JUNGMUT Blog

Aktuelle News und Inspiration aus dem Bereich Digitale Transformation und digitales Marketing.

Interview zum Cookie-Urteil des EuGH

In den vergangenen Wochen wurde viel darüber geschrieben, ob der Europäische Gerichtshof (EuGH) mit seinem Urteil zum Einsatz von Cookies auf Websites das Online Marketing beerdigt hat. Das wollten wir genauer wissen und haben uns hierzu mit einem Experten ausgetauscht. Christian Kuß, Rechtsanwalt und Partner bei der Luther Rechtsanwaltsgesellschaft mbH, erläutert in einem Interview kurz die Hintergründe und zeigt die Konsequenzen für den Einsatz von Cookies auf.

von Tim Hufermann

Zuschnitt Blog

Am 01. Oktober 2019 gab der Europäische Gerichtshof (EuGH) ein wichtiges Urteil im Bereich des Datenschutzrechts (Aktenzeichen C-673/17) bekannt. Das Urteil schafft neue Regeln für den Einsatz von Cookies und so auch für das Web-Tracking und hat daher weitreichende Auswirkungen für die Praxis. Allerdings wurde in den Medien nicht nur umfassend, sondern teilweise auch falsch über das Urteil und die Konsequenzen berichtet.

 

Christian, kannst du uns zunächst kurz erklären: 
Was sind Cookies?

Bei Cookies handelt es sich um kleine Textdateien, die im Internetbrowser bzw. vom Internetbrowser beim Aufruf einer Website auf dem Computersystem des Nutzers gespeichert werden. Ein Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht. Dadurch, dass der einzelne Nutzer sozusagen „wiedererkannt“ wird, kann beispielsweise individualisierte Werbung geschaltet oder eine zuvor eingestellte Sprache beibehalten werden. Cookies verfolgen dabei unterschiedliche Zwecke: es gibt unter anderem Cookies, die für die Nutzung einer Website unbedingt erforderlich sind, Marketing-Cookies oder Analyse-Cookies.

 

Und worum geht es in dem Fall des EuGH,
dem Cookie-Urteil, genau?

In der Sache ging es um eine vorausgefüllte Einwilligungserklärung für die Datenverarbeitung für Werbezwecke bzw. Cookies auf einer Website – was erst einmal ein wenig kryptisch klingt, ist etwas, dass jeder kennt: man besucht eine Webseite und plötzlich öffnet sich ein kleines Feld mit den Worten „Ich bin mit dem Einsatz von Cookies zu Marketing- und Analysezwecken einverstanden“, wobei sich neben dem Text ein Kästchen befindet, das bereits angekreuzt ist. Diese Vorgehensweise kennt man von vielen, wenn nicht den meisten Internetseiten. Die Betreiber geben durch das vorausgefülltes Kästchen die Antwort, die für sie am vorteilhaftesten ist, vor – in der Hoffnung, der Nutzer ändert die Voreinstellung nicht. Diese sogenannte Opt-Out-Lösung verwendete auch der Gewinnspielbetreiber Planet49. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände war jedoch der Meinung, dass das vorausgefüllte Kästchen keine Einwilligung darstellt, die den Anforderungen der DSGVO genügt.

 

Wie fiel die Entscheidung des EuGH aus?

Der EuGH entschied, dass diese Vorgehensweise rechtswidrig ist, da eine Einwilligung immer aktiv und freiwillig erteilt werden müsse, was aber bei einer Vorauswahl gerade nicht der Fall sei. Durch das vorausgefüllte Kästchen kann sich der Nutzer gerade nicht aktiv für eine Einwilligung, sondern muss sich aktiv gegen – und daher nur passiv für – die Einwilligung entscheiden.

„Der EuGH entschied, dass diese
Vorgehensweise rechtswidrig ist.“


Daher sei die Einwilligung in solchen Fällen nicht wirksam und damit die Datenverarbeitung rechtswidrig. Darüber hinaus stellte das Gericht fest, dass die Informationen, die Planet49 seinen Nutzern zu Verfügung stellte, nicht ausreichten. Neben den üblichen Informationen nach Art. 13 DSGVO müsse der Betreiber die Nutzer auch über die Funktionsdauer der Cookies und Zugriffsrechte Dritter informiert werden
.

 

Wie war die Rechtslage denn vorher?

Vor der Entscheidung des EuGH war die Rechtslage unklar. Die DSGVO enthält klare Vorgaben, dass eine Einwilligung immer aktiv erteilt werden muss. Allerdings gibt es in Deutschland noch eine spezielle Norm im Telemediengesetz. Diese lässt sich so interpretieren, dass für Cookies ein Opt Out ausreicht. Daher haben sich viele Unternehmen in der „Grauzone“ bewegt und die Kästchen vorausgefüllt. Allerdings haben die Datenschutzaufsichtsbehörden schon vor der Entscheidung darauf hingewiesen, dass sie die Opt-Out-Lösung als nicht ausreichend erachten. Durch das Urteil des EuGH wissen wir nun, dass tatsächlich eine Opt-In-Lösung erforderlich ist.

 

Welche Konsequenzen ergeben sich aus der
Entscheidung für die Praxis?

Website-Betreiber sollten – am besten schon gestern – ihre Internetseiten grundlegend überprüfen und bei Bedarf überarbeiten. Dazu gehört einerseits die Erfassung, Kategorisierung und Dokumentation aller verwendeten Cookies – auch solcher, die lediglich die technische Funktionalität der Website sicherstellen. Die Einwilligungserklärung, die den Nutzern zur Verfügung gestellt wird, sollte den Anforderungen des Urteils (Opt-In-Lösung) unbedingt angepasst und datenschutzkonform dokumentiert werden. Hierbei ist wichtig, dass das „Ja“ und „Nein“ des Nutzers gleichwertige Alternativen darstellen – „Nudging“, also das bewusste Lenken in die eine oder andere Richtung, ist zu vermeiden. Darüber hinaus sollten alle verfügbaren Informationen über diese Cookies zusammengestellt werden, insbesondere Informationen über Funktions- und Speicherdauer sowie den Umfang des Zugriffs durch Dritte. Diese müssen in der Datenschutzerklärung aufgeführt sein. Auch sollte überprüft werden, ob die Datenschutzerklärung überarbeitet werden muss.

 

Und wie kann man als Website-Betreiber die neuen
Vorgaben bestmöglich umsetzen?

Das Urteil zeigt, dass es wichtig ist, den Nutzer ausreichend zu informieren. Daher sollten die zusammengestellten Informationen über die Cookies an den Nutzer weitergegeben werden, beispielsweise durch eine Verlinkung im Cookie-Banner auf eine ausführliche Datenschutzerklärung, eine Auflistung im Cookie-Banner oder durch den Einsatz von sogenannten Consent-Managern.

„Das Urteil zeigt, dass es wichtig ist,
den Nutzer ausreichend zu informieren.“


Aber auch hier muss darauf geachtet werden, dass die Einwilligungen keinesfalls vorausgefüllt sind. Darüber hinaus sollten auch einfache Schaltflächen wie „Okay“ oder „Einverstanden“ kritisch geprüft und im Zweifel vermieden werden
.

 

Ist das denn nun die finale Rechtslage zum Einsatz von Cookies?

Leider nicht ganz. Ob zukünftig tatsächlich für alle Cookies eine Einwilligung eingeholt werden muss, hängt von verschiedenen Faktoren ab. Der deutsche Gesetzgeber hat die europäischen Vorgaben leider nur unzureichend in nationales Recht umgesetzt, daher ist die Rechtslage sehr kompliziert und unübersichtlich. Beobachtet werden sollten hier etwaige Stellungnahmen der Aufsichtsbehörden, die Rechtsprechung des BGH sowie eine etwaige Reform der deutschen Vorschriften im Telemediengesetz. Außerdem sollten die Entwicklungen rund um die „ePrivacy-Verordnung“ im Auge behalten werden, die sich unter anderem explizit mit dem Einsatz von Cookies befasst. Sie sollte ursprünglich gleichzeitig mit der DSGVO in Kraft treten; derzeit befindet sie sich jedoch noch in Verhandlungen und wird voraussichtlich 2020 oder sogar erst 2021 in Kraft treten, dann aber vorrangig gelten.

Fazit – das sollten Website-Betreiber nun tun:

  1. Prüfung und Dokumentation vorhandener Tracking-Technologie auf der Webseite
  2. Umstellung vorhandener Cookie-Banner auf eine Opt-In-Lösung 
  3. Prüfung und Überarbeitung der Datenschutzerklärung mit einem Experten

 

 

Top