EuGH-Urteil: Cookies erfordern Einwilligung der Nutzer

Der Europäische Gerichtshof hat den Datenschutz im Internet gestärkt. Er fordert eine aktive Einwilligung der Nutzer beim Setzen und Abrufen von Cookies. Technische Cookies sind nicht betroffen.

Artikel veröffentlicht am ,
Der EuGH stärkt die Rechte der Nutzer beim Einsatz von Cookies.
Der EuGH stärkt die Rechte der Nutzer beim Einsatz von Cookies. (Bild: USA Today Network)

Der Europäische Gerichtshof (EuGH) fordert die aktive Einwilligung der Nutzer beim Speichern und Abrufen von Cookies. Dabei mache es "keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht", teilte das Gericht am Dienstag in Luxemburg mit (PDF). Das Europarecht solle den Nutzer "vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass 'Hidden Identifiers' oder ähnliche Instrumente in sein Gerät eindringen", hieß es zur Begründung. Das Urteil berücksichtigt nicht nur die frühere EU-Richtlinie von 2002 ("Cookie"-Richtlinie), sondern auch die neue EU-Datenschutz-Grundverordnung (DSGVO) (Az.: C‑673/17).

Stellenmarkt
  1. Hardware-Konstrukteur (m/w/d) Elektrotechnik
    Hauni Maschinenbau GmbH, Hamburg,Bergedorf
  2. Senior Java Developer / Consultant Finance (w/m/d)
    SMF GmbH, Dortmund
Detailsuche

Hintergrund des Urteils ist eine Klage des Verbraucherzentrale Bundesverbands (VZBV) gegen die Planet49 GmbH, die bei Online-Gewinnspielen zu Werbezwecken die entsprechenden Cookie-Banner schon so konfiguriert hatte, dass lediglich mit einem Mausklick die Einwilligung gegeben werden konnte. Der Bundesgerichtshof (BGH) hatte in dem Rechtsstreit das höchste europäische Gericht um eine Vorabentscheidung ersucht. Mit Cookies erheben Website-Anbieter Informationen über Website-Besucher. Dazu gehören Login-Daten, aber auch Verhaltensweisen und Präferenzen, die oft an Partnerunternehmen weitergereicht werden.

Nicht Gegenstand des Verfahrens waren solche Techniken und Verfahren, die allein zum Zweck der Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz genutzt werden oder die erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Derartige Speicherungen sind nach Artikel 5 Absatz 3 der Cookie-Richtlinie auch ohne Einwilligung erlaubt.

Kein Personenbezug erforderlich

Dabei wollten die Karlsruher Richter unter anderem wissen, ob eine wirksame Einwilligung vorliegt, "wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss" (Opt-out). Zudem sollte der EuGH entscheiden, ob es einen Unterschied ausmacht, "ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt".

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
  2. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
Weitere IT-Trainings

Nach Darstellung des EuGH sind "die in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer", die durch die Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten geschützt seien. "Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt", heißt es in dem Urteil.

Darüber hinaus sind die Webseiten-Betreiber verpflichtet, über die Funktionsdauer der gesetzten Cookies und den Zugriff Dritter auf die Daten zu informieren.

E-Privacy-Verordnung soll Klärung schaffen

Der Streit über die sogenannten Cookie-Banner und die Einwilligungspflichten beim Nutzertracking beschäftigt Politik, Datenschützer und Webseitenbetreiber schon seit Jahren. Die sogenannte E-Privacy-Verordung, die eigentlich parallel zur DSGVO verabschiedet werden sollte, hatte daher zum Ziel, einheitliche Vorgaben für den Einsatz von Cookies innerhalb der EU zu machen. Allerdings ist derzeit immer noch keine Einigung abzusehen.

Zuletzt hatte eine Studie die meisten Cookie-Banner als illegal eingeschätzt. Demnach böten 86 Prozent der untersuchten Websites neben einem Zustimmungs-Button keine weiteren Optionen an. Das verstoße gegen die DSGVO. Diese verlange, dass Nutzer sich informiert dafür oder dagegen entscheiden dürften. Ein einfaches OK genüge nicht.

Nach Informationen von Netzpolitik.org will das zuständige Bundeswirtschaftsministerium das Online-Tracking neu regeln und einen Entwurf zur Änderung des Telemediengesetzes (TMG) vorlegen.

Nachtrag vom 1. Oktober 2019, 12:27 Uhr

Nach Einschätzung des IT-BranchenverbandsBitkom hat das Urteil "weitreichende Auswirkungen für Internetnutzer und Tausende Webseitenbetreiber in Deutschland". Denn Cookies könnten künftig "nicht mehr mit einem Hinweis an den Nutzer automatisch gesetzt werden, sondern erfordern seine ausdrückliche Zustimmung". Neben dem Aufwand für die Umsetzung der DSGVO bedeute das Urteil "für unzählige Webseitenbetreiber eine erneute Mehrbelastung". Auch für die Nutzer werde das Surfen im Netz umständlicher.

Der VZBV begrüßte das Urteil als "ein wichtiges Zeichen für den Schutz der digitalen Privatsphäre". Umso drängender sei nun die Durchsetzung der DSGVO und "die zügige Annahme einer datenschutzfreundlichen E-Privacy-Verordnung, die derzeit in Brüssel verhandelt wird", sagte Lina Ehrig, Teamleiterin Digitales. Praktiken wie vorgeklickte Kästchen, Zugangssperren für Nutzer, die Cookies nicht zustimmten und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteile, müssten beendet werden. Eine Weiterverarbeitung von elektronischen Kommunikationsdaten für "kompatible Zwecke" sei in diesem besonders sensiblen Bereich nicht akzeptabel und auch nicht mit der Rechtsprechung des EuGH vereinbar. "Jetzt ist die Bundesregierung gefragt, ihre Haltung gegenüber den anderen Mitgliedsstaaten im EU-Rat auch zu verteidigen und durchzusetzen", sagte Lina Ehrig.

Nachtrag vom 1. Oktober 2019, 17:43 Uhr

Wir haben den Artikel in Absatz 3 dahin gehend ergänzt, dass rein technische Cookies weiterhin erlaubt sind. Überschrift und Teaser haben wir entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


heikom36 02. Okt 2019

Möglich, dass es geklärt wurde und auch verlinkt ist. Aber, gebe ich zu, ich bin einfach...

My1 02. Okt 2019

gut leute drehen das gern durcheinander und meinen eben als "session cookie" einen...

mxcd 02. Okt 2019

Durch die Cookie-Zustimmerei auf jeder Webseite wird die Bevölkerung systematisch dazu...

sambache 02. Okt 2019

Da bist du aber ganz schnell deinen Job los ;-)



Aktuell auf der Startseite von Golem.de
City M 2.0
Strøm baut minimalistisches Pendler-E-Bike

Das Strøm City M 2.0 ist ein E-Bike, das wegen seiner schlichten Linienführung auffällt und über Indiegogo für 1.095 Euro angeboten wird.

City M 2.0: Strøm baut minimalistisches Pendler-E-Bike
Artikel
  1. Cambridge Analytica: US-Staatsanwalt klagt gegen Mark Zuckerberg
    Cambridge Analytica
    US-Staatsanwalt klagt gegen Mark Zuckerberg

    Für die US-Staatsanwaltschaft ist klar, dass Mark Zuckerberg für den Datenschutzskandal bei Facebook rund um Cambridge Analytica verantwortlich ist.

  2. Satellitenkommunikation: Bundeswehr soll Starlink testen
    Satellitenkommunikation
    Bundeswehr soll Starlink testen

    Das deutsche Heer soll Produkte für private Satellitenkommunikation testen. Das Verteidigungsministerium nennt in diesem Zusammenhang Starlink von SpaceX.
    Eine Exklusivmeldung von Lennart Mühlenmeier

  3. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 77" 56% günstiger: 1.099€ • Cyber Week: Alle Deals freigeschaltet • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /