Der Europäische Gerichtshof (EuGH) hat gestern im Fall „Planet49“ (Rechtssache C-673/17) über Anforderungen an eine Einwilligung beim Setzen von Cookies entschieden.
Keine wirksame Einwilligung durch voreingestelltes Kästchen
Eine wirksame Einwilligung in das Speichern von Cookies liegt nach Ansicht des EuGH nicht vor, „wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“
Eine Einwilligung in das Setzen von Cookies kann folglich nicht über ein voreingestelltes Kästchen mit bereits gesetztem Haken wirksam generiert werden. Dies ist zumindest nach der inzwischen geltenden DSGVO keine Überraschung. Hinsichtlich der ePrivacy-Richtlinie und der einschlägigen Regelungen des Telemediengesetzes war dies hingegen noch umstritten.
Einwilligung unabhängig von Personenbezug der Daten
Nach der Auffassung der Luxemburger Richter kommt es bei der Frage zur Einwilligung in die Datenverarbeitung zudem nicht darauf an, ob es sich um personenbezogene Daten handele oder nicht. Auch sog. „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen, sind umfasst. Dies bedeutet, dass auch solche „Tracking-Tools“ einer Einwilligung bedürfen, selbst wenn sie keine personenbezogenen Daten beinhalten.
Nicht alle Cookies bedürfen einer Eiwilligung
Anders als in der Presse gestern jedoch oftmals ungenau zitiert wurde, hat der EuGH nicht entschieden, dass für das Setzen von Cookies generell eine „aktive“ Einwilligung der Websitenutzer erforderlich ist. Dies können wir dem Urteil nicht entnehmen. Wir sind der Auffassung, dass auch weiterhin das Setzen von Cookies in bestimmten Fällen auf ein berechtigtes Interesse gestützt werden kann. Übereinstimmung herrscht jedoch insoweit, dass dies zumindest bei Marketing- und Analyse-Cookies nicht der Fall ist. Hier wird daher in aller Regel eine Einwilligung erforderlich sein.
Dies deckt sich im Übrigen mit dem Inhalt der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, wie Sie unserem Blogbeitrag vom 24. Juni 2019 entnehmen können. Als Beispiele für berechtigte Interessen des Websitebetreibers nannte die DSK darin u.a. die sog. Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers, aber auch Cookies zur Betrugsprävention. Solche Cookies bedürfen daher in der Regel keiner Einwilligung. Da jedoch ein Katalog „notwendiger“ Cookies nicht existiert, bedarf es stets einer Prüfung und Interessenabwägung im Einzelfall. In unserem Beitrag vom 24. Juni 2019 haben wir im Übrigen auch aufgeführt, welche zusätzlichen Kriterien für eine datenschutzkonforme Einwilligung über einen Pop-Up Banner bzw. Fenster erforderlich sind.
Informationspflichten bei Cookies beachten
Der EuGH hat ferner darüber entschieden, dass Websitebetreiber die Nutzer der Website über Cookies klar verständlich und detailliert informieren müssen. Der Nutzer muss in der Lage sein, die Funktionsweise der verwendeten Cookies zu verstehen. Ferner gehören zu den notwendigen Informationen die Zweckbestimmung der Verarbeitung, Angaben zur Funktionsdauer und dazu, ob Dritte Zugriff auf die Cookies erhalten können. Dies betrifft unseres Erachtens alle Cookies, also auch solche, für die es keiner Einwilligung bedarf.
Dringender Handlungsbedarf vorhanden
Websitebetreiber sollten nun genau prüfen, welche Cookies sie einsetzen und ob in jedem Einzelfall eine Einwilligung hierfür erforderlich ist oder der Cookie auf ein sog. „berechtigtes Interesse“ gestützt werden kann. Ferner sollten sie die erforderlichen Informationen über Cookies den Websitenutzern klar verständlich und detailliert bereitstellen. Dies kann über einen Cookie-Banner und die Datenschutzerklärung erfolgen.
Sprechen Sie uns an. Gerne begleiten und unterstützen wir Sie bei der Umsetzung der erforderlichen Maßnahmen auf Ihrer Website.