Cookie-Banner - EuGH zu Datenschutz, Cookies und Einwilligung

EuGH, Urteil v. 01.10.2019, Az. C-673/17 "planet49"

Aber was bedeutet dies nun für die tägliche Praxis?

1. Problem: Was sind eigentlich erforderliche / notwendige Cookies?

Erforderliche und notwendige Cookies bedürfen wohl keiner Einwilligung bzw. für diese kann ggf. ein Pflicht-Opt-In eingeholt werden. Allerdings stellt sich hier das Problem, was konkret nun als „notwendiger“ bzw. „erforderlicher“ Cookie anzusehen ist. Hier wird es künftig Streitigkeiten geben. Jedenfalls kann schon an dieser Stelle festgehalten werden, dass Marketing-Cookies und Tracking- sowie Analyse-Cookies grundsätzlich nicht als erforderlich anzusehen sind und für diese demnach immer eine Einwilligung einzuholen ist.

Bevor wir nun zum zweiten Problem, wie die Einwilligung eingeholt werden kann, kommen, möchte ich auf eine – zumindest zum derzeitigen Zeitpunkt – überraschende Feststellung des EuGH hinweisen:

Der EuGH verlangt auch eine entsprechende Einwilligung für das Setzen von Cookies im Zuge von anonymisierten (!!!) Tracking- und Analyse-Verfahren. Dies ist besonders beachtlich, da bei anonymisierten Datenverarbeitungen die europäische Datenschutz-Grundverordnung, kurz DSGVO, gar nicht anwendbar ist, da schließlich kein Personenbezug gegeben ist. An dieser Stelle stellt der EuGH also augenscheinlich bereits die erste Weiche zur noch nicht geltenden ePrivacy-Verordnung, welche diesen - auch anonymisierten - Bereich hinsichtlich Cookies demnächst regeln wird.

2. Problem: Wie kann aktuell eine „Cookie-Einwilligung“ rechtskonform eingeholt werden, wie muss also der Cookie-Banner gestaltet sein?!

Es sind an dieser Stelle insbesondere drei Punkte zu beachten:

(1) Die Einwilligung muss freiwillig erfolgen: es muss also ein aktives „Opt-In“ erfolgen. Ein „Opt-Out“ im Rahmen des Cookie-Banners ist nicht ausreichend. Auch darf die Einwilligung nicht aufgedrängt werden bzw. eine Art „Zwangslage“ geschaffen werden, Die könnte beispielsweise dann der Fall sein, wenn der Cookie-Banner dem Besucher die Einwilligung derart aufdrängt, dass er den ganzen Bildschirm abdeckt und der Besucher der Website sich zur Einwilligung „genötigt“ sieht.

(2) Die Einwilligung muss „informiert“ eingeholt werden. Dies bedeutet wiederum, dass deutlich weitergehende Informationen, bspw. auf einer weiteren Unterseite, welche über einen innerhalb des Cookie-Banners platzierten Link erreichbar ist, bereitgestellt werden müssen. Zu diesen weiteren Informationen gehören insbesondere folgende Aspekte:

a. Art und Funktionsweise der einzelnen Cookies,

b. Speicher- bzw. Lebensdauer der einzelnen Cookies,

c. Identität der Diensteanbieter bzw. Datenverarbeiter, die auf die gesetzten Cookies zugreifen und die dort erhobenen Daten entsprechend weiterverarbeiten und

d. sofern es sich nicht um anonymisierten Verarbeitungen handelt – also wohl im Regelfall - letztlich auch die weiteren, sich aus der DSGVO (unter anderem Artikel 13 und 14 DSGVO) ergebenen Informationspflichten, wie insbesondere auch die Widerspruchsmöglichkeit hinsichtlich der über den Cookie-Banner abgegebenen Einwilligung.

(3) Die Position, Größe und weitere Ausgestaltung des Cookie-Banners sollte darüber hinaus wohl bedacht sein: zum einen muss sichergestellt werden, dass keine aufgedrängte Einwilligung eingeholt wird (s.o.), zum anderen darf der Cookie-Banner nicht die zum Impressum und zur Datenschutzerklärung führenden Links verdecken. Andernfalls wäre ein Erreichen dieser Pflicht-Seiten unter Umständen nur mit Einwilligung in die Cookie-Speicherung möglich, was einer aufgezwungenen Einwilligung gleichkäme und zudem unter weiteren rechtlichen Gesichtspunkten problematisch wäre.

Nach alledem stellt sich nun aber die Frage, ob und inwieweit nun tatsächlich alle Cookies einzeln aufgezählt werden müssen, also jeder Cookie mit den oben genannten Informationen (a-d) gekennzeichnet werden muss.

Meiner Meinung nach kann es unter Umständen auch möglich sein, die Cookies systematisch in Gruppen zu erfassen und zu beschreiben. Hierbei kommt es aber auf die konkrete Vorgehensweise und Ausgestaltung an.

Auch ist grundsätzlich eine Einzelfallprüfung vorzunehmen: So sind bei Bewertung dieser Datenverarbeitungen durch den Seitenbetreiber im Kontext eines Onlineshops für Spielwaren oder Kleintierbedarf sicherlich andere Maßstäbe anzusetzen, als bei einer Website einer ärztlichen Praxis oder einer Klinik.

Inwieweit ein Pflicht-Opt-In für absolut erforderliche Cookies rechtlich möglich ist, ist ebenfalls nur im Einzelfall zu entscheiden. Jedenfalls soll nach meiner Meinung eine derartige Pflichteinwilligung in gewissen Grenzen durchaus möglich sein, jedenfalls für absolut erforderliche Cookies. Problem an dieser Stelle ist, dass schon im Einzelfall Schwierigkeiten bestehen werden, die Abgrenzung von absolut erforderlichen zu nützlichen Cookies zu ziehen. Dies vor allem unter Beachtung von Vorgesagtem.

Eine Einzelfallprüfung ist daher nach derzeitigem Stand unerlässlich und es kann keine allgemeingültige Vorgehensweise zur absolut rechtskonformen Umsetzung gegeben werden. Werden aber obige Punkte beachtet, ist jedenfalls die größte Gefahr derzeit gebannt.

An dieser Stelle möchte ich allerdings auch darauf hinweisen, dass derzeit die Aufsichtsbehörden (und wohl auch die Rechtsprechung) eine sehr restriktive Auslegung der maßgeblichen Grundsätze vornehmen und daher beispielsweise die oben genannte Gruppierung von Cookies nach derzeitigem Stand durchaus angreifbar sein könnte.

Ich empfehle daher eine individuelle Betrachtung, hoffe trotzdem, dass meine Ausführungen eine erste Hilfestellung sind.