlreichen Cookie-Bannern beispielsweise, durch die weitere Nutzung einer Webseite stimme man der Verwendung von Cookies zu, oder ein entsprechendes Kästchen ist bereits angekreuzt.

Diese Vorgehensweise ist jetzt eindeutig nicht mehr haltbar, erklärte die Landesdatenschutzbeauftragte. Mit seiner Klarstellung, dass auch die Nutzer in Deutschland das Recht haben, aktiv über die Verwendung von Cookies zu entscheiden, trage der Europäische Gerichtshof wesentlich zur Umsetzung der Datenschutz-Grundverordnung bei. Das Urteil bestätige die bislang vertretene Auffassung der Datenschutzaufsichtsbehörden.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßte die Entscheidung des Gerichts: „Der EuGH hat erneut die Wichtigkeit der freien und informierten datenschutzrechtlichen Einwilligung hervorgehoben. Diese Botschaft ist gerade in Zeiten der fortschreitenden Digitalisierung, in der es mitunter immer schwieriger wird, die eigenen Daten zu kontrollieren, ein wichtiges Zeichen. Ich gehe davon aus, dass der Gesetzgeber dies bei der anstehenden Novellierung des Telemediengesetzes berücksichtigt. Eine entsprechend rechtsklare Regelung ist insbesondere im Zusammenhang mit der Verwendung von sogenannten Cookie-Bannern mehr als überfällig. Diese können nach dem heutigen Urteil grundsätzlich nicht mehr als rechtskonforme Grundlage für das Setzen von Cookies herangezogen werden.“

Für die Datenschutzaufsichtsbehörden sind die Vorgaben zum Einsatz von Cookies klar: Das Gericht präzisiert demnach auch die Anforderungen, die an eine entsprechende Einwilligung zu stellen sind. Sie setzt ein aktives Verhalten des Nutzers voraus, das ohne jeden Zweifel und freiwillig erfolgt. Dies schließt etwa Modelle aus, die an eine reine Weiternutzung des Angebots anknüpfen.

Die nach Maßgabe der Regelung der Datenschutz-Grundverordnung (DSGVO) anwendbare Informationspflicht wird in einer Weise ausgelegt, dass die betroffenen Personen vorab umfassend aufzuklären sind. Eine Einwilligung kann nur in voller Kenntnis der Sachlage erteilt werden. Danach muss der Webseitenbetreiber den Nutzer jedenfalls über die Funktionsdauer von Cookies sowie über den Zugriff Dritter auf diese informieren.

Branchenverbände mit geteilter Meinung

Die Reaktionen von Branchenverbänden erfolgten zeitnah. So erklärte Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:

„Das Urteil des Europäischen Gerichtshofs hat weitreichende Auswirkungen für alle Internetnutzer und Tausende Webseitenbetreiber in Deutschland. Cookies können künftig nicht mehr mit einem Hinweis an den Nutzer automatisch gesetzt werden, sondern erfordern seine ausdrückliche Zustimmung – egal ob damit personenbezogene Daten erfasst werden oder nicht.“

Demgegenüber meinte der BVDW-Vizepräsident Thomas Duhr (Bundesverband Digitale Wirtschaft): „Aus dem Urteil kann nun aber nicht geschlossen werden, dass jedweder Zugriff einwilligungsbedürftig ist. Für deutsche Unternehmen gelten daher weiterhin die Maßstäbe des derzeit geltenden Rechts, also des TMG und der DSGVO.“

Datenschutzaufsicht sorgt für mehr Klarheit

Viele Webseitenbetreiber fragen sich nun, wie dieses Urteil in der Praxis umgesetzt werden muss. Sind zum Beispiel wirklich alle Cookies nun abhängig von einer aktiven Einwilligung?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat eine Hilfestellung veröffentlicht. Darin erklärt er, dass es durchaus auch einwilligungsfreie Cookies gibt: „Beispiele für einwilligungsfreie Cookies sind jene, die die Funktion „Einkaufswagen“ ermöglichen oder Einstellungen (wie Schriftgrößen o.ä.) speichern, wenn sie wirklich nur für diesen Zweck verwendet werden. Zu beachten ist hierbei aber, dass die Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies) in der Datenschutzerklärung dargestellt werden.“

Diese Klarstellung ist sehr wichtig, denn viele Unternehmen hatten gefürchtet, dass sie nun in ihren Webshops keine Cookies für den Warenkorb mehr nutzen können, ohne dafür eine explizite, vorherige Einwilligung zu erhalten. Dies könnte dann zu Bestellabbrüchen führen, so die Sorge. Nun ist aber klargestellt, dass solche Cookies bei entsprechender Zweckbindung nicht betroffen sind von der Pflicht zur vorherigen, aktiven Einwilligung.

Nächste Schritte

DSGVO ist nicht alles: Die NIS-Richtlinie beachten

Die EU-DSGVO und die E-Privacy-Verordnung

Gratis-eBook: Die DSGVO in der Praxis umsetzen

Erfahren Sie mehr über Datenschutz und Compliance