Beispielbild welches GDPR zeigt

EuGH-Urteil zu Cookies vom 01.10.2019 – Don’t panic! – Info an unsere Kunden

Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) in einem Urteil (EuGH, 01.10.2019 – C-673/17) richtungsweisend entschieden, dass für die Nutzung von Cookies zu nicht werblichen Zwecken eine Einwilligung eingeholt werden muss. Damit bekommt im Streit um die Frage, ob Cookies auch auf Basis eines berechtigten Interesses gesetzt werden können, oder ob zwingend eine Einwilligung notwendig ist, letztere Seite Auftrieb. Dies könnte dazu führen, dass die bisherige Praxis, bloß über ein Cookie-Banner zu informieren, in Zukunft nicht mehr ausreichend sein könnte.

Für wen ist das Urteil relevant und was sind Cookies?

Relevant ist das Urteil für nahezu alle Webseiten-Betreiber, die Technologien zum Nutzer-Tracking und (Re-)Targeting verwenden, wie etwa Google Analytics oder (werbefinanzierte) Drittanbieter-Services. Hierbei wird häufig eine Textdatei (sog. Cookie) beim Seitenaufruf im Browser des Nutzers gespeichert und ermöglicht die Wiedererkennung und damit eine Auswertung des Nutzungsverhaltens beim erneuten Webseitenaufruf.

Wie stelle ich fest, ob (und welche) Cookies eine Webseite nutzt?

Das geht über die Analyse-Funktion des Browsers: F12 drücken (ggf. Webseite dann neu laden).
Bei Firefox: Auf den horizontalen Reiter „Webspeicher“ klicken, im vertikalen Auswahlmenue auf „Cookies“.
Bei Chrome: Auf den horizontalen Reiter „Application“ klicken, im vertikalen Auswahlmenue unter „Storage“ auf „Cookies“.
Hier werden die angenommenen Cookies mit Inhalt und Laufzeit (Speicherdauer) dargestellt.
Ob ein Cookie vom Browser angenommen wird, ist Gegenstand der Datenschutz-Einstellungen des Browsers: Hier kann man wählen ob und welche Cookies angenommen werden sollen. Es wird empfohlen, die Cookies des Webseitenbetreibers anzunehmen, da sonst ein Log-In oder ein Warenkorb ggf. nicht mehr funktioniert.

Was hat der EuGH eigentlich entschieden?

Im betreffenden Rechtsstreit hatte die Planet49 GmbH im Rahmen eines Gewinnspiels bereits das Einwilligungskästchen vorangehakt, mit Hilfe dessen man in die Nutzung von Cookies zu Werbezwecken einwilligt, was (wenig überraschend) nach Auffassung des EuGHs nicht den Anforderungen einer Einwilligung genügt.

Ferner war die Frage, ob es bei den im Cookie gespeicherten Informationen darauf ankommt, ob es personenbezogene Daten enthält oder nicht.
Spoiler: Es kommt NICHT drauf an!

Überdies hat der EuGH sich in diesem Zusammenhang auch zu grundsätzlichen Auslegungsfragen des Unionsrechts geäußert, die insbesondere die Notwendigkeit einer Einwilligung beim Einsatz von Tracking-Cookies betreffen.

Was unterscheidet Cookies?

Bei Cookies ist zwischen solchen zu unterschieden, die zwingend erforderlich sind, um die Webseite und deren Funktion sicherzustellen und solche, die dies eben nicht sind. Die britische Aufsichtsbehörde ICO hatte hierzu diese Klassifikation entwickelt.

zwingend notwendig funktional sonstige (Werbung / Drittanbieter)
Log-In- / Session-Cookie
Warenkorb-Cookie
Security-Cookie (z.B. XSRF) –
sichert die Seite „nach dem Stand der Technik“ ab Sprachauswahl
Schriftgrößenauswahl
Zeitzonenauswahl
Einschalten von Social-Media-Funktionen Google Analytics, Facebook etc.
sonstige trackingexterne Reichweitenmessung
keine Einwilligung erforderlich Einwilligung wird durch Auswahl der Funktion angenommen Vorherige Einwilligung
(vermutlich) erforderlich!
Problematisch ist bei werbefinanzierten Seiten möglicherweise die externe Reichweitenmessung. Diese ist zwar nicht technisch erforderlich für den Betrieb der Seite, aber ökonomisch. Bei einem „privacy-by-default“-Ansatz, bei dem alle Settings für Tracking-Mechanismen zunächst auf OFF stehen müssen, wären werbefinanzierte Seiten mit externer Reichweitenmessung (z.B. alle verlegerischen Angebote ohne Zahlschranke) extrem bedroht.

Bisherige Rechtsauffassung zu Tracking-Cookies

Die Datenschutz-Fachwelt ist sich darüber einig, dass das deutsche Telemediengesetz (TMG) nach der DSGVO nicht mehr anwendbar ist. Unstreitig ist auch, dass technisch notwendige Cookies für die Bereitstellung einer Seite oder eines Dienstes (Beispiel: Cookies für die Einstellung der Webseitensprache oder für die Nutzung des Warenkorbs) aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO) oder zum Zwecke der Durchführung vorvertraglicher bzw. vertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b) DSGVO) als Rechtsgrundlagen ausreichen. Das bedeutet, dass für solche Cookies keine aktive Einwilligung durch den Nutzer, etwa durch Anklicken eines Cookie-Banners, erfolgen muss.

Auseinander gehen die Meinungen bei Tracking- und Drittanbieter-Cookies: Diese muss natürlich nach Art. 6 DSGVO durch eine Rechtsgrundlage legitimiert werden, fraglich nur durch welche: während das Gremium der deutschen Datenschutzaufsichtsbehörden – die Datenschutzkonferenz (DSK) auf einer expliziten Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO für die Nutzung von Tracking-Diensten besteht, vertritt die Gesellschaft für Datenschutz und Datensicherheit (GDD) als Berufsverband der Datenschutzbeauftragten die Ansicht, dass sich ein Tracking nicht nur auf eine Einwilligung, sondern auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO stützen lässt, zumal Erwägungsgrund 47 von Direktmarketing als möglichem begründeten Interesse spricht.
Merke: Diese Frage hat der EuGH gar nicht beantwortet!

Nicht-Umsetzung der e-Privacy-Richtlinie rächt sich

Im Urteil bezieht sich der EuGH auf die Rechtslage nach Art. 5 Abs. 3 der e-Privacy-Richtlinie 2002/58/EG, novelliert durch die Richtlinie 2009/136/EG (hier in der konsolidierten Fassung), die im Volksmund auch oft „Cookie-Richtlinie“ genannt wird. Diese wurde von der Bundesregierung aber nie in nationales Recht umgesetzt. Zwar gab es Stimmen (etwa des damaligen Bundesdatenschutzbeauftragten Schaar), dass die Richtlinie so konkret sei, dass sie unmittelbar Anwendung fände, jedoch lässt die schwankende Interpretation etwa des britischen ICO an einer solchen Konkretheit zweifeln.

In Art. 5 Abs. 3 heißt es darin seit 2012:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

In einer früheren Version der Richtlinie von 2002 hatte es noch geheißen:

„Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“

Die Richtlinie ist also in 2012 in diesem Punkt verschärft worden, ebenso wie die Erlaubnis zur Erleichterung der Kommunikation entfallen ist. Der dafür relevante Erwägungsgrund war der EG 66 der Richtlinie 2009/136/EG:

„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden.

Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen.

Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung […] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“

Spannend ist hier einerseits, dass Cookies – zumindest teilweise, aber nicht definiert – als legitime Gründe zum Eindringen in die Privatsphäre, rüden Maßnahmen wie Spähsoftware, als vergleichsweise harmlos gegenübergestellt werden.
Ferner sind die weiteren Ausführungen interessant: Neben der bereits bekannten Ausnahme für technisch notwendige Verarbeitungen, wird eine Einwilligungsfiktion aufgrund der Browsereinstellungen ins Spiel gebracht. Während zum Zeitpunkt des Erscheinens der Richtlinie noch alle Browser mit Akzeptanz aller Cookies als Standard-Einstellung installiert wurden und die DSGVO noch nicht am Horizont aufgetaucht war, haben wir heute eine Anwendbarkeit des in Art. 25 DSGVO enthaltenen „Privacy-by-default“-Grundsatzes. Wenn also ein Browser mit datenschutzfreundlichen Standardeinstellungen Tracking-Cookies erlaubt, dann muss ihn der Nutzer aktiv so eingestellt haben und hat damit seine Einwilligung zum Ausdruck gebracht?

Hier wird es noch weiteren Klärungsbedarf für die Zukunft geben, insbesondere, wenn sich die Bundesregierung doch noch entscheidet, die e-Privacy-Richtlinie umzusetzen. Dabei wäre es dann spannend, ob das Telemediengesetz, das ja anerkannt nach der DSGVO keine Anwendung mehr finden soll, doch zu neuem Leben erwacht.

Folgen des Urteils

Unsere Beratungspraxis ging bisher davon aus, dass der Streit, ob für ein Tracking eine Einwilligung erforderlich ist oder ob ein „berechtigtes Interesse“ (mit entspr. Information) genügt, noch nicht entschieden ist. Solange das so ist, haben wir als Datenschutzbeauftragte zugestimmt – damit nicht voreilig ggf. unnötige Investitionen in die Umprogrammierung von Software getätigt werden – den Weg des „geringsten Aufwandes“ zu gehen und lediglich bis auf Weiteres nur über einen Banner und in der Datenschutzerklärung über die Nutzung von Cookies und die Abhilfemöglichkeiten zu informieren.
Damit haben wir uns der Meinung der GDD angeschlossen, die ein berechtigtes Interesse für möglich hält.
Wir haben immer darauf hingewiesen, dass sich dies ändern und dann eine Modifikation der Vorgehensweise notwendig werden kann. Ferner haben wir darauf hingewiesen, dass die Rechtfertigung des berechtigten Interesses umso schmaler wird, je mehr und je weiter eingreifende Trackingverfahren eingesetzt werden.
Ob neben der Einwilligung auch ein berechtigtes Interesse als Rechtsgrundlage für ein Tracking möglich ist, hat der EuGH nicht entschieden. Hier schwelt weiterhin der Meinungs-Streit (s. Link GDD oben). Allerdings stärkt das EuGH-Urteil die Position der Einwilligungs-Befürworter.
Das Urteil des EuGH gilt nicht unmittelbar. Allerdings wird sich der BGH daran halten und dieses vermutlich noch in diesem Jahr bestätigen. Sofern dann noch kein Einwilligungs-Banner umgesetzt ist, sehen wir dann ggf. Handlungsbedarf, aber u.E. noch nicht heute und unmittelbar.
Das auf Basis dieser unsicheren Rechtslage jetzt plötzlich eine Flut von Abmahnungen entsteht, halten wir zum aktuellen Zeitpunkt für wenig wahrscheinlich. Das ändert sich, wenn und sofern hier weitere Entscheidungen aufpoppen.
Ferner erwarten wir mehr Druck auf den Abschluss der Verhandlungen zur e-Privacy-Verordnung (als Nachfolger der Richtlinie auf EU-Ebene) oder zumindest der deutschen Umsetzung der e-Privacy-Richtlinie. Hier sind ggf. zeitnah weitere Aktivitäten zu erwarten.
Unsere Handlungsempfehlung

Unsere Empfehlung ist, sich mittelfristig auf den Einsatz eines Opt-In-Cookie-Banners vorzubereiten, mit dem Sie für nicht zwingend technisch notwendige Cookies eine explizite Einwilligung einholen. Zur Umsetzung können Sie folgende Schritte bereits unternehmen / vorbereiten:

Sie sollten sich – ggf. mit Ihrer Fachabteilung / Media-Agentur – überlegen, welche Dienste eingebunden sind und bleiben sollen. Oft werden alle möglichen Dienste redundant eingebunden, ohne dass sie überhaupt genutzt werden. Was brauchen / nutzen Sie wirklich?
Die gesetzten Cookies sind insbesondere hinsichtlich ihrer Funktion und Dauer zu beschreiben. Damit können Sie eine wichtige Vorarbeit für die Aktualisierung der Webseiten-Datenschutzerklärung leisten. Als Ihre Datenschutzbeauftragten werden wir Sie bei der Überarbeitung der Datenschutzerklärung unterstützen.
Sofern Sie ein Standard-Content-Management-System (etwa WordPress) nutzen, können Sie die neuen Anforderungen hinsichtlich der Einwilligung durch ein PlugIn (etwa Borlabs Cookie – Affiliate-Link!) lösen. Hier muss nichts neu programmiert werden! Bitte lassen Sie sich nicht zu unnötigen Webdesign-Projekten ängstigen!
Bei Fragen zur Umsetzung in Ihrem konkreten Fall, stehen wir Ihnen als externe Datenschutzbeauftragte selbstverständlich beratend zur Seite. Wir nehmen das Thema in Ihr Datenschutz-Management-System auf und kommen beim nächsten Datenschutz-Jour-Fixe damit wieder auf Sie zu.

Unsere Leistungen.

Datenschutzbeauftragter, externer Datenschutz, externer Datenschutzbeauftragter, DSB

Mit einem externen DSB kaufen Sie praxis-erprobte Expertise ein. Wir werden immer bestrebt sein, Ihnen pragmatische Wege zu zeigen, wie Sie die Datenschutz-Compliance einhalten können: professionell, mittelstandstauglich und ideologiefrei.

Informationssicherheitsbeauftragter, Einführung ISMS im Mittelstand, ISB, externer ISB, Einführung ISO27001, Einführung BAIT, Einführung VAIT, Einführung TISAX

Wir unterstützen Sie beim Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS) und stehen als externer ISB zur Verfügung. Wir haben Erfahrungen mit den Standards ISO27001, TISAX®, BAIT/VAIT.

Datenschutzschulungen für Mitarbeiter, Mitarbeiterschulungen für Datenschutz

Wir unterweisen Ihre Mitarbeiter auf Wunsch durch interaktive Präsenz-Schulungen oder durch unsere Online-Schulungen.
Selbstverständlich coachen wir auch interne Datenschutzbeauftragte und Informationssicherheitsbeauftragte.