Cookies nach Einwilligung

Am 1.Oktober 2019 entschied der Europäische Gerichtshof (EuGH), dass Cookies bereits vor der Datenverarbeitung einer Einwilligung benötigen. Die bis dahin in Deutschland häufig noch genutzte Begründung des Opt-Out-Verfahrens auf Basis des TMG ist damit hinfällig.

Warum Cookies nur nach Einwilligung?

Die Entscheidung des EuGH schlägt aktuell im Internet große Wellen. Dabei kommt sie für Datenschützer nicht wirklich überraschend.

Bereits im April dieses Jahres hatte die Datenschutzkonferenz der Länder in ihrer Orientierungshilfe für Anbieter von Telemedien (OH TM) klargestellt, dass

mitgliedstaatliche datenschutzrechtliche Regelungen aufgrund des Anwendungsvorrangs der DSGVO durch diese verdrängt (werden), wenn es keine spezifischen Regelungen gibt, die ein Fortbestehen bereits existierender Regelungen anordnen oder Öffnungsklauseln Spielräume zur mitgliedstaatlichen Ausgestaltung offen lassen beziehungsweise vorgeben. (OH TM, S. 2)

Im selben Papier fordert die DSK folgerichtig eine Datenverarbeitung erst nach Einwilligung. Diese Auffassung unterstreicht das aktuelle Urteil.

Das Urteil AZ C 673/17 befasst sich über mehrere Abschnitte damit, dass eine Einwilligung aktiv erfolgen muss, da nur so die “Willensbekundung” des Betroffenen “ohne jeden Zweifel” nachgewiesen werden kann (vgl. Urteil Abs. 44 – 65) Die netten kleinen Info-Banner auf den meisten Seiten sind damit nutzlos. Genauso gut könnte man sie weglassen. Eine reine Vermutung, dass der Nutzer die Information gelesen hat, reicht nicht aus.

Fazit: Die Einwilligung muss “freiwillig für den bestimmten Fall, in informierter Weise unmissverständlich” erfolgen. Eine Opt-Out-Lösung (voreingestellte Häkchen) sind somit rechtswidrig.

Session Cookies, die technisch unbedingt erforderlich sind (z.B. für die Warenkorb-Funktion) dürfen auch weiterhin ohne Einwilligung genutzt werden. Statistische Auswertung oder Retargeting-Maßnahmen jedoch sind ohne Einwilligung nicht mehr zulässig.

Warum also der ganze Wirbel?

Nun, die Entscheidung, dass eine aktive Einwilligung abzugeben ist, war zu erwarten. Überraschend ist jedoch, dass sich das Urteil auf sämtliche Cookies bezieht, also explizit auch auf diejenigen, die keine personenbezogenen Daten verarbeiten – einfach nur deshalb, weil sie auf dem Endgerät des Nutzers gespeichert werden.

In den Abschnitten 66 – 71 legt der EuGH fest, dass es “zum Schutz der Menschenrechte und Grundfreiheiten” unerheblich ist, ob die gespeicherten Daten Personenbezug aufweisen oder nicht, da:

die in Endgeräten gespeicherten Informationen ein Teil der Privatsphäre der Nutzer sind. (Abs. 71)

Welche Informationen muss der Verantwortliche geben?

Dem Nutzer muss bei seiner Einwilligung klar sein, welche Konsequenzen seine Einwilligung hat. Die Informationen

müssen klar verständlich und detailliert genug sein, um es de Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen, (Abs. 74)

Zu den Informationen, die der Nutzer erhalten muss, gehören nach Abs. 75:

Angaben zur Funktionsdauer der Cookies und (), ob Dritte Zugriff auf die Cookies erhalten können.

Außerdem dürfen die Angaben nach Art. 13 DSGVO (Informationspflichten) nicht fehlen.

Detaillierte Infos zu den Vorgaben gibt der Landesdatenschutzbeauftragte von Baden-Württemberg in seiner Pressemitteilung und in den FAQ.

 

Welche WordPress-Plugins setzen Cookies erst nach Einwilligung?

Da ich das Rad nicht neu erfinden muss, verweise ich an dieser Stelle gern an die Kollegen von Blogmojo: Die 4 besten Cookie-Plugins für WordPress in 2019

 

Übrigens gibt es durchaus Alternativen zum Cookie. Das Tracking über Logfiles geht ganz ohne die kleinen Textdateien: Cookie-Policy

 

 

Quellen:

InfoCuria: Urteil AZ C 673/17

datenschutz.de: Cookies auch in Deutschland einwilligungspflichtig

datenschutz.de: EuGH stärkt die datenschutzrechtliche Einwilligung im Internet

activemind: EuGH: Einwilligung in Cookies ist zwingend und darf nicht voreingestellt sein!

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Bildquellen

  • oreos-925659_1920-StockSnap-pixabay: Pixabay - StockSnap