Cookies im Lichte der DSGVO: „Planet49“ – Urteil des EuGH

Das Urteil des EuGH vom 01.10.2019 zur Cookie – Setzung auf Webseiten ist von vielen so verstanden worden, dass nun für jedes Cookie eine Einwilligung erforderlich ist. Einige Kollegen jedoch haben sich das Urteil einmal genauer angesehen und zumindest teilweise Entwarnung gegeben. Zumindest konnten sie die Konsequenzen des Urteils relativieren. Lesenswert sind insoweit die Artikel des Kollegen Thomas Schwenke und Carlo Piltz.

Was hat der EuGH entschieden?

  1. Vorangekreuzte Checkbox

Zunächst einmal stellt eine vorangekreuzte Checkbox zur Einholung einer Einwilligung keine wirksam eingeholte Einwilligung dar. Das ist aber nichts Neues und etwas, was wir in der Praxis ohnehin stets unseren Mandanten mitteilen.

  1. Auch nicht-personenbezogene Daten

Da es sich in Hinblick auf die Cookie-Setzung nicht um die DSGVO dreht, sondern um die Art. 5 Abs. 3 der ePrivacy-Richtlinie (ePrivacy-RL), kommt es bei den mit dem Cookie verarbeiteten Daten nicht darauf an, ob sie personenbezogen sind, oder nicht.

Das bedeutet, dass man die Pflichten der DSGVO (Auskunftsansprüche des Betroffenen) nicht für diejenigen Cookie-IDs einhalten muss, die keinen Personenbezug aufweisen. Aha! Mit anderen Worten, und auch das habe ich bisher immer betont: Nicht jede Cookie-ID ist ein personenbezogenes Datum. Das allerdings mit den personenbezogenen Cookie-IDs auseinanderzuhalten ist möglicherweise sehr aufwendig. Eine Gleichbehandlung der Cookie-IDs wird die Folge sein.

 Orientierungshilfe der DSK

Die Datenschutzkonferenz hat bereits im März 2019 eine Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, dort Seite 9) zum Setzen von Cookies veröffentlicht. Diese hat auch nach dem Urteil des EuGHs noch Bestand. Hier sei darauf verwiesen, dass diese Orientierungshilfe von den Datenschutz-Aufsichtsbehörden zur Verfügung gestellt wird und somit ein gewisses Maß an Rechtssicherheit mit ich bringt.

Welche Schritte sind nun zu gehen?

Hier nun eine Hilfestellung zur Vorgehensweise mit Ihren Webseiten-Cookies:

Eine Einwilligung muss aktiv eingeholt werden, das heißt, der Nutzer muss aktiv das Häkchen in der Checkbox setzen.

  1. Bitte einmal alle Cookies analysieren, die verwendet werden. Für welchen Zweck werden sie verwendet? Warum sind sie erforderlich? Sind sie überhaupt erforderlich?
  2. Entfernen Sie Cookies, die nicht erforderlich sind. Hierzu sollten auch veraltete Cookies gehören. Auch Persistent-Cookies (Cookies mit einer entsprechenden Laufzeit) sollten analysiert werden. Wenn die Webseite auch ohne diese Cookies fehlerfrei läuft, wird es schwierig, die Erforderlichkeit zu rechtfertigen. Hier sollte dann eine Einwilligung eingeholt werden.
    Erforderlich können Session-Cookies sein, die für das Einloggen in den Account oder die Warenkorb-Steuerung benötigt werden. Diese sind erforderlich (!), weshalb auch eine Einwilligung des Users keinen Sinn macht. Wäre die Einwilligung für ein solches Cookie erforderlich, würde es vermutlich nie zu einem Vertragsschluss kommen (denn es gibt Nutzer, die ihre Einwilligung unter keinen Umständen abgeben möchten und die genervt sind, wenn die Warenkorb-Steuerung nicht funktioniert und anschließend die Session abbrechen!).
  3. Das Cookie sollte erst gesetzt werden, wenn eine Einwilligung vorliegt, sofern eine Einwilligung erforderlich ist.
  4. Belehrung: Wie bei jeder Verarbeitung von personenbezogenen Daten muss auch bei der Verwendung von Cookies der User über einige Punkte informiert werden (Identität des Verantwortlichen (! Das kann neben dem Webseitenbetreiber auch noch ein Dritter sein), Zweck der Verarbeitung, Kategorien der Empfänger, Kategorien der Daten, Speicherdauer usw.).
    Hier kann eine Verlinkung auf die Datenschutzerklärung erfolgen. Dort sollten dann die Informationen abgerufen werden können. Wichtig ist, dass die Speicherdauer erkennbar ist. Die Informationen sollten für jedes Cookie gesondert aufgelistet werden.
  1. Wenn es mehrere Verantwortliche für die Cookies gibt, sollte über ein „Joint-Controller-Ship“ nachgedacht werden. Zu den gemeinsamen Verantwortlichen hat der EuGH sich bereits in Sachen Facebook geäußert.

Es ist noch viele unklar und muss sich erst mit der Zeit ergeben. Ich empfehle daher, die Orientierungshilfe des DSK durchzuarbeiten und weitestgehend umzusetzen.

Das letzte Wort ist noch nicht gesprochen, da die ePrivacy-Verordnung (und nicht Richtlinie) ja noch erwartet wird.

Für Fragen stehen wir Ihnen gerne zur Verfügung.

 

 

Weitere Beiträge

Markenanmeldung einfach erklärt

Sie haben ein Produkt und jeder soll wissen, dass es zu Ihrer Firma gehört. Um einen Wiedererkennungswert zu schaffen, denken Sie sich einen passenden Namen für das Produkt aus. Sie betreiben ein kostenintensives Marketing und investieren in die Qualität des

Mehr lesen »
Inge Seher 16. April 2024

AÜG für die IT 2024 Teil II

III. Abgrenzbares/ dem Auftragnehmer als eigene Leistung zurechenbarer Auftrag Wie sollen die Einzelverträge /SOWs/ Aufträge formuliert sein? 1.) Abgrenzbares Werk Nach der Rechtsprechung soll es entscheidend sein, ob ein abgrenzbares, dem Auftragnehmer als eigene Leistung zurechenbares Werk, vertraglich vereinbart ist

Mehr lesen »
Stefan G. Kramer 8. April 2024

Markenschutzfähigkeit bejaht für #darferdas

Die Entscheidung des BGH ist bereits vom 30.01.2020 (Az. I ZB 61/17 (pdf)). Sie zeigt aber, wie schwierig es sein kann, eine Marke anzumelden, die nicht aus reinen Phantasie-Wörtern oder Begriffen besteht und vielleicht auch nicht besonders originell ist. Angemeldet wurde die Marke

Mehr lesen »
Inge Seher 5. April 2024

Rechtliches

Datenschutzhinweis

Pflichtangaben/ Impressum

Kontakt

Kramer & Partner mbB Hamburg
Deichstr. 1
20459 Hamburg
Telefon: 040 – 349 603 0
Telefax: 040 – 349 603 20
E-Mail: info@anwaltskanzlei-online.de

Copyright © 2024 Kramer & Partner Rechtsanwälte mbB
Nach oben scrollen