Aktualitätshinweis: die gesetzliche Situation hat sich nach Veröffentlichung dieses Artikels geändert. Teile der Angaben dürften überholt sein.
TL;DR:
Es geht ans Eingemachte. Oder na ja, ans Süße jedenfalls. Der Europäische Gerichtshof hat in der Rechtssache planet49 entschieden, dass Cookies der Einwilligung bedürfen, soweit sie nicht zur Erbringung der Dienstleistung notwendig sind – und lässt zumindest der Marketingindustrie den Cocktail eher sauer aufstoßen. Dieser Beitrag skizziert Hintergründe und Handlungsbedarf.
Neue rechtliche Wertung
Der Umgang mit Cookies und ähnlichen Datenspeichern war seit langem umstritten. Recht einhellig war die Meinung dahingehend, dass Deutschland europarechtliche Vorgaben nicht gut umgesetzt hatte, doch viele Juristen argumentierten, dass die Situation letztlich dazu führe, dass Cookies in Deutschland recht unproblematisch erlaubt seien. Dies ändert sich mit dem heutigen Urteil des Europäischen Gerichtshofs in Sachen “planet49”. Das Urteil hallt laut durch die Sphären der Datenschützer, Juristen, aber auch Marketingexperten – denn es sagt kurz: keine Cookies ohne ausdrückliche, klare Einwilligung.
Etwas konkreter benannt trifft das Urteil folgende Feststellungen:
- Der gesetzliche Rahmen ist derart, dass die Nutzung von technisch nicht notwendigen Cookies der Zustimmung bedarf.
- Eine Zustimmung erfordert ein aktives Handeln der jeweiligen Nutzer, konkret und für den relevanten Fall.
- Ferner ist eine Zustimmung nur ausreichend informiert, wenn die Nutzer sich konkret über Zweck, Umfang und Dauer der Speicherung informieren können.
Im Umkehrschluss heißt dies auch:
- Die bisherige Praxis, ein reines Informationsbanner zu zeigen oder gar nur in der Datenschutzerklärung zu informieren, ist nicht zulässig.
Unverändert…
- …ist die Wertung technisch notwendiger Cookies und ähnlicher Speicherungen (dazu unten und in den Fragen und Antworten mehr) (Dieser Hinweis ergänzt am 7. Oktober 2019.)
Prozessgang und Hintergrund
Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. gegen den Gewinnspielanbieter planet49 GmbH, dies erstinstanzlich vor dem LG Frankfurt am Main. In der Revision befasste sich der BGH unter dem Aktenzeichen I ZR 7/16 mit der Thematik und beschloss, konkrete Rechtsfragen dem Europäischen Gerichtshof vorzulegen (externer Link auf die Seite des Bundesgerichtshofs) – dessen Entscheidung wurde heute veröffentlicht) (externer Link auf die Seite des Europäischen Gerichtshofs. Das Urteil betrifft die Frage, ob es eine Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten gibt, ebenso wie die konkreten Anforderungen an die Ausgestaltung von Einwilligung und sowie Umfang und Darstellung der überlassenen Informationen.
Bewertung der Entscheidung
In den Grundlinien ist die Entscheidung wenig überraschend. Andere Länder der EU haben schon lange striktere Anforderungen, es war nur eine Frage der Zeit, bis der EuGH darüber entscheidet und es erschien schon vorab sehr wahrscheinlich, dass die Anforderungen höher würden. Soweit, so gut. Allerdings ist das Gesetz, das die Cookies regelt, veraltet und hätte schon gleichzeitig mit der DSGVO durch eine Neufassung ersetzt werden sollen. Der politische Prozess stockte jedoch vor dessen Erlass, sodass jetzt zwei nicht aufeinander abgestimmte Gesetze Anwendung finden. Wir erleben gravierende praktische Schwierigkeiten dadurch, dass man sich politisch nicht einigen kann. In vielerlei Hinsicht ist das Recht auch nicht das beste Instrument, die Themen zu regeln – ein technischer Standard zur Einwilligung, der rechtlich gebilligt wird, täte Not.
Die Interpretation des Europäischen Gerichtshofs liegt überigens auf der Linie, die die deutsche Datenschutzkonferenz schon länger vertrat und auch in ihrer Orientierungshilfe für Anbieter von Telemedien) (externer Link auf die Seite der Datenschutzkonferenz vertrat.
Problematisch an dem Urteil erscheint mir, dass die Feststellungen Themen aufgreifen, die sich je nach Konstellation sehr unterschiedlich werten lassen. So greift es die Übergabe der Daten an Dritte auf – dies ist natürlich im Kontext Third Party Cookies sehr relevant. Richtigerweise könnte die Wertung bei eigenen und nur selbst genutzten Cookies anders aussehen – Datenschutz ist hier letztlich nur bezüglich personenbezogener Daten inhaltlich ein wesentliches Thema, doch die rechtlich Interpretation dürfte weiter gehen als das, also auch solche Fälle unter Vorbehalte stellen. Mir erscheint das Urteil – so erwartbar es in vielen Punkten ist – rechtstechnisch teilweise misslungen, denn es hält die Unterscheidung zwischen personenbezogenen Daten einerseits und nicht personenbezogenen Daten andererseits nicht konsequent durch. Allerdings: damit werden wir leben müssen.
![Bildschirmfoto der Seite des Europäischen Gerichtshofs mit Cookie-Banner, das mutmaßlich nicht die selbst aufgestellten Anforderungen erfüllt caption:Zumindest meinem Verständnis nach legen die europäischen Institutionen unterschiedliche Maßstäbe an. Der Europäische Gerichtshof schreibt in seiner eigenen Cookie-Meldung schlicht “Wir verwenden außerdem statistische Analyseinstrumente.” und hat dann einen Button mit der Beschriftung “Ich habe es gelesen” und einen weiteren unter dem Titel “Mehr Informationen”, der auf die Datenschutzerklärung verlinkt. So wie ich das Urteil interpretiere, ist dies jedoch genau die Praxis, die er Webseiten-Betreibern untersagen möchte. Vorbildlich hingegen ist die Zwei-Klick-Lösung für das Abspielen von Videos.](image: curia.europa.eu-cookie-banner-2019-10-01-cookies.jpg)
Handlungsempfehlungen
Betreiber von Webseiten sollten Ihren Umgang mit Datenspeicherung und Cookies kritisch hinterfragen. Dies gilt insbesondere für Betreiber geschäftlicher Seiten, jedoch auch für andere. Je nach Situation kann der beste Weg sein, auf Cookies und erweiterte Datenverarbeitungen zu verzichten. Sind Cookies technisch notwendig, um die Seite funktional zu halten (nicht: optimiert), so sind sie in Maßen zulässig (eine Einzelfallprüfung bleibt erforderlich). Für Zugriffsstatistiken ist in Zukunft eine Einwilligung erforderlich – wie wir es etwa auf unserer Verbunds-Seite von Anfang an praktizieren.
Die Abfrage des Einverständnisses muss klar sein und erfordert aktives, bestätigendes Handeln des Nutzers/der Nutzerin. Beispielsweise könnte dies durch eine Abfrage wie folgt erfolgen:
Wir möchten gerne wissen, was Ihnen wichtig ist. Hierfür möchten wir pseudonymisierte Statistiken über das Nutzungsverhalten auf unserer Webseite erstellen. Bitte lassen Sie uns wissen, ob Sie damit einverstanden sind, dass wir zu ihrer Reidentifizierung ein Cookie setzen. Für mehr Information lesen Sie bitte unsere Datenschutzerklärung[Link].
[Button Ablehnung] [Button Zustimmung]
Wichtig ist dabei, dass Zustimmung wie Ablehnung gleichermaßen möglich sind.
Fragen und Antworten
Der Übersichtlichkeit halber sind die Fragen und Antworten in einem gesonderten Dokument dargestellt.
Stellungnahmen/Hinweise der Behörden
(Ergänzt am 10.10.2019)
Rein informativ für alle, die sich direkt bei Aufsichtsbehörden informieren möchten, teilen wir folgende Links zu Stellungnahmen, ohne Anspruch auf Vollständigkeit. Bitte beachten Sie, dass die Behörden auch ihre eigenen Rechtsansichten darstellen – häufig ist das eine überzeugende Interpretation, jedoch nicht zwingedermaßen immer – teils stellen Sie auch nur einzelne Aspekte heraus und andere erscheinen kaum oder gar nicht.
- Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) Orientierungshilfe der Aufsichtsbehördenfür Anbieter von Telemedien (externer Link)
- Landesbeauftrager für Datenschutz und Informationsfreiheit Baden-Württemberg zum Einsatz von Cookies und Cookie-Bannern – was gilt es bei Einwilligungen zu tun? (EuGH-Urteil „Planet49“) (externer Link) FAQ zu Cookies und Tracking (externer Link)
- Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit [Cookies auch in Deutschland einwilligungspflichtig](https://datenschutz-hamburg.de/pressemitteilungen/2019/10/2019-10-01-planet49 target:_blank text:) (externer Link)
Downloads
Als Service stellen wir zur Verfügung:
- Eine kurze Zusammenfassung in Form von Vorfragen und konkreten Schritten
- Eine Tabelle zur Vorbereitung Prüfung der Zulässigkeit und der für die Nutzerinformation relevanten Tatsachen
Vorgehen
Das wichtigste ist nun, dass Sie sich selbst vergewissern, was Sie im Kontext Cookies praktisch tun – und dies den neuen Anforderungen gegenüberlegen. Ich, Rechtsanwalt Cevc ]aus Erlangen, berate zu IT-Recht und Datenschutz und damit auch zu diesen Themen, falls Sie etwa Grenzfragen klären möchten oder eine spezifische Einschätzung Ihres Einzelfalls wünschen.
Wichtiger Hinweis: Dies ist eine verallgemeinernde, vereinfachte Betrachtung, der Text stellt weder Rechtsrat dar noch ersetzt er solchen.