EuGH-Urteil und DSGVO: Zustimmung ist bei Cookies gefragt
Seit einigen Jahren gehören „Cookie-Boxen“ zur alltäglichen Nutzer-Erfahrung in Deutschland. Wer eine Webseite aufruft, erhält eine Einblendung, welche „Kekse“ gesetzt sind, die das Surfverhalten der Besucher verfolgen und speichern können. Teilweise können die Nutzer einfach nur zustimmen.
In einigen Fällen bieten die Internetauftritte ebenfalls die Möglichkeit, einzelne Cookies per Häkchen an- und abzuwählen. Mittel- und langfristig wird sich dies jedoch ändern. Dies hat der Europäische Gerichtshof (EuGH) in einem aktuellen Urteil deutlich gemacht. Aus „Opt Out“ muss „Opt In“ werden.
Das aktuelle EuGH Urteil
Das EuGH Urteil stammt aus dem Oktober 2019 (Az. C-673/17). Vereinfacht gesagt ging es um die Frage, wie aktiv die Zustimmung eines Besuchers zu Cookies sein muss. Diesbezüglich existieren zwei Konzepte: Opt Out und Opt In. Erstere Variante, die in Deutschland gängig ist, bietet nur die Ausschlussmöglichkeit.
Der Nutzer kann vorgeschlagene Cookies ablehnen. Opt In verlangt dagegen die direkte Zustimmung, dass überhaupt Cookies gesetzt werden. Für deutsche Webseitenbetreiber ist das Ganze durchaus heikel, weil viele von ihnen Werbe-Cookies gar nicht angeben. Welche Cookies genutzt werden kann erfährt man durch einen Cookie Checker .
Sie denken, „ein berechtigtes Interesse“ zu besitzen, wie es die seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) verlangt. Bei Opt In-Konzepten ist dies nicht länger möglich.
Und das EuGH Urteil ging deutlich in diese Richtung. Unter Berufung auf die europäische E-Privacy Richtlinie (Art. 5 Abs. 3), die sogenannte Cookie Richtlinie, sowie eigene Vorurteile stellten die Richter klar, dass das Setzen des digitalen Gebäcks „die aktive Einwilligung des Internetnutzers“ erfordert.
Theoretisch betrifft dies sogar die Cookies, die für den Betrieb einer Webseite erforderlich sind und keinerlei personenbezogene Daten erheben. Diese Sorge ist allerdings unbegründet. Die Cookie Richtlinie klammert unbedingt notwendige Dateien (nichts anderes sind Cookies faktisch) explizit aus.
Was folgt aus dem EuGH Urteil?
Eine gewisse Brisanz geht für Deutschland alleine deshalb von dem Urteil aus, weil es der Bundesgerichtshof (BGH) war, der den Fall dem EuGH zur Klärung vorgelegt hatte. Die Bundesrepublik hat die Cookie Richtlinie nie in geltendes Recht umgesetzt. Stattdessen wurde das Telemediengesetz (TMG) geändert.
Dies bisherigen Opt Out-Boxen, mancherorts leicht spöttisch als „Cookie Banner“ beschrieben, wurden auf diese Weise möglich. Hinzu kam die DSGVO, die das erwähnte „berechtigte Interesse“ einführte.
Der EuGH konnte die deutsche Praxis allerdings nicht kassieren. Der BGH hatte einen Fall mit der Frage weitergereicht, wie eine Zustimmungslösung aussehen müsse – allerdings nicht, ob diese überhaupt notwendig ist.
Die europäischen Richter sind nicht befugt, über diese Ausgangsfrage hinauszugehen. Konkret folgt aus dem Richterspruch kurzfristig deshalb erst einmal nichts. Mittel- und langfristig liegen die Dinge allerdings spürbar anders:
- Der EuGH hat festgestellt, dass das TMG nicht mit der Cookie Richtlinie als europäischem Rechtsgrundsatz vereinbar ist.
- Indirekt gilt dies auch für die DSGVO.
- Mittel- und langfristig werden Nutzer deshalb allen nicht unbedingt für den Betrieb einer Seite notwendigen Cookies zustimmen müssen.
- Rechtlich ist allerdings noch zu klären, ob die DSGVO höhere Rechtskraft als die Cookie Richtlinie hat, wenn es explizit um personenbezogene Daten geht. Allerdings muss auch das „berechtigte Interesse“ noch juristisch bewertet werden.
Wie geht es weiter?
Die EU möchte die alte E-Privacy Richtlinie eigentlich seit geraumer Zeit durch eine neue E-Privacy Verordnung ablösen. Dies scheiterte im Herbst 2019 jedoch am Widerstand der Mitgliedsstaaten. Im Dezember des Jahres kündigte die EU-Kommission deshalb an, einen gänzlich neuen Vorschlag zu präsentieren (https://www.spiegel.de/netzwelt/netzpolitik/eprivacy-verordnung-eu-kommission-will-neuen-vorschlag-machen-a-1299506.html).
Deutschland arbeitete dem Vernehmen nach bereits an einer nationalen Umsetzung der Verordnung. Dies macht bis zum neuen Vorschlag keinen Sinn mehr. Bis dieser kommt und ratifiziert ist, dürften Monate oder sogar Jahre vergehen.
Der gescheiterte Entwurf der Verordnung wurde 2017 vom Europäischen Parlament vorgelegt. Die Zeichen der Zeit sind durch das EuGH Urteil dennoch deutlich am Horizont erkennbar.