Cookie-Urteil des EuGH: Aktive Einwilligung des Nutzers erforderlich

Nach geltendem Recht liegt keine wirksame Einwilligung vor, wenn der Internetnutzer zur Verweigerung seiner Einwilligung ein bereits angekreuztes Kästchen abwählen muss. Vielmehr muss einer datenschutzrechtlich wirksamen Einwilligung ein aktives Verhalten der einwilligenden Person vorausgehen.

Zudem hat der EuGH bestimmt, dass das Setzen und Abrufen von technisch nicht notwendigen permanenten Cookies oder anderen Informationen, die im Endgerät des Nutzes gespeichert sind, einer Einwilligung bedarf.

Darüber hinaus hat der EuGH klargestellt, dass der Internetseitenbetreiber dem Internetnutzer für die wirksame Einwilligung klare und umfassende Informationen mitteilen muss, wie Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten.

Cookies sind so etwas wie das „Gedächtnis“ einer Website. Es handelt sich dabei um kleine Dateien, die der Anbieter der Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann.

Zu unterscheiden ist zwischen technisch notwendigen (oder zumindest nützlichen) Sitzungscookies und technisch nicht notwendigen permanenten Cookies. Sitzungscookies werden zum Beispiel verwendet, um Artikel im Warenkorb zu behalten oder um Log-In-Daten, Passwörter oder Spracheinstellungen zu speichern. Wird der Browser geschlossen, werden sie automatisch gelöscht. Sitzungscookies sind rechtlich zulässig, weil das berechtigte Interesse des Unternehmers an der Optimierung der Websitenutzung gegenüber entgegenstehenden Interessen des Nutzers am Schutz seiner Daten überwiegt.

Permanente Cookies, die vorwiegend zu Werbe- und Analysezwecken eingesetzt werden, sind dagegen technisch nicht notwendig. Durch sie werden beispielsweise Informationen über das Nutzerverhalten gesammelt, auf Grundlage derer Unternehmen umfassende Profile erstellen. So kann die im Browser eingeblendete Werbung individuell auf die jeweiligen Vorlieben des Nutzers abgestimmt werden. Sie bleiben im Browser gespeichert, bis sie ihr Ablaufdatum erreichen oder vom Nutzer gelöscht werden. Für ihre rechtliche Zulässigkeit reicht das berechtigte Interesse des Unternehmers nicht aus, vielmehr ist eine Einwilligung des Nutzers erforderlich.

Geklagt hatte der Verbraucherzentrale Bundesverband gegen das Unternehmen Planet49, einen Adresshändler und Online-Gewinnspielbetreiber. Um an einem Gewinnspiel teilnehmen zu können, mussten die Internetnutzer Name und Adresse angeben. Unter dem Eingabefeld befand sich ein Hinweistext zur Verwendung von Cookies, dessen Ankreuzkästchen mit einem voreingestellten Häkchen versehen war. Die Nutzer mussten dann nur noch auf "Okay" klicken. Um seine Einwilligung in die Verwendung von Cookies zu verweigern, hätte der Nutzer dieses Häkchen entfernen müssen (sog. Opt-out-Verfahren). Eine solche Voreinstellung ist unzulässig, entschied der EuGH. Vielmehr erfordert das Setzen von Cookies eine aktive Einwilligung des Nutzers (sog. Opt-In-Verfahren).

Beachten Sie: Hiervon betroffen sind nur die technisch nicht notwendigen permanenten Cookies. Weiterhin ohne Einwilligung zulässig sind technisch notwendige Sitzungscookies.

Daneben befanden die Luxemburger Richter, dass es keinen Unterschied macht, ob es sich bei den mit Hilfe von Cookies erfassten Informationen um personenbezogene Daten handelt oder nicht. Sämtliche im Endgerät des Website-Nutzers gespeicherten Informationen sind Teil seiner Privatsphäre und unterliegen damit dem Schutz der Europäischen Menschenrechtskonvention. Dadurch soll der Nutzer davor geschützt werden, dass Spionageprogramme ohne sein Wissen in sein Gerät eindringen. Konsequenterweise dürfen selbst Cookies, die keinerlei persönliche Daten des Nutzers erfassen, daher nicht ohne Einwilligung gesetzt werden, also zum Beispiel solche, die lediglich die Besucheranzahl einer Website analysieren.

Zuletzt entschied das Gericht, dass Website-Anbieter neben den allgemeinen Informationspflichten nach der Datenschutzgrundverordnung (DSGVO) die Nutzer über die Funktionsdauer der Cookies und darüber unterrichten müssen, ob Dritte Zugriff auf die Cookies erhalten können.

Danach bedürfen websiteübergreifende Cookies und Tools, die das Nutzerverhalten website- oder geräteübergreifend zusammenfassen (Tracking), in der Regel eine vorherige informierte Einwilligung der Internetnutzer. Bei der Verwendung von IP-Adressen, Cookies oder anderen Nutzungsdaten, die für den Betrieb des Telemediendienstes notwendig sind, können sich Internetseitenbetreiber hingegen häufig auf das berechtigte Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen.

Wenn Sie eine Website betreiben und Cookies verwenden, empfehlen wir Ihnen dringend, Ihr Cookie-Banner zu überprüfen. Voreingestellte Häkchen bei der Zustimmung zur Verwendung von Cookies sind nicht rechtens. Die Einwilligung der Nutzer in die Verwendung von Cookies muss immer freiwillig und aktiv erfolgen, also etwa durch das Setzen eines Häkchens per Mausklick. Achten Sie darauf, die Nutzer ausdrücklich über die Zwecke und Funktionsdauer der Cookies und über mögliche Zugriffsbefugnisse Dritter auf die Cookies zu informieren.