Brauchen alle Cookies bei Webseiten eine Einwilligung?

Entscheidung des Europäischen Gerichtshofs

In seinem Urteil vom 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) klargestellt, dass Webseitenbetreiber Cookies nur unter aktiver und freiwilliger Einwilligung der Nutzer verwenden dürfen, meldeten mehrere Aufsichtsbehörden für den Datenschutz. Informationen über die Funktionsdauer der Cookies sowie über die Möglichkeit Dritter, auf die erhobenen Daten zuzugreifen, sind demnach dafür unabdingbar. Voreingestellte Zustimmungen erklärte der Europäische Gerichtshof für unzulässig.

Eine aktive Einwilligung haben viele deutsche Anbieter bislang nicht vorgesehen, unterstrich die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. Pauschal heiße es auf zahlreichen Cookie-Bannern beispielsweise, durch die weitere Nutzung einer Webseite stimme man der Verwendung von Cookies zu, oder ein entsprechendes Kästchen ist bereits angekreuzt.

Diese Vorgehensweise ist jetzt eindeutig nicht mehr haltbar, erklärte die Landesdatenschutzbeauftragte. Mit seiner Klarstellung, dass auch die Nutzer in Deutschland das Recht haben, aktiv über die Verwendung von Cookies zu entscheiden, trage der Europäische Gerichtshof wesentlich zur Umsetzung der Datenschutz-Grundverordnung bei. Das Urteil bestätige die bislang vertretene Auffassung der Datenschutzaufsichtsbehörden.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßte die Entscheidung des Gerichts: „Der EuGH hat erneut die Wichtigkeit der freien und informierten datenschutzrechtlichen Einwilligung hervorgehoben. Diese Botschaft ist gerade in Zeiten der fortschreitenden Digitalisierung, in der es mitunter immer schwieriger wird, die eigenen Daten zu kontrollieren, ein wichtiges Zeichen. Ich gehe davon aus, dass der Gesetzgeber dies bei der anstehenden Novellierung des Telemediengesetzes berücksichtigt. Eine entsprechend rechtsklare Regelung ist insbesondere im Zusammenhang mit der Verwendung von sogenannten Cookie-Bannern mehr als überfällig. Diese können nach dem heutigen Urteil grundsätzlich nicht mehr als rechtskonforme Grundlage für das Setzen von Cookies herangezogen werden.“

Für die Datenschutzaufsichtsbehörden sind die Vorgaben zum Einsatz von Cookies klar: Das Gericht präzisiert demnach auch die Anforderungen, die an eine entsprechende Einwilligung zu stellen sind. Sie setzt ein aktives Verhalten des Nutzers voraus, das ohne jeden Zweifel und freiwillig erfolgt. Dies schließt etwa Modelle aus, die an eine reine Weiternutzung des Angebots anknüpfen.

Die nach Maßgabe der Regelung der Datenschutz-Grundverordnung (DSGVO) anwendbare Informationspflicht wird in einer Weise ausgelegt, dass die betroffenen Personen vorab umfassend aufzuklären sind. Eine Einwilligung kann nur in voller Kenntnis der Sachlage erteilt werden. Danach muss der Webseitenbetreiber den Nutzer jedenfalls über die Funktionsdauer von Cookies sowie über den Zugriff Dritter auf diese informieren.

Branchenverbände mit geteilter Meinung

Die Reaktionen von Branchenverbänden erfolgten zeitnah. So erklärte Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:

„Das Urteil des Europäischen Gerichtshofs hat weitreichende Auswirkungen für alle Internetnutzer und Tausende Webseitenbetreiber in Deutschland. Cookies können künftig nicht mehr mit einem Hinweis an den Nutzer automatisch gesetzt werden, sondern erfordern seine ausdrückliche Zustimmung – egal ob damit personenbezogene Daten erfasst werden oder nicht.“

Demgegenüber meinte der BVDW-Vizepräsident Thomas Duhr (Bundesverband Digitale Wirtschaft): „Aus dem Urteil kann nun aber nicht geschlossen werden, dass jedweder Zugriff einwilligungsbedürftig ist. Für deutsche Unternehmen gelten daher weiterhin die Maßstäbe des derzeit geltenden Rechts, also des TMG und der DSGVO.“

Datenschutzaufsicht sorgt für mehr Klarheit

Viele Webseitenbetreiber fragen sich nun, wie dieses Urteil in der Praxis umgesetzt werden muss. Sind zum Beispiel wirklich alle Cookies nun abhängig von einer aktiven Einwilligung?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat eine Hilfestellung veröffentlicht. Darin erklärt er, dass es durchaus auch einwilligungsfreie Cookies gibt: „Beispiele für einwilligungsfreie Cookies sind jene, die die Funktion „Einkaufswagen“ ermöglichen oder Einstellungen (wie Schriftgrößen o.ä.) speichern, wenn sie wirklich nur für diesen Zweck verwendet werden. Zu beachten ist hierbei aber, dass die Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies) in der Datenschutzerklärung dargestellt werden.“

Diese Klarstellung ist sehr wichtig, denn viele Unternehmen hatten gefürchtet, dass sie nun in ihren Webshops keine Cookies für den Warenkorb mehr nutzen können, ohne dafür eine explizite, vorherige Einwilligung zu erhalten. Dies könnte dann zu Bestellabbrüchen führen, so die Sorge. Nun ist aber klargestellt, dass solche Cookies bei entsprechender Zweckbindung nicht betroffen sind von der Pflicht zur vorherigen, aktiven Einwilligung.