Das Cookie-Urteil des EuGH und seine Auswirkungen auf die Praxis

Auf Vorlagefrage des Bundesgerichtshofs hat der EuGH am 01.10.2019 im Hinblick auf die Cookie-Setzung zum Betrieb von Webseiten und zur Analyse des Verhaltens von Nutzern klare Worte gefunden:

Da die Einwilligung im Sinne der DS-GVO eine bewusste, aktive „Handlung“ voraussetzt, kann eine vorangekreuzte „Checkbox“ (bzw. Aktivierungskästchen) keine Einwilligung darstellen. Das Einwilligungserfordernis gilt auch dann, wenn Informationen erhoben und verarbeitet werden, die ohne Personenbezug bzw. Personenbeziehbarkeit sind, wie dies bspw. bei verschiedenen Arten von Cookies der Fall ist.

Damit ist insbesondere auch ein Urteil des Bundesgerichtshofs aus dem Jahre 2008 zu Rechtsgeschichte geworden, dem zu entnehmen war, dass eine Einwilligung auch mittels vorangekreuzter Felder möglich sein solle.

Für die Phase der Erhebung personenbezogener Daten durch Cookies dürfte aus dem Urteil zumindest mittelbar abzuleiten sein, dass eine gemeinsame Verantwortlichkeit zwischen Werbepartner und Webseitenbetreiber im Sinne von Art. 26 zugrunde liegt, was wiederum – entsprechend dem Facebook-Urteil des EuGH (https://www.kanzlei.de/eugh-webseitenbetreiber-beim-like-button-mit-in-der-verantwortung) – eine entsprechende veröffentlichte Vereinbarung voraussetzt.

Die DS-GVO verlangt insbesondere Angaben über die Identität des für die Datenverarbeitung Verantwortlichen, die Zweckbestimmungen der Datenverarbeitung sowie zahlreiche weitere Informationen bspw. zu den Empfängern oder Kategorien von Empfängern der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine rechtmäßige und transparente Verarbeitung nach Treu und Glauben zu gewährleisten.

Bei der Verwendung von Cookies sind daher Angaben erforderlich zur Funktion und Funktionsdauer sowie zur Zugriffsmöglichkeit Dritter auf die Cookie-Daten. Der Bundesgerichtshof, der dem EuGH die Vorlagefrage gestellt hatte, dürfte sich vor dem Hintergrund der EuGH-Entscheidung voraussichtlich dahingehend äußern, dass eine Einwilligung als Rechtsgrundlage für solche Cookies, die für die Funktionsfähigkeit der Webseiten nicht im obigen Sinne notwendig sind, eingeholt werden muss.

Bis dahin sollten Webseitenbetreiber eine umfassende Analyse der für den Betrieb und die Analyse ihrer Webseiten und des darauf ablaufenden Nutzerverkehrs durchführen und zwischen einmaligen, dauerhaften oder mit einer bestimmten Laufzeit versehenen Cookies unterscheiden. Die einmaligen Cookies, auch Session-Cookies genannt, dürfen weiter verwendet werden, wenn sie für den ordnungsgemäßen Betrieb der Website bzw. bestimmte Funktionen auf der Website (wie bspw. den Warenkorb) im technischen Sinne erforderlich sind; ähnliches dürfte für die Erinnerungs-Cookies gelten, die dem Nutzer ein komfortables Wiedereinloggen auf die Website ohne neuerliche Eingabe seiner Login-Daten ermöglicht.

Als Faustformel könnte insgesamt gelten, dass dann, wenn die Website insgesamt oder bestimmte wesentliche Funktionen der Website nicht mehr fehlerfrei ablaufen, von einer technisch bedingten Erforderlichkeit auszugehen sein dürfte und mithin keine Einwilligung eingeholt werden muss.

In Fällen, in denen eine Einwilligung erforderlich ist, dürfen die betreffenden Cookies (natürlich) erst nach der wirksamen Erteilung dieser Einwilligung gesetzt werden und es muss gewährleistet sein, dass die Nutzer über den Zweck der Cookies und die Empfänger der Cookie-Daten vorab informiert werden. Ferner sind den Nutzern die Laufzeiten der Cookies bzw. deren Speicherdauer mitzuteilen. Es ist auch anzugeben, wer Verantwortlicher für die Verarbeitung der Cookie-Daten ist – wie gesehen also in der Phase der Datenerhebung gegebenenfalls das jeweilige Werbeunternehmen gemeinsam mit dem Webseitenbetreiber (vgl. Art. 26 DS-GVO).