Cookies & Einwilligung – EUGH

Cookies & Einwilligung – Höchstrichterliche Stellungnahme des EUGH

Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: C-673/17) hinsichtlich des Setzens von Cookies entschieden, dass eine aktive Einwilligung des Internetnutzers erforderlich ist. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, genüge diesen Anforderungen nicht. Das Betätigen einer Schaltfläche für die Teilnahme am Gewinnspiel stelle deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar. D. h., notwendig ist ein aktives Verhalten des Nutzers. Er muss ohne jeden Zweifel und freiwillig handeln. 

Es wird auch erörtert, ob es sich bei den Cookies überhaupt um personenbezogene Daten handelt. Im Ergebnis wird das wohl für den entschiedenen Fall bejaht. Allerdings ist es nach Ansicht des EuGH jedoch unerheblich, ob es sich bei den durch die Cookies gesammelte Daten um personenbezogene Daten handelt oder nicht.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.

Es gibt inzwischen gute Beispiele, wie der freiwilligen Abgabe einer Einwilligung, der Widerruf und auch die Informationspflichten angemessen und pragmatisch umgesetzt werden können. Es existieren auch mehrere Anbieter, die fertige Tools zur Integration in eine Webseite anbieten. Für das weit verbreitete WordPress gibt es z.B. eine Lösung von Borlabs (Affiliate-Link).

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Stand März 2019 eine “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ mit Hinweisen zu „Cookie-Banner“ & „Consent-Tools“ veröffentlicht.

Praxishinweis: Viele Unternehmen setzen derzeit auf ihrer Websites ein sog. Opt-Out-Verfahren um. Dieses ist nicht nach Ansicht der Aufsichtsbehörden und nunmehr auch bestätigt durch den EuGH nicht DSGVO-konform. Unternehmen bzw. Websitebetreiber sollten daher ihre Cookie-Handhabung überprüfen und ggfs. kurzfristig die Cookie-Einstellungen sowie die Informationen zu deren Verwendung entsprechend den Grundsätzen des EuGH anpassen. 

Es ist zu erwarten, dass neben der Verbraucherschutzorganisationen auch die Datenschutz-Aufsichtsbehörden die Homepages von Unternehmen überprüfen werden. Der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar hat bereits angekündigt, dass seine Behörde die Maßstäbe des EuGH seiner aufsichtsbehördlichen Praxis zu Grunde legen werde (https://datenschutz-hamburg.de/pressemitteilungen/2019/10/2019-10-01-planet49).