EuGH-Urteil: Cookies erfordern aktive Einwilligung

Veröffentlicht am 9. Oktober 2019 von Dr. Maximilian Greger | Datenschutz IT-Recht Onlinerecht | 2 Kommentare

cookiesDer EuGH hat am 1. Oktober 2019 ein Urteil (C-673/17) mit weitreichenden Folgen zur Nutzung von Cookies erlassen. Diese bedürfen der aktiven Einwilligung des Internetnutzers, sofern sie technisch nicht zwingend erforderlich für den Aufbau der Website sind.

Bisherige Rechtslage

Bislang wusste niemand, ob die Verwendung von Cookies eine aktive Einwilligung des Internetnutzers erfordert. Zwar sehen die europäischen Vorgaben in Art. 5 Abs. 3 der Datenschutz-Richtlinie (2002/58), geändert durch die „Cookie-Richtlinie“ (2009/136) eine aktive Einwilligung vor (Anmerkung: der vom EuGH entschiedene Sachverhalt handelte noch vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) – nach dieser gilt das Erfordernis der aktiven Einwilligung aber erst recht). Bislang war eine solche aktive Einwilligung in Deutschland aber noch nicht geltendes Gesetz, weil der deutsche Gesetzgeber die sogenannte Cookie-Richtlinie der EU, die eine solche proaktive Einwilligung erfordert, nicht umgesetzt hat. Dies musste er bislang erstaunlicherweise auch nicht, weil die EU-Kommission – warum auch immer – erklärt hatte, dass die deutschen Regelungen (§ 15 Abs. 3 Telemediengesetz/TMG) die Vorgaben der Cookie-Richtlinie bereits erfüllen. Dies, obwohl die deutschen Regelungen gerade keine Einwilligung, sondern nur einen Hinweis auf ein Widerspruchsrecht vorsehen.

Entscheidung des EuGH

Diese Diskrepanz hat der EuGH nun mit Urteil vom 01.10.2019 (Az. C-673/17) beseitigt. Der EuGH meint, dass die Cookie-Richtlinie durch die Formulierung „seine Einwilligung gegeben hat“ ein aktives Einwilligen des Nutzers erfordert und Website-Betreiber das Einverständnis nicht mehr lediglich vermuten dürfen. Die bisherige Praxis, wonach Internetnutzer durch voreingestellte Ankreuzkästchen Cookies erst nachträglich wieder abwählen (deaktivieren) können, entspricht nach Ansicht des EuGH nicht dem Unionsrecht.

Aktuelle Situation im Internet

Um es kurz zu fassen: Ein Großteil der Websites erfüllt nicht die gesetzlichen Vorgaben!

Die meisten Websites informieren den Internetnutzer zwar mittlerweile per „Cookie-Banner“ darüber, dass sie Cookies einsetzen. Zum Zeitpunkt dieser Information hat die Website Cookies bereits auf dem lokalen Rechner des Nutzers abgelegt. Diese Art der Information bietet dem Nutzer folglich nur die Möglichkeit, nachträglich Cookies wieder zu löschen („Opt-out“). Eine proaktive Einwilligung des Internetnutzers, wie sie der EuGH nun voraussetzt, muss der Website-Betreiber technisch so gestalten, dass die Seite Cookies zum Zeitpunkt der Einblendung des Banners noch nicht auf dem lokalen Rechner des Nutzers ablegt. Erst wenn der Nutzer bestimmte Cookies aktiv durch Markieren einer Checkbox erlaubt, dürften diese geladen werden.

Zu beachten: der EuGH hatin seinem Urteil nicht zwischen technisch notwendigen dies und nicht notwendigen Cookies unterschieden. Im Hinblick auf technisch notwendige Cookies dürfte die vorherige Einwilligung nicht erforderlich sein. Lesen Sie dazu mehr im folgenden Beitrag: „Einwilligung auch für technisch notwendige Cookies zwingend?“.

Konsequenz

Nach dieser Entscheidung müssen nahezu alle Website-Betreiber ihre Internetauftritte technisch überarbeiten. Dies erfordert einen erheblichen technischen und finanziellen Aufwand. Die Nichtbeachtung der nun vom EuGH klar entschiedenen Rechtslage kann den Website-Betreiber aber erst recht teuer zu stehen kommen. Denn ein Verstoß gegen die DSGVO kann zu erheblichen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes führen.


Beitragsfoto: © ksena32 – Fotolia.com

Dr. Maximilian Greger ist Partner und Fachanwalt für Urheber- und Medienrecht bei SNP Schlawien in München. Er berät vorwiegend mittelständische Unternehmen und Startups im Marken-, Wettbewerbs-, Online- und Datenschutzrecht.

IPticker abonnieren!

 

2 Gedanken zu "EuGH-Urteil: Cookies erfordern aktive Einwilligung"

Hallo,

die EuGH Richter unterscheiden in dem gegenständlichen Urteil nicht zwischen technisch notwendigen und Werbe Cookies (etc,). Ich verstehe daher nicht, wieso viele Blogger davon ausgehen, dass das Urteil nur Auswirkungen für technisch nicht notwendige Cookies hat. Letztendlich wird mit dem Schutzzweck der eprivacy RL argumentiert, die im Rahmen der Cookie Speicherung in den Endgeräten, die Nutzer vor Spyware schützen soll.
Danke und Grüße

In der Tat setzt sich der EuGH nicht damit auseinander, verweist in seinem Urteil aber auf Artikel 5 Abs. 3 der ePrivacy-Richtlinie. Die aktuelle (durch die EU-Richtlinie 2009/136/EG geänderten Fassung) enthält folgende Formulierung: „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Ich denke, dass deshalb die Entwicklung künftig dahin gehen wird, dass technisch für die Grundfunktionen der Seite notwendige Cookies erlaubt sein werden (auch wenn es dafür natürlich keine Garantie gibt).