Cookies im Lichte der DSGVO: „Planet49“ – Urteil des EuGH

Das Urteil des EuGH vom 01.10.2019 zur Cookie – Setzung auf Webseiten ist von vielen so verstanden worden, dass nun für jedes Cookie eine Einwilligung erforderlich ist. Einige Kollegen jedoch haben sich das Urteil einmal genauer angesehen und zumindest teilweise Entwarnung gegeben. Zumindest konnten sie die Konsequenzen des Urteils relativieren. Lesenswert sind insoweit die Artikel des Kollegen Thomas Schwenke und Carlo Piltz.

Was hat der EuGH entschieden?

  1. Vorangekreuzte Checkbox

Zunächst einmal stellt eine vorangekreuzte Checkbox zur Einholung einer Einwilligung keine wirksam eingeholte Einwilligung dar. Das ist aber nichts Neues und etwas, was wir in der Praxis ohnehin stets unseren Mandanten mitteilen.

  1. Auch nicht-personenbezogene Daten

Da es sich in Hinblick auf die Cookie-Setzung nicht um die DSGVO dreht, sondern um die Art. 5 Abs. 3 der ePrivacy-Richtlinie (ePrivacy-RL), kommt es bei den mit dem Cookie verarbeiteten Daten nicht darauf an, ob sie personenbezogen sind, oder nicht.

Das bedeutet, dass man die Pflichten der DSGVO (Auskunftsansprüche des Betroffenen) nicht für diejenigen Cookie-IDs einhalten muss, die keinen Personenbezug aufweisen. Aha! Mit anderen Worten, und auch das habe ich bisher immer betont: Nicht jede Cookie-ID ist ein personenbezogenes Datum. Das allerdings mit den personenbezogenen Cookie-IDs auseinanderzuhalten ist möglicherweise sehr aufwendig. Eine Gleichbehandlung der Cookie-IDs wird die Folge sein.

 Orientierungshilfe der DSK

Die Datenschutzkonferenz hat bereits im März 2019 eine Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, dort Seite 9) zum Setzen von Cookies veröffentlicht. Diese hat auch nach dem Urteil des EuGHs noch Bestand. Hier sei darauf verwiesen, dass diese Orientierungshilfe von den Datenschutz-Aufsichtsbehörden zur Verfügung gestellt wird und somit ein gewisses Maß an Rechtssicherheit mit ich bringt.

Welche Schritte sind nun zu gehen?

Hier nun eine Hilfestellung zur Vorgehensweise mit Ihren Webseiten-Cookies:

Eine Einwilligung muss aktiv eingeholt werden, das heißt, der Nutzer muss aktiv das Häkchen in der Checkbox setzen.

  1. Bitte einmal alle Cookies analysieren, die verwendet werden. Für welchen Zweck werden sie verwendet? Warum sind sie erforderlich? Sind sie überhaupt erforderlich?
  2. Entfernen Sie Cookies, die nicht erforderlich sind. Hierzu sollten auch veraltete Cookies gehören. Auch Persistent-Cookies (Cookies mit einer entsprechenden Laufzeit) sollten analysiert werden. Wenn die Webseite auch ohne diese Cookies fehlerfrei läuft, wird es schwierig, die Erforderlichkeit zu rechtfertigen. Hier sollte dann eine Einwilligung eingeholt werden.
    Erforderlich können Session-Cookies sein, die für das Einloggen in den Account oder die Warenkorb-Steuerung benötigt werden. Diese sind erforderlich (!), weshalb auch eine Einwilligung des Users keinen Sinn macht. Wäre die Einwilligung für ein solches Cookie erforderlich, würde es vermutlich nie zu einem Vertragsschluss kommen (denn es gibt Nutzer, die ihre Einwilligung unter keinen Umständen abgeben möchten und die genervt sind, wenn die Warenkorb-Steuerung nicht funktioniert und anschließend die Session abbrechen!).
  3. Das Cookie sollte erst gesetzt werden, wenn eine Einwilligung vorliegt, sofern eine Einwilligung erforderlich ist.
  4. Belehrung: Wie bei jeder Verarbeitung von personenbezogenen Daten muss auch bei der Verwendung von Cookies der User über einige Punkte informiert werden (Identität des Verantwortlichen (! Das kann neben dem Webseitenbetreiber auch noch ein Dritter sein), Zweck der Verarbeitung, Kategorien der Empfänger, Kategorien der Daten, Speicherdauer usw.).
    Hier kann eine Verlinkung auf die Datenschutzerklärung erfolgen. Dort sollten dann die Informationen abgerufen werden können. Wichtig ist, dass die Speicherdauer erkennbar ist. Die Informationen sollten für jedes Cookie gesondert aufgelistet werden.
  1. Wenn es mehrere Verantwortliche für die Cookies gibt, sollte über ein „Joint-Controller-Ship“ nachgedacht werden. Zu den gemeinsamen Verantwortlichen hat der EuGH sich bereits in Sachen Facebook geäußert.

Es ist noch viele unklar und muss sich erst mit der Zeit ergeben. Ich empfehle daher, die Orientierungshilfe des DSK durchzuarbeiten und weitestgehend umzusetzen.

Das letzte Wort ist noch nicht gesprochen, da die ePrivacy-Verordnung (und nicht Richtlinie) ja noch erwartet wird.

Für Fragen stehen wir Ihnen gerne zur Verfügung.

 

 

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen