EuGH und Cookies: „mach ein Kreuz ins Extrafeld…“

von Dr. Axel Spies, veröffentlicht am 01.10.2019

„und gewinn das große Extrageld,“ hieß es früher in der Werbung. Kein Wunder also, dass der EuGH sich bei Glücksspielen für ein Ankreuzen bei der Nutzung von Cookies entschieden hat :-) 

Die Spatzen pfeifen bekanntlich lange schon von den Dächern runter, dass viele Webseiten in Deutschland mit ihren Cookie-Bannern vemutlich gegen EU Recht verstoßen. Der EuGH hat geurteilt, dass die Zustimmung der Nutzer zur Verwendung von Cookies immer ausdrücklich erfolgen muss, also etwa durch das Setzen eines Häkchens. Geklagt hatte der Verbraucherzentrale Bundesverband gegen die Planet49 GmbH. Das Urteils selbst findet man hier (Az. C-673/17).

Die Entscheidung dürfte nach dem Inkrafttreten der DSGVO eigentlich keinen überraschen.

Folgendes fällt beim Lesen auf:

  • Die Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz (TMG) bereits mit EU-Recht konform umgesetzt seien, ist kaum noch durchzuhalten. Zumindest muss das TMG durch die Gerichte so ausgelegt werden, dass es mit dem EuGH-Urteil im Einklang steht (Opt-in statt Opt-out).

  • Banner-Texte wie „mit dem Besuch unserer Website geben Sie uns Ihre Einwilligung“ dürften nicht (mehr) funktionieren, ebenso wenig wie Banner mit voreingestellten Häkchen.

  • Offen ist, ob es mit dem Erfordernis einer „ohne Zwang“ (Art. 2 Buchst. h der Richtlinie 95/46) bzw. „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 der Verordnung 2016/679) erteilten Einwilligung vereinbar ist, wenn ein Nutzer nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt. Dazu hat der EuGH keine Stellung bezogen.

  • Braucht der Betreiber auch die Einwilligung für „strictly necessary“ (funktionale) Cookies, die nötig sind, damit die Webseite funktioniert? Müssen die auch von der Einwilligung erfasst sein, auch wenn sie keine personenbezogenen Daten enthalten? Vgl EuGH-Urteil RZ 70 „Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen unabhängig davon, ob es sich um personenbezogene Daten handelt ...“  Klarheit wird hoffentlich die neue ePrivacy VO bringen.

  • Ungelöst ist weiterhin, wie ein Webseitenbetreiber mit dem – jederzeit zulässigen – Widerruf von Einwilligungen umgehen soll. Reicht eine Änderung der Browsner-Voreinstellung durch den Nutzer aus?

Wie schätzen Sie das ein? Werden wir als Nutzer mit Cookie-banner usw. überfrachtet und „anklicksmüde.“ Wie kriegt man die Cookies besser in den Griff?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Vielleicht könnte man Privacy Icons statt Banner nutzen, sozusagen eine Cookie Ampel. Ansätze dazu werden ja schon längert diskutiert.

0

Nicht zu fassen. Der EuGH ist ja noch nicht einmal selbst im Einklang mit seinen geforderten Einwillungsregeln für Cookies --hahaha

In der Cookie Policy https://curia.europa.eu/jcms/jcms/a1_1095707/ des Hohen Gerichts gibt es folgendes mit Haken voreingestelltes Feld:

Sie können sich hier entscheiden, ob in Ihrem Browser ein eindeutiger Webanalyse-Cookie abgelegt werden darf, um dem Betreiber der Website die Erfassung und Analyse verschiedener statistischer Daten zu ermöglichen.Wenn Sie sich dagegen entscheiden möchten, klicken Sie den folgenden Link, um den Piwik-Deaktivierungs-Cookie in Ihrem Browser abzulegen.

Ihr Besuch dieser Website wird aktuell von der Piwik Webanalyse erfasst.Klicken Sie hier, damit Ihr Besuch nicht mehr erfasst wird

0

BfDI, Ulrich Kelber, begrüßt nach eigenen Angaben diese Entscheidung des Gerichts: Erneut sei die Wichtigkeit der freien und informierten datenschutzrechtlichen Einwilligung hervorgehoben worden.
„Diese Botschaft ist gerade in Zeiten der fortschreitenden Digitalisierung, in der es mitunter immer schwieriger wird die eigenen Daten zu kontrollieren, ein wichtiges Zeichen. Ich gehe davon aus, dass der Gesetzgeber dies bei der anstehenden Novellierung des Telemediengesetzes berücksichtigt.“ = https://www.datensicherheit.de/aktuelles/ulrich-kelber-begruesst-eugh-urteil-vom-1-oktober-2019-34799

Aber hat DSGVO nicht ohnehin gegenüber dem TMG rechtlich Vorrang?

0

Die bisherigen Cookie-Banner kann man auf vielen Seiten einfach ignorieren (wenn man nicht grad mit dem Smartphone surft). Deshalb ja auch das "Durch weitersurfen stimmen Sie zu". Werden wir jetzt also zukünftig mit großen Overlays genervt, die man erst in zwei Schritten wegklicken muss? EIgentlich würde es ja schon reichen, wenn Cookies nur gesetzt werden, wenn sie technisch nötig sind. Aber auch wenn die meisten Anbieter das zwar könnten, werden sie es aber oft nicht wollen, weil die Cookies ja beispielsweise sonstiges Surfverhalten ausserhalb der Seite tracken sollen, auf der sie gesetzt sind.

Reduziert man das Kekszeug auf das notwendige Maß, sind diese normalerweise nur nötig, wenn man sich einloggt. Da kann man dann allerdings auch im Rahmen des Logins neben Username und Passwort sich bestätigen lassen, dass jetzt ein Cookie gesetzt wird. Online-Shops werden auch ohne Login Cookies benötigen, sobald man was in den Warenkorb legt - aber auch hier kann man an der entsprechenden Stelle die Cookie-Zustimmung einholen.

Solange das alles Session-Cookies sind, können sich die automatisch beim Schließen des Browsers löschen, dann stellt sich die Frage nach dem Widerruf der Einwilligung nicht. Da gibt es halt kein "Eingeloggt bleiben" über die laufende Browsersitzung hinaus.

Kommentar hinzufügen