EuGH-Urteil: Cookies erfordern Einwilligung der Nutzer

Der Europäische Gerichtshof (EuGH) fordert die aktive Einwilligung der Nutzer beim Speichern und Abrufen von Cookies. Dabei mache es "keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht", teilte das Gericht am Dienstag in Luxemburg mit (PDF). Das Europarecht solle den Nutzer "vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass 'Hidden Identifiers' oder ähnliche Instrumente in sein Gerät eindringen", hieß es zur Begründung. Das Urteil berücksichtigt nicht nur die frühere EU-Richtlinie von 2002 ("Cookie"-Richtlinie), sondern auch die neue EU-Datenschutz-Grundverordnung (DSGVO) (Az.: C‑673/17).

Hintergrund des Urteils ist eine Klage des Verbraucherzentrale Bundesverbands (VZBV) gegen die Planet49 GmbH, die bei Online-Gewinnspielen zu Werbezwecken die entsprechenden Cookie-Banner schon so konfiguriert hatte, dass lediglich mit einem Mausklick die Einwilligung gegeben werden konnte. Der Bundesgerichtshof (BGH) hatte in dem Rechtsstreit das höchste europäische Gericht um eine Vorabentscheidung ersucht. Mit Cookies erheben Website-Anbieter Informationen über Website-Besucher. Dazu gehören Login-Daten, aber auch Verhaltensweisen und Präferenzen, die oft an Partnerunternehmen weitergereicht werden.

Nicht Gegenstand des Verfahrens waren solche Techniken und Verfahren, die allein zum Zweck der Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz genutzt werden oder die erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Derartige Speicherungen sind nach Artikel 5 Absatz 3 der Cookie-Richtlinie auch ohne Einwilligung erlaubt.

Kein Personenbezug erforderlich

Dabei wollten die Karlsruher Richter unter anderem wissen, ob eine wirksame Einwilligung vorliegt, "wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss" (Opt-out). Zudem sollte der EuGH entscheiden, ob es einen Unterschied ausmacht, "ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt".

Nach Darstellung des EuGH sind "die in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer", die durch die Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten geschützt seien. "Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt", heißt es in dem Urteil.

Darüber hinaus sind die Webseiten-Betreiber verpflichtet, über die Funktionsdauer der gesetzten Cookies und den Zugriff Dritter auf die Daten zu informieren.

E-Privacy-Verordnung soll Klärung schaffen

Der Streit über die sogenannten Cookie-Banner und die Einwilligungspflichten beim Nutzertracking beschäftigt Politik, Datenschützer und Webseitenbetreiber schon seit Jahren. Die sogenannte E-Privacy-Verordung, die eigentlich parallel zur DSGVO verabschiedet werden sollte, hatte daher zum Ziel, einheitliche Vorgaben für den Einsatz von Cookies innerhalb der EU zu machen. Allerdings ist derzeit immer noch keine Einigung abzusehen.

Zuletzt hatte eine Studie die meisten Cookie-Banner als illegal eingeschätzt. Demnach böten 86 Prozent der untersuchten Websites neben einem Zustimmungs-Button keine weiteren Optionen an. Das verstoße gegen die DSGVO. Diese verlange, dass Nutzer sich informiert dafür oder dagegen entscheiden dürften. Ein einfaches OK genüge nicht.

Nach Informationen von Netzpolitik.org will das zuständige Bundeswirtschaftsministerium das Online-Tracking neu regeln und einen Entwurf zur Änderung des Telemediengesetzes (TMG) vorlegen.

Nachtrag vom 1. Oktober 2019, 12:27 Uhr

Nach Einschätzung des IT-BranchenverbandsBitkom hat das Urteil "weitreichende Auswirkungen für Internetnutzer und Tausende Webseitenbetreiber in Deutschland". Denn Cookies könnten künftig "nicht mehr mit einem Hinweis an den Nutzer automatisch gesetzt werden, sondern erfordern seine ausdrückliche Zustimmung". Neben dem Aufwand für die Umsetzung der DSGVO bedeute das Urteil "für unzählige Webseitenbetreiber eine erneute Mehrbelastung". Auch für die Nutzer werde das Surfen im Netz umständlicher.

Der VZBV begrüßte das Urteil als "ein wichtiges Zeichen für den Schutz der digitalen Privatsphäre". Umso drängender sei nun die Durchsetzung der DSGVO und "die zügige Annahme einer datenschutzfreundlichen E-Privacy-Verordnung, die derzeit in Brüssel verhandelt wird", sagte Lina Ehrig, Teamleiterin Digitales. Praktiken wie vorgeklickte Kästchen, Zugangssperren für Nutzer, die Cookies nicht zustimmten und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteile, müssten beendet werden. Eine Weiterverarbeitung von elektronischen Kommunikationsdaten für "kompatible Zwecke" sei in diesem besonders sensiblen Bereich nicht akzeptabel und auch nicht mit der Rechtsprechung des EuGH vereinbar. "Jetzt ist die Bundesregierung gefragt, ihre Haltung gegenüber den anderen Mitgliedsstaaten im EU-Rat auch zu verteidigen und durchzusetzen", sagte Lina Ehrig.

Nachtrag vom 1. Oktober 2019, 17:43 Uhr

Wir haben den Artikel in Absatz 3 dahin gehend ergänzt, dass rein technische Cookies weiterhin erlaubt sind. Überschrift und Teaser haben wir entsprechend angepasst.