EuGH stärkt Datenschutz im Netz: technisch nicht notwendige Cookies nur noch mit Einwilligung

(c) BBH

Webseiten dürfen technisch nicht notwendige Cookies nur dann auf den Rechnern der Nutzer ablegen, wenn diese ausdrücklich eingewilligt haben. Diese Entscheidung (Az. C-673/17) hat der Europäische Gerichtshof (EuGH) am 1.10.2019 verkündet und damit ein Vorabentscheidungsersuchen (v. 05.10.2017, Az. I ZR 7/16) des Bundesgerichtshofs (BGH) aus dem Jahr 2017 beantwortet.

Cookies sind Textdateien, die beim Besuch einer Webseite auf der Festplatte des Nutzers installiert werden, um die Nutzung der Webseite zu personalisieren oder sogar individualisierte Nutzerprofile zu erstellen. In dem zugrundeliegenden Rechtsstreit hatte die Verbraucherzentrale Bundesverband e.V. einen Anbieter von Online-Gewinnspielen wegen der verwendeten Cookie-Einstellungen auf Unterlassung in Anspruch genommen. Der Anbieter hatte das Häkchen, durch welches der Nutzer seine Zustimmung zur Cookie-Verwendung gab, bereits voreingestellt; dieser musste nur noch auf „Ok“ klicken und sollte damit  nicht nur in die Teilnahme am fraglichen Gewinnspiel einwilligen, sondern auch in die Weitergabe seiner Daten an Werbepartner oder Sponsoren und die Verwendung von Tracking-Cookies.

Der EuGH urteilte nun, dass dieses Vorgehen dem EU-Datenschutzrecht nicht gerecht wird (Richtlinien 2002/58/EG, 2009/136/EG und 95/46/EG und VO (EU) 2016/679). Egal, ob es sich um personenbezogene oder nutzungsbezogene Daten handelt: für beide ist eine aktive Einwilligung (sog. „opt-in“) des Nutzers erforderlich. Obendrein seien die Nutzer insbesondere auch über die Funktionsdauer von Cookies zu informieren sowie darüber, ob und welche Dritte Zugriff auf die Cookies erhalten.

Der EuGH hatte sich vor allem mit der Auslegung des Begriffs der „Einwilligung“ in Art. 5 Abs. 3 der Richtlinie 2002/58/EG auseinanderzusetzen. Der EuGH stärkt hier den Grundsatz der einheitlichen Anwendung des Unionsrechts: Solange eine Richtlinie nicht ausdrücklich auf das Recht der Mitgliedsstaaten verweist, sind die Begriffe dieser Richtlinie einheitlich, unter Berücksichtigung der Ziele und des Kontexts der Vorschrift sowie des gesamten Unionsrechts auszulegen. Vorliegend sei schon dem Wortlaut zu entnehmen, dass das „Geben einer Einwilligung“ ein expliziter Akt ist und nicht vermutet werden darf. Dass der EuGH damit diese seit langem umstrittenen Rechtsfrage klärt, ist im Sinne der Rechtsklarheit zu begrüßen. Bereits seit 2002 ist die sog. ePrivacy-Richtlinie (2002/58/EG) in Kraft, ergänzt im Jahr 2009 durch die sog. Cookie-Richtlinie (2009/136/EG), die ebenjene ausdrückliche Einwilligung in die Verwendung von Cookies durch den Nutzer verlangt, wie sie der EuGH jetzt bestätigt hat. Da aber Deutschland diese Richtlinien nie (vollständig) in nationales Recht umgesetzt hat, ist man hierzulande nun unter Zugzwang. Lange hielt man die o.g. Richtlinien mit den im Telemediengesetz (TMG) festgeschriebenen Cookie-Informationspflichten für ausreichend umgesetzt und gab sich mit der „opt-out“-Einwilligung zufrieden. Da diese Interpretation nach dem jetzigen EuGH-Urteil nicht mehr vertretbar ist, wird der deutsche Gesetzgeber die Gesetzeslage hoffentlich bald anpassen.

Aus dem Urteil lässt sich – entgegen mancher Verlautbarung – hingegen nicht ohne weiteres ableiten, dass der EuGH bei jedem Besuch einer Webseite, die Cookies verwendet, eine Einwilligung verlangt. Aber das lässt sich aus dem Urteil nicht ohne weiteres ableiten. Technisch im Sinne der Richtlinien 2002/58/EG, 2009/136/EG notwendige Cookies können auch weiterhin ohne eine Einwilligung verwendet werden, wobei die Abgrenzung zu technisch nicht notwendigen Cookies im Einzelfall schwierig sein kann.

Betreiber von Webseiten müssen nun ihre Voreinstellungen überprüfen und dem Nutzer möglicherweise einige zusätzliche Klicks abverlangen. Sofern Betreiber bisher die sog. opt-out-Variante verwenden, dürfte dies in der Mehrzahl der Fälle nicht mehr rechtssicher möglich sein. Darüber hinaus sollten Betreiber überprüfen, ob sie den vom EuGH näher definierten Informationspflichten gerecht werden. Dies betrifft auch Energievertriebe und Netzbetreiber beim Betrieb ihrer Webseite.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Sebastian Holst/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

03 Dezember

Nach dem Ampel-Aus ist vor der Bundestagswahl: Wie steht es um die offenen digitalen Gesetzesvorhaben?

Nach dem Bruch der Ampel-Regierungskoalition steht Deutschland früher als gedacht vor einer Neuwahl. Mit Blick auf den dafür angesetzten Termin im Februar 2025 bleibt wenig Zeit, die offenen Gesetzesvorhaben noch abzuschließen. Und davon gibt es eine Vielzahl. Solche, die dem...

02 Dezember

Die Kundenanlage: Neuer Rechtsrahmen und Folgen nach der EuGH-Entscheidung

Der Europäische Gerichtshof (EuGH) hat am 28.11.2024 entschieden, dass die sog. allgemeine Kundenanlage (§ 3 Nr. 24a EnWG) nicht mit europarechtlichen Vorgaben der Elektrizitätsbinnenmarktrichtlinie (RL (EU) 2019/944) vereinbar ist (Rechtssache C-293/23). Die Entscheidung dürfte Auswirkungen auf zahlreiche Infrastrukturen haben, die...