Cookies und Einwilligungen des Users

Das jüngste EuGH-Urteil des Europäischen Gerichtshofes (EuGH) zu Cookies und Einwilligungen des Users beendet eine deutsche Sonderregelung. Cookies dürfen ab sofort nur noch nach ausdrücklicher Zustimmung des Nutzers gespeichert werden.

EuGH-Urteil: Ausdrückliche Einwilligung für Cookies erforderlich

Der EuGH hat in seiner Entscheidung festgestellt, dass eine einfache Information über den Einsatz von Cookies nicht ausreicht. Die Nutzer müssen der Verwendung von Cookies auf ihrem Rechner ausdrücklich und aktiv zustimmen – der Anbieter muss hierfür über die Cookielaufzeit und die Wege der weiteren Datenverarbeitung informieren. Wenn Cookies an andere Anbieter weitergegeben werden, müssen Nutzer darüber ausdrücklich informiert werden und auch widersprechen können.

Voreinstellungen mit angekreuztem Feld „Ich stimme zu“ sind keine wirksame Einwilligung und daher nicht mehr zulässig, auch wenn die Nutzer die Häkchen entfernen können – sie müssen die Erlaubnis aktiv erteilen. Dies gilt laut EuGH für alle Daten, die auf dem Gerät des Nutzers gespeichert bzw. von diesem abgerufen werden, selbst wenn sie nicht personenbezogen sind – und auch Tracking-Cookies.

Vorausgefüllte Cookiebanner sind passé

Das Urteil aus Luxemburg beendet einen mehr als sechs Jahre währenden Rechtsstreit. Im konkreten Fall hatte ein Gewinnspielanbieter in seinem Cookiehinweis die Erlaubnisfelder für Datenverarbeitung und Werbeanrufe sowie weitere Werbung auch durch Drittanbieter vorangekreuzt. Dies war laut deutschem Telemediengesetz zwar erlaubt, entspricht aber nicht dem geltenden europäischen Recht. Die Verbraucherzentrale hatte hiergegen auf Unterlassung geklagt (Rechtssache C-637/17).

Der EuGH urteilte, dass auch pseudonymisierte, nicht personenbezogene Daten wie in diesem konkreten Fall nur nach Erlaubnis durch den Nutzer verarbeitet werden dürfen. Damit solle verhindert werden, dass die Privatsphäre durch sogenannte Hidden Identifiers ausspioniert werden könnten, begründete das Gericht seine Entscheidung.

Auf dem Weg zur ePrivacy-Verordnung

Damit wird Deutschland verpflichtet, die Cookie-Richtlinie aus dem Jahr 2009 nunmehr vollständig umzusetzen. Dies war bislang nur in Teilen geschehen, solange die deutsche Regelung nicht beanstandet worden war. Nun aber müssen alle Webseitenbetreiber ausführliche Cookie-Informationen bereitstellen und auch die Möglichkeit der Ablehnung von Cookies anbieten. Gleichzeitig dürfen Nutzer, die Cookies ablehnen, nicht benachteiligt werden. Damit hat der EuGH einen wichtigen Teil der lange angekündigten ePrivacy-Verordnung bereits vorweggenommen.

Was Webseitenbetreiber jetzt tun sollten

Das EuGH-Urteil ist bindend. Alle deutschen Gerichte werden im Sinne dieser Entscheidung Urteile fällen. Daher sind Webseitenbetreiber, die bislang auf ihrer Webseite nur über den Einsatz von Cookies informiert haben, jetzt in der Pflicht. Sie müssen zum einen detailliertere Cookie-Banner einsetzen und zum anderen unterbinden, dass Cookies gesetzt, Informationen aus dem Endgerät des Nutzers abgerufen oder überhaupt Daten verarbeitet werden, bevor der Nutzer zugestimmt hat („Opt-In-Modell“). Formulierungen wie „Wenn Sie diese Internetseite weiterhin nutzen, stimmen Sie der Verwendung von Cookies zu“, vielleicht ergänzt um einen „Okay-Button“, sind nicht mehr zulässig. Nur technisch unbedingt erforderliche Cookies dürfen noch gesetzt werden. Was damit konkret gemeint ist, werden die Gerichte noch klären müssen. Bitte wenden Sie sich für weitere Informationen an Ihren Datenschutzbeauftragten.