Der EuGH hat sich in dem Urteil zur Rechtssache C-673/17 (Verbraucherzentrale Bundesverband e.V. gegen Planet49 GmbH) umfangreich zu verschiedenen Themen rund um das Thema Cookies geäußert.
Kern der Entscheidung
Folgendes wurde entschieden:
- Form der Einwilligung in Cookies: Einwilligungen in das Setzen von Cookies (nach der „Cookie-Richtlinie“, Art. 5 Abs. 3 RL 2002/58/EG, wie auch nach DSGVO) setzen eine aktive, unmissverständliche Zustimmung voraus. Vorangekreuzte Kästchen reichen danach nicht aus. Ebenso ist es nun wohl auch nicht mehr vertretbar, das „Weitersurfen“ nach Einblendung eines Cookie-Banners als Einwilligung anzusehen.
- Geltung der Cookie-Richtlinie unabhängig vom Personenbezug: Die Vorgaben der Cookie-Richtlinie sind auch zu beachten, wenn keine personenbezogenen Informationen gespeichert werden.
- Informationen zu Cookies: In der Datenschutzerklärung zu den Cookies zu erteilenden Informationen müssen jedenfalls auch die Speicherdauer erfassen und alle Dritten, die ggf. auf die Cookies Zugriff haben
Wen betrifft die Entscheidung?
Grundsätzlich ist die Entscheidung für alle Website-Betreiber relevant, die Cookies einsetzen. Letztlich hängt es davon ab, ob und welche Arten von Cookies eingesetzt werden.
- Sie setzen keine Cookies ein? Dann ist die Entscheidung ist für Sie nicht relevant.
- Sie setzen nur technisch notwendige Cookies ein? Diese Cookies dürfen Sie weiterhin ohne Einwilligung einsetzen, müssen aber darüber entsprechend der Entscheidung informieren und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht.
- Sie setzen technisch notwendige und nicht notwendige Cookies ein? Dann müssen Sie sicherstellen, dass beim Ansurfen der Website nur technisch notwendige Cookies geladen werden. Hier empfiehlt sich eine restriktive Beurteilung, ob das Cookie wirklich technisch notwendig ist. Insbesondere für Google Analytics als Beispiel der Tracking-Dienste, fordern die Datenschutzbehörden in Deutschland einheitlich eine Einwilligung (Beispielhaft der Hamburgische Datenschutzbeauftragte). Sodann muss der Nutzer seine Einwilligung erklären, bevor die technisch nicht notwendigen Cookies gesetzt werden dürfen. Hierbei ist der Nutzer auch entsprechend der Entscheidung zu informieren.
Handlungsempfehlung und Ausblick in die Zukunft
Überprüfen Sie Ihre Website, in welchem Umfang Cookies gesetzt werden und prüfen Sie dann, ob Sie die Vorgaben der EuGH-Entscheidung einhalten. Für die technische Umsetzung empfiehlt sich die Einführung eines Cookie Management Tools, welches den Besucher informiert, seine Einwilligung abfragt und eine Auswahl entsprechend der EuGH-Entscheidung zulässt.
Auf die Cookie-Richtlinie als Teil der ePrivacy Richtlinie wird wohl 2020 oder 2021 die ePrivacy Verordnung folgen. Diese wirkt – wie die DSGVO – unmittelbar in Deutschland und könnte dazu führen, dass das Cookie-Konzept erneut überarbeitet werden müsste.