Cookies an der Leine – EuGH Urteil zum rechtmäßigen Einsatz von Cookies

Der Europäische Gerichtshof (EuGH) hat gestern ein lang erwartetes Urteil (siehe unten) zur rechtmäßigen Verwendung von Cookies gesprochen und somit eine in den letzten Monaten unklare Situation bei der Verwendung von Cookies geklärt. Cookies dürfen auf Rechnern von Webseiten-Besuchern nur dann gespeichert werden, wenn dies ausdrücklich zugestimmt haben. Außerdem muss der Besucher ausführliche Information über die verwendeten Cookies erhalten (z. B. Ablaufdatum, Weitergabe an Dritte bzw. Zugriff Dritter).

Eine Speicherung von Cookies ohne Zustimmung ist somit unzulässig. Es reiche auch nicht aus, wenn die Einwilligung des Nutzers vorformuliert ist und der Nutzer aktiv widersprechen muss. Ein aktive Einwilligung und transparente Information sind somit die Voraussetzung für die rechtskonforme Verwendung von Cookies. Dieses Urteil kann als Vorstufe zur immer noch ausstehenden EU ePrivacy-Verordnung angesehen werden. Die Richter haben allerdings eine weitere Diskussion eröffnet, da sie eine Unterscheidung ob es sich um personenbezogene Daten handelt als irrelevant betrachten. Von der Zustimmung sind demnach alle Cookies betroffen. Dies würde dann auch funktionale Cookies betreffen, die für die Zuordnung von Warenkörben, der gewünschten Sprache und weiteren Komfortfunktionen verwendet werden. Dies gilt es noch zu klären, wobei der Bundesregierung mit einer seit Wirksamwerden der DS-GVO überfälligen Novellierung des Telemediengesetztes (TMG) einen wichtigen Schritt leisten muss.

Was ist nun zu tun? Folgende Empfehlungen können wir geben:

1) Führen Sie eine Web-Site Inventur durch. Welche Dienste sind installiert? Klären Sie das mit Ihrer Agentur ab:

  • Allgemeine Verarbeitungen (Eigene Cookies, Vertragsabwicklung, Newsletter, Bewerbungen, Blog …)
  • Fremdanbieter (Google, Facebook, Twitter, usw.)
  • Betrieb von Profilen auf Fremdanbieter-Plattformen
  • Verlinkung auf Profile bei Fremdanbieter-Plattformen
  • Einbindung von Komponenten von Fremdanbietern (Social Media, Statistik- und Analyse-Tools, Maps, Video und weitere Medien)
  • Affiliate, Lead und Direktmarketing
  • Newsletter, Chat, Quiz und Co.
  • Cookie-Banner

2) Überprüfen Sie auf Basis Datenschutzerklärung auf Vollständigkeit und führen entsprechende Anpassungen durch

3) Installation bzw. Anpassung eines Cookie-Banners (z. B.: Cookiebot, OneTrust, Eigene Lösung …)  mit aktiver Zustimmung zur Verwendung der jeweiligen Cookies

 

Urteil des EuGH vom 01.01.2019 (C‑673/17):

„Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

  1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
  2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
  3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.“

Quelle: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1439205