Sehr geehrte Damen und Herren,

in der vergangenen Woche hat der Europäische Gerichtshof (EuGH) in einem Vorlageverfahren entschieden, dass die in Deutschland bisher praktizierte Variante, auf eine datenschutzrechtliche Einwilligung für das Setzen von Cookies zu verzichten, nicht ausreichend ist. Stattdessen müssen Internetnutzer nach Auffassung des EuGH dem Setzen von Cookies aktiv zustimmen. Das Urteil des EuGH einschließlich der Begründung ist mittlerweile als Volltext veröffentlicht worden.

Cookies sind kleine Textdateien, die auf den Endgeräten von Homepagebesuchern gespeichert werden und eine einzigartige Cookie-ID beinhalten. Cookies können bestimme Informationen enthalten, z.B. zur vom Nutzer bevorzugten Sprache, dem verwendeten Browser oder auch Informationen, die zu einer Profilbildung geeignet sind, wie beispielsweise Alter, Standort oder Interessen der Nutzer. Cookies werden von Unternehmen vornehmlich zu Marketingzwecken verwendet, um Nutzern personalisierte Werbung einblenden zu können.

Die Problematik bei Cookies besteht darin, dass zur Frage der Zulässigkeit von Cookies unterschiedliche rechtliche Vorgaben zu beachten sind, insbesondere die ePrivacy-Richtlinie aus dem Jahr 2009 (RL 2009/136/EG), die perspektivisch durch die ePrivacy-Verordnung abgelöst werden soll. Die ePrivacy-Richtlinie gilt jedoch nicht unmittelbar in Europa, sondern muss, wie jede andere europäische Richtlinie, zunächst in nationales Recht umgesetzt werden. In Deutschland wurde die ePrivacy-Richtlinie nie gesondert umgesetzt. Die Bundesregierung steht auf dem Standpunkt, die zuvor zur Umsetzung der Datenschutz-Richtlinie getroffenen Regelungen im Telemediengesetz (TMG) seien ausreichend, um auch die aktualisierten Anforderungen der ePrivacy-Richtlinie zu erfüllen. Es findet sich aktuell im Gesetzestext des deutschen Telemediengesetzes (TMG) nur eine „Opt-Out“-Lösung für Cookies, sodass diese also ausgehend vom deutschen TMG auch ohne ausdrückliche Einwilligung der Nutzer gespeichert werden dürfen.

Unter Berücksichtigung der Entscheidung des EuGH vom 01.10.2019 erscheint diese Auffassung problematisch. Nach dem Urteil des EuGH müssen Unternehmen eine aktive Einwilligung der Nutzer in die Speicherung von Cookies einholen und zudem darüber informieren, inwieweit Dritte auf die Cookies zugreifen können und wie lange diese auf den Nutzer-Endgeräten gespeichert werden. In diesem Zuge kritisiert der EuGH die Verwendung von Cookie-Bannern, die Nutzern lediglich die Möglichkeit der Zustimmung zu Cookies, nicht aber die Möglichkeit der Ablehnung von Cookies bieten. Solche Cookie-Banner genügen den Anforderungen des EuGH nicht.

Die Entscheidung des EuGH bezieht sich vornehmlich auf Werbetracking-Cookies, nicht jedoch auf reine Funktionscookies, die z.B. den Warenkorb oder die Spracheinstellung des Nutzers speichern. Ob die Wertungen des EuGH auch auf solche Funktionscookies übertragbar sind, ist noch nicht abschließend geklärt.

Der EuGH hat in dieser Rechtsfrage auf Grundlage einer Vorlagefrage des BGH entschieden. Nach dem EuGH-Urteil wird das zugrundeliegende Verfahren nun vor dem BGH fortgesetzt (Az.: BGH I ZR 7/16). Es bleibt abzuwarten, ob der BGH die Wertungen des EuGH uneingeschränkt übernimmt oder ob Ergänzungen vorgenommen werden. Auch existiert ohnehin bereits ein Referentenentwurf des Bundesministerium des Inneren (BMI) für die Überarbeitung des TMG, sodass sich die rechtlichen Grundlagen nunmehr nachträglich ändern könnten.

Unternehmen, die sich datenschutzkonform verhalten wollen, sollten prüfen, inwieweit Werbecookies auf den eigenen Webauftritten verwendet werden und sich zur Frage der Umsetzung der neuen Anforderungen mit ihrem Datenschutzbeauftragten in Verbindung setzen.

Robert Bommel und das Datenschutzteam von BRANDI