Dürfen Webseiten auch nach dem EuGH-Urteil ohne Einwilligung "Cookies" setzen?

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25.05.2018 wurden gerade für Betreiber von Webseiten viele Fragen aufgeworfen. Insbesondere der datenschutzkonforme Einsatz von sog. „Cookies“ ist umstritten. Am 26.04.2018 – nur vier Wochen vor Inkrafttreten der DSGVO – hat sich nämlich die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu deren Nutzung geäußert und damit für viel Verunsicherung bei den Unternehmen gesorgt. Sie fordert eine ausdrückliche und DSGVO-konforme Einwilligung vor dem Betreten einer Webseite. Dies ist technisch sehr aufwändig und nach jetziger Rechtslage nicht vertretbar. Auch in der Fachwelt stößt die Position der DSK daher auf breite Kritik.

Für weitere Verunsicherung hat das EuGH Urteil vom 01.10.2019 (Az.: C-673/17) zum Thema „Cookies“ bei Gewinnspielen gesorgt.

Bisher war es nach dem Telemediengesetz (TMG) ausreichend, beim Betreten der Webseite ein Banner mit Hinweisen zur Datenverarbeitung zu schalten. Eine aktive Zustimmung war nicht erforderlich. Die Zustimmung wurde nämlich als erteilt unterstellt, es sei denn der Benutzer widersprach aktiv dem Setzen von Cookies & Co (sog. „Opt-out-Prinzip“).

Die aktuelle Rechtslage ist streitig. Nach Ansicht der DSK habe die DSGVO mit Inkrafttreten das TMG im Hinblick auf den Einsatz von Tracking-Mechanismen und Cookies vollständig verdrängt. Weiter meint die DSK, dass nach der DSGVO allein eine ausdrückliche Einwilligung ausreichend sei (sog. „Opt-in-Prinzip“), obwohl die DSGVO grundsätzlich auch andere Möglichkeiten bietet.

Wir halten das TMG hingegen nach wie vor für anwendbar. Es regelt Spezialmaterie und wird von der DSGVO nicht ausdrücklich ausgeschlossen oder läuft ihr zuwider. Im Gegenteil: Die DSGVO sagt vielmehr sinngemäß, dass das TMG immer noch anzuwenden ist, solange dasselbe Ziel der noch aktuellen ePrivacy-Richtlinie verfolgt wird.

In der Praxis bedeutet die Auffassung der DSK, dass Webseiten künftig zunächst „eingefroren“ und mit einer Einwilligungsoption versehen werden müssten, bevor Cookies & Co überhaupt gesetzt werden. Erst nach einer eindeutigen Bestätigung dürfte man die Webseite erst betreten können. Dies ist aus der Sicht der IHK-Organisation rechtlich nicht nachvollziehbar und zudem völlig unpraktikabel. Nach unserer Auffassung ist ein Banner samt Hinweisen daher weiterhin ausreichend („Opt-out-Prinzip“).

Solange nur sogenannte „Session-Cookies“ verwendet werden, ist es wohl unstreitig möglich auf eine Einwilligung zu verzichten. Diese Cookies sind unumgänglich, um eine Website fließend betreiben zu können. Sie werden immer dann gesetzt, wenn Websiteeinstellungen dauerhaft gespeichert werden sollen. Ein Beispiel dafür ist der virtuelle Einkaufswagen bei einem Online-Shop. Ein „Session-Cookie“ sorgt dafür, dass nicht bei jedem Mausklick der Einkaufswagen geleert wird.

Die sogenannten „Tracking-Cookies“ hingegen, sind diejenigen, die gezielt Nutzerprofile erstellen. Diese Cookies ermöglichen es unter anderem, auf bestimmten Websites personalisierte Werbung zu schalten oder Marktanalysen durch zu führen. Um die eigentliche Webseite zu betreiben, sind sie aber nicht unbedingt notwendig.

Genau hier setzt das aktuelle EuGH Urteil an:

Hiernach ist eine Einwilligung, durch ein voreingestelltes, mit Ja vorformuliertes Kästchen, das der Nutzer aktiv abwählen muss, nicht zulässig.

Außerdem muss nach Ansicht des EuGH der Nutzer klar und umfassend informiert sein, zu welchen Verarbeitungszwecken eine Einwilligung erklärt werden soll. Der EuGH verlangt insbesondere, dass der Nutzer darüber informiert wird zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können.

Die IHK-Organisation teilt die Auffassung der DSK nicht. Zum einen gibt das Gesetz eine solche Rechtsauffassung nicht her. Zum anderen leidet die Praktikabilität. Insbesondere deshalb, weil von einem Webseitenbetreiber abverlangt wird zu entscheiden, wann und wie die Webseite vor dem Betreten „eingefroren“ und mit einer Einwilligungsoption versehen werden muss. Eine eindeutige Handlungsempfehlung können wir gleichwohl nicht geben, da die DSK aus den einzelnen Aufsichtsbehörden der Länder besteht und diese Behörden immerhin auf Verwaltungsebene nach ihrer gemeinsamen Rechtsauffassung entscheiden. Auch wenn wir diese Auffassung nach aktueller Rechtslage für falsch halten, wäre eine Zuwiderhandlung daher risikobehaftet – letztendlich müssten die Gerichte im konkreten Streitfall über diese Frage entscheiden.

Das aktuelle EuGH Urteil verlangt jedenfalls nicht, dass Cookies generell nur noch mittels Einwilligung gesetzt werden dürfen. Unabahängig davon, ob sog. Sessions- und/oder Tracking Cookies gesetzt werden sollen, muss in jedem Fall stets klar und transparent informiert werden über Funktionsdauer und etwaige Zugriffsrechte Dritter.