EuGH fällt Urteil zu Cookies

By René Floitgraf

Am 01.10.2019 hat der EuGH ein Urteil zur notwendigen Einwilligung bei Cookies gefällt:

Es beginnt mit der alten Frage, ob die ePrivacy-Richtlinie der EU (beschlossen in 2009) korrekt ins deutsche Recht umgesetzt wurde, oder anders: Ist die Cookie-Richtlinie ins nationale Recht übernommen worden?

  •  Art. 5 Abs. 3 der ePrivacy-Richtlinie sieht die Speicherung auf dem Endgerät eines Teilnehmers nur vor, „… wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
  • §15 Abs. 3 TMG sieht dagegen vor, dass die Verarbeitung in Ordnung ist, „… sofern der Nutzer dem nicht widerspricht“.
  • Damit fordert die ePR also ein OptIn, während das TMG ein OptOut als ausreichend betrachtet.

Der EuGH stellt nun korrekt fest, dass die Nutzung von Cookies der Einwilligung des Teilnehmers (im Datenschutz: Betroffenen) bedarf. Dies würde auch bei uns gelten, wenn die ePR korrekt in nationales Recht umgesetzt worden wäre.

Da eine EU-Richtlinie ohne Umsetzung, im Gegensatz zu einer EU-Verordnung, jedoch keine direkte Wirksamkeit entfaltet, ist derzeit aus unserer Sicht nicht ersichtlich, ob denn dann überhaupt das vorliegende EuGH-Urteil in dieser Form in Deutschland gültig ist.
 
Klarheit wird hier der BGH schaffen, der den EuGH in diesem Fall um Klarstellung gebeten hat und der nun das EuGH-Urteil nach deutschem Recht auslegen muss. Vermutlich wird der BGH diesen Widerspruch auflösen, in dem die Regelung im TMG als nicht europarechtskonform verworfen und daher nicht zur Anwendung gebracht wird.
 
Und dann? Ohne die Regelung aus dem TMG und ohne Umsetzung der ePR in Deutschland, kann eigentlich nur die DSGVO als Auffanggesetz herhalten und die entstandene Lücke schließen.
 
Daraus würde sich im Ergebnis aber wieder unsere derzeitige – und weit verbreitete – Beratungspraxis ergeben:

Wichtige Cookies, oder Cookies die nicht von Dritten (Google, facebook…) stammen, könnten weiterhin über das berechtigte Interesse rechtfertigt werden. Es bliebe beim OptOut. Für die Cookies von Drittanbietern wäre eine Einwilligung einzuholen.
 
Was aber durch das Urteil deutlich wurde: Die Informationspflichten sind zu überarbeiten! Daher unsere Handlungsempfehlung, bis das BGH sein Urteil fällt:
 

  1. Analysieren Sie alle Cookies auf der Webseite! (Cookie-Inventur)
  2. Dokumentieren Sie die Mindesthaltbarkeitsdaten der Cookies. Wie lange wird gespeichert?
  3. Dokumentieren Sie die Zwecke der Cookies. Warum wird gespeichert?
  4. Dokumentieren Sie die Inhaltsstoffe der Cookies. Was wird gespeichert?
  5. Notieren Sie, ob das Cookie von einem Dritten stammt. Wer ist der Dritte?
  6. Die Datenschutzerklärung muss um die gesammelten Informationen erweitert werden.
  7. Passen Sie Ihre Cookie-Wall an: Bei der Auswahl „die ganze Packung oder nur einzelne Kekse“ darf die Vorauswahl nicht mehr die ganze Packung betreffen. Ist auch besser für die Figur.
  8. Nochmals der Hinweis: Sorgen Sie dafür, dass Drittanbieterinhalte und Cookies erst geladen werden, wenn der Betroffene seine Einwilligung abgegeben hat! Wir finden leider auch heute noch immer wieder Webseiten, die Google Analytics, Google Maps oder andere Inhalte bereits laden, bevor der Betroffene die Cookie-Wall überwunden hat.

 
Für die Zukunft wird hoffentlich gelten: Ist das Cookie notwendig, damit die Webseite funktioniert, so wird das Cookie ungefährlich sein. Funktioniert die Webseite auch ohne das jeweilige Cookie? Dann wird wohl eine Einwilligung notwendig werden!
 
Wir werden Sie erneut informieren, sobald der BGH sein Urteil entsprechend der Vorgabe des EuGHs gefällt hat.

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

Bußgeld gegen Delivery HeroDatenschutz
Bußgeldberechnung der AufsichtsbehördenDatenschutz