EuGH-Urteil zu Cookies: Keine Einwilligung durch vorangekreuzte Check-Box; benötigen nun wirklich alle Cookies eine Einwilligung?
Der deutsche Bundesverband der Verbraucherverbände wandte sich vor den deutschen Gerichten dagegen, dass die Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienten zur Sammlung von Informationen zu Werbezwecken für Produkte der über 50 Werbepartner der Planet49 GmbH.
Vor diesem Hintergrund legte der Bundesgerichthof dem Europäischen Gerichtshof mehrere Vorlagefragen zur Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation vor.
Mit Urteil vom 1. Oktober 2019 (Az. C-673/17) hat der EuGH wenig überraschend entschieden, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.
Nach den Ausführungen des EuGH macht es insoweit auch keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. Ferner stellte der EuGH klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.
Entgegen anders lautender Medienberichterstattung, hat sich der EuGH jedoch nicht mit der Frage befasst, ob für jede Art von Cookies, eine Einwilligung als Rechtsgrundlage erforderlich ist.
Deswegen ist unseres Erachtens davon auszugehen, dass technisch notwendige Cookies weiterhin ohne Einwilligung des Nutzers eingesetzt werden können. Diese Regelung ist schon in der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der Fassung vom 25.11.2009 in Art. 5 Abs. 3 angelegt, der lautet:
(3) Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Demnach kann festgehalten werden, dass für alle Cookies, die nicht unbedingt erforderlich im Sinne von Art. 5 Abs. 3 RL 2002/58/EG sind, eine Einwilligung eingeholt werden muss. Dies liegt u.E. insbesondere nahe bei:
- Analyse Cookies
- Retargeting-Identifier,
- Tracking Cookies,
- Werbecookies oder
- sonstige Cookies von Drittanbietern.
Es können aber nach Art. 5 Abs. 3 RL 2002/58/EG auch Arten von Cookies eingesetzt werden, die für die Teilnahme des Nutzers am entsprechenden Dienst unbedingt erforderlich sind.
Denkbar und bekannt aus der Praxis sind z.B. Cookies, die
- eine Cookie-Einwilligung speichern,
- das Ein/Ausloggen auf einer Plattform regeln,
- aufgrund der IT-Sicherheit und Integrität des Dienstes erforderlich sind,
- Resize/Resolution-Funktionen einsetzen, um den Inhalt der Webseite dynamisch der Fenstergröße des Browsers anzupassen,
- die Sprachauswahl einer Webseite regeln,
- die Warenkorb-Funktion eines Onlineshops ermöglichen.
Zu einigen der vorgenannten unbedingt erforderlichen Cookies (z.B. Warenkorb oder Plattformlogin, IT Sicherheit) ist anzumerken, dass eine Verarbeitung von personenbezogenen Daten mit Hilfe dieser Cookies nach der Ansicht einiger Aufsichtsbehörden auch auf die Rechtsgrundlage der vorvertraglichen Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b DS-GVO) gestützt werden kann
vgl. https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/
Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Verantwortliche häufig auf (vor-) vertragliche Maßnahmen Artikel 6 Absatz 1 lit. b DSGVO stützen. Dies ist z.B. bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet.