Aktualitätshinweis: die gesetzliche Situation hat sich nach Veröffentlichung dieses Artikels geändert. Teile der Angaben dürften überholt sein.


TL;DR:

Es geht ans Eingemachte. Oder na ja, ans Süße jedenfalls. Der Europäische Gerichtshof hat in der Rechtssache planet49 entschieden, dass Cookies der Einwilligung bedürfen, soweit sie nicht zur Erbringung der Dienstleistung notwendig sind – und lässt zumindest der Marketingindustrie den Cocktail eher sauer aufstoßen. Dieser Beitrag skizziert Hintergründe und Handlungsbedarf.

Ja, ich will Kekse. – Ist hier alles erlaubt? caption:Was ist erforderlich, um Cookies zu nutzen? Welche Anforderungen bestehen in Hinblick auf die Einwilligung?

Der Umgang mit Cookies und ähnlichen Datenspeichern war seit langem umstritten. Recht einhellig war die Meinung dahingehend, dass Deutschland europarechtliche Vorgaben nicht gut umgesetzt hatte, doch viele Juristen argumentierten, dass die Situation letztlich dazu führe, dass Cookies in Deutschland recht unproblematisch erlaubt seien. Dies ändert sich mit dem heutigen Urteil des Europäischen Gerichtshofs in Sachen “planet49”. Das Urteil hallt laut durch die Sphären der Datenschützer, Juristen, aber auch Marketingexperten – denn es sagt kurz: keine Cookies ohne ausdrückliche, klare Einwilligung.

Etwas konkreter benannt trifft das Urteil folgende Feststellungen:

Im Umkehrschluss heißt dies auch:

Unverändert…

Prozessgang und Hintergrund

Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. gegen den Gewinnspielanbieter planet49 GmbH, dies erstinstanzlich vor dem LG Frankfurt am Main. In der Revision befasste sich der BGH unter dem Aktenzeichen I ZR 7/16 mit der Thematik und beschloss, konkrete Rechtsfragen dem Europäischen Gerichtshof vorzulegen (externer Link auf die Seite des Bundesgerichtshofs) – dessen Entscheidung wurde heute veröffentlicht) (externer Link auf die Seite des Europäischen Gerichtshofs. Das Urteil betrifft die Frage, ob es eine Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten gibt, ebenso wie die konkreten Anforderungen an die Ausgestaltung von Einwilligung und sowie Umfang und Darstellung der überlassenen Informationen.

Bewertung der Entscheidung

In den Grundlinien ist die Entscheidung wenig überraschend. Andere Länder der EU haben schon lange striktere Anforderungen, es war nur eine Frage der Zeit, bis der EuGH darüber entscheidet und es erschien schon vorab sehr wahrscheinlich, dass die Anforderungen höher würden. Soweit, so gut. Allerdings ist das Gesetz, das die Cookies regelt, veraltet und hätte schon gleichzeitig mit der DSGVO durch eine Neufassung ersetzt werden sollen. Der politische Prozess stockte jedoch vor dessen Erlass, sodass jetzt zwei nicht aufeinander abgestimmte Gesetze Anwendung finden. Wir erleben gravierende praktische Schwierigkeiten dadurch, dass man sich politisch nicht einigen kann. In vielerlei Hinsicht ist das Recht auch nicht das beste Instrument, die Themen zu regeln – ein technischer Standard zur Einwilligung, der rechtlich gebilligt wird, täte Not.

Die Interpretation des Europäischen Gerichtshofs liegt überigens auf der Linie, die die deutsche Datenschutzkonferenz schon länger vertrat und auch in ihrer Orientierungshilfe für Anbieter von Telemedien) (externer Link auf die Seite der Datenschutzkonferenz vertrat.

Problematisch an dem Urteil erscheint mir, dass die Feststellungen Themen aufgreifen, die sich je nach Konstellation sehr unterschiedlich werten lassen. So greift es die Übergabe der Daten an Dritte auf – dies ist natürlich im Kontext Third Party Cookies sehr relevant. Richtigerweise könnte die Wertung bei eigenen und nur selbst genutzten Cookies anders aussehen – Datenschutz ist hier letztlich nur bezüglich personenbezogener Daten inhaltlich ein wesentliches Thema, doch die rechtlich Interpretation dürfte weiter gehen als das, also auch solche Fälle unter Vorbehalte stellen. Mir erscheint das Urteil – so erwartbar es in vielen Punkten ist – rechtstechnisch teilweise misslungen, denn es hält die Unterscheidung zwischen personenbezogenen Daten einerseits und nicht personenbezogenen Daten andererseits nicht konsequent durch. Allerdings: damit werden wir leben müssen.

![Bildschirmfoto der Seite des Europäischen Gerichtshofs mit Cookie-Banner, das mutmaßlich nicht die selbst aufgestellten Anforderungen erfüllt caption:Zumindest meinem Verständnis nach legen die europäischen Institutionen unterschiedliche Maßstäbe an. Der Europäische Gerichtshof schreibt in seiner eigenen Cookie-Meldung schlicht “Wir verwenden außerdem statistische Analyseinstrumente.” und hat dann einen Button mit der Beschriftung “Ich habe es gelesen” und einen weiteren unter dem Titel “Mehr Informationen”, der auf die Datenschutzerklärung verlinkt. So wie ich das Urteil interpretiere, ist dies jedoch genau die Praxis, die er Webseiten-Betreibern untersagen möchte. Vorbildlich hingegen ist die Zwei-Klick-Lösung für das Abspielen von Videos.](image: curia.europa.eu-cookie-banner-2019-10-01-cookies.jpg)

Betreiber von Webseiten sollten Ihren Umgang mit Datenspeicherung und Cookies kritisch hinterfragen. Dies gilt insbesondere für Betreiber geschäftlicher Seiten, jedoch auch für andere. Je nach Situation kann der beste Weg sein, auf Cookies und erweiterte Datenverarbeitungen zu verzichten. Sind Cookies technisch notwendig, um die Seite funktional zu halten (nicht: optimiert), so sind sie in Maßen zulässig (eine Einzelfallprüfung bleibt erforderlich). Für Zugriffsstatistiken ist in Zukunft eine Einwilligung erforderlich – wie wir es etwa auf unserer Verbunds-Seite von Anfang an praktizieren.

Die Abfrage des Einverständnisses muss klar sein und erfordert aktives, bestätigendes Handeln des Nutzers/der Nutzerin. Beispielsweise könnte dies durch eine Abfrage wie folgt erfolgen:

Wir möchten gerne wissen, was Ihnen wichtig ist. Hierfür möchten wir pseudonymisierte Statistiken über das Nutzungsverhalten auf unserer Webseite erstellen. Bitte lassen Sie uns wissen, ob Sie damit einverstanden sind, dass wir zu ihrer Reidentifizierung ein Cookie setzen. Für mehr Information lesen Sie bitte unsere Datenschutzerklärung[Link].

[Button Ablehnung] [Button Zustimmung]

Wichtig ist dabei, dass Zustimmung wie Ablehnung gleichermaßen möglich sind.

Fragen und Antworten

Der Übersichtlichkeit halber sind die Fragen und Antworten in einem gesonderten Dokument dargestellt.

Stellungnahmen/Hinweise der Behörden

(Ergänzt am 10.10.2019)

Rein informativ für alle, die sich direkt bei Aufsichtsbehörden informieren möchten, teilen wir folgende Links zu Stellungnahmen, ohne Anspruch auf Vollständigkeit. Bitte beachten Sie, dass die Behörden auch ihre eigenen Rechtsansichten darstellen – häufig ist das eine überzeugende Interpretation, jedoch nicht zwingedermaßen immer – teils stellen Sie auch nur einzelne Aspekte heraus und andere erscheinen kaum oder gar nicht.

Downloads

Als Service stellen wir zur Verfügung:

Vorgehen

Das wichtigste ist nun, dass Sie sich selbst vergewissern, was Sie im Kontext Cookies praktisch tun – und dies den neuen Anforderungen gegenüberlegen. Ich, Rechtsanwalt Cevc ]aus Erlangen, berate zu IT-Recht und Datenschutz und damit auch zu diesen Themen, falls Sie etwa Grenzfragen klären möchten oder eine spezifische Einschätzung Ihres Einzelfalls wünschen.


Wichtiger Hinweis: Dies ist eine verallgemeinernde, vereinfachte Betrachtung, der Text stellt weder Rechtsrat dar noch ersetzt er solchen.