Cookies im Lichte der DSGVO: „Planet49“ – Urteil des EuGH

Das Urteil des EuGH vom 01.10.2019 zur Cookie – Setzung auf Webseiten ist von vielen so verstanden worden, dass nun für jedes Cookie eine Einwilligung erforderlich ist. Einige Kollegen jedoch haben sich das Urteil einmal genauer angesehen und zumindest teilweise Entwarnung gegeben. Zumindest konnten sie die Konsequenzen des Urteils relativieren. Lesenswert sind insoweit die Artikel des Kollegen Thomas Schwenke und Carlo Piltz.

Was hat der EuGH entschieden?

1. Vorangekreuzte Checkbox

Zunächst einmal stellt eine vorangekreuzte Checkbox zur Einholung einer Einwilligung keine wirksam eingeholte Einwilligung dar. Das ist aber nichts Neues und etwas, was wir in der Praxis ohnehin stets unseren Mandanten mitteilen.

2. Auch nicht-personenbezogene Daten

Da es sich in Hinblick auf die Cookie-Setzung nicht um die DSGVO dreht, sondern um die Art. 5 Abs. 3 der ePrivacy-Richtlinie (ePrivacy-RL), kommt es bei den mit dem Cookie verarbeiteten Daten nicht darauf an, ob sie personenbezogen sind, oder nicht.

Das bedeutet, dass man die Pflichten der DSGVO (Auskunftsansprüche des Betroffenen) nicht für diejenigen Cookie-IDs einhalten muss, die keinen Personenbezug aufweisen. Aha! Mit anderen Worten, und auch das habe ich bisher immer betont: Nicht jede Cookie-ID ist ein personenbezogenes Datum. Das allerdings mit den personenbezogenen Cookie-IDs auseinanderzuhalten ist möglicherweise sehr aufwendig. Eine Gleichbehandlung der Cookie-IDs wird die Folge sein.

 Orientierungshilfe der DSK

Die Datenschutzkonferenz hat bereits im März 2019 eine Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, dort Seite 9) zum Setzen von Cookies veröffentlicht. Diese hat auch nach dem Urteil des EuGHs noch Bestand. Hier sei darauf verwiesen, dass diese Orientierungshilfe von den Datenschutz-Aufsichtsbehörden zur Verfügung gestellt wird und somit ein gewisses Maß an Rechtssicherheit mit ich bringt.

Welche Schritte sind nun zu gehen?

Hier nun eine Hilfestellung zur Vorgehensweise mit Ihren Webseiten-Cookies:

Eine Einwilligung muss aktiv eingeholt werden, das heißt, der Nutzer muss aktiv das Häkchen in der Checkbox setzen.

1. Bitte einmal alle Cookies analysieren, die verwendet werden. Für welchen Zweck werden sie verwendet? Warum sind sie erforderlich? Sind sie überhaupt erforderlich?
2. Entfernen Sie Cookies, die nicht erforderlich sind. Hierzu sollten auch veraltete Cookies gehören. Auch Persistent-Cookies (Cookies mit einer entsprechenden Laufzeit) sollten analysiert werden. Wenn die Webseite auch ohne diese Cookies fehlerfrei läuft, wird es schwierig, die Erforderlichkeit zu rechtfertigen. Hier sollte dann eine Einwilligung eingeholt werden.
   Erforderlich können Session-Cookies sein, die für das Einloggen in den Account oder die Warenkorb-Steuerung benötigt werden. Diese sind erforderlich (!), weshalb auch eine Einwilligung des Users keinen Sinn macht. Wäre die Einwilligung für ein solches Cookie erforderlich, würde es vermutlich nie zu einem Vertragsschluss kommen (denn es gibt Nutzer, die ihre Einwilligung unter keinen Umständen abgeben möchten und die genervt sind, wenn die Warenkorb-Steuerung nicht funktioniert und anschließend die Session abbrechen!).
3. Das Cookie sollte erst gesetzt werden, wenn eine Einwilligung vorliegt, sofern eine Einwilligung erforderlich ist.
4. Belehrung: Wie bei jeder Verarbeitung von personenbezogenen Daten muss auch bei der Verwendung von Cookies der User über einige Punkte informiert werden (Identität des Verantwortlichen (! Das kann neben dem Webseitenbetreiber auch noch ein Dritter sein), Zweck der Verarbeitung, Kategorien der Empfänger, Kategorien der Daten, Speicherdauer usw.).
   Hier kann eine Verlinkung auf die Datenschutzerklärung erfolgen. Dort sollten dann die Informationen abgerufen werden können. Wichtig ist, dass die Speicherdauer erkennbar ist. Die Informationen sollten für jedes Cookie gesondert aufgelistet werden.

5. Wenn es mehrere Verantwortliche für die Cookies gibt, sollte über ein „Joint-Controller-Ship“ nachgedacht werden. Zu den gemeinsamen Verantwortlichen hat der EuGH sich bereits in Sachen Facebook geäußert.

Es ist noch viele unklar und muss sich erst mit der Zeit ergeben. Ich empfehle daher, die Orientierungshilfe des DSK durchzuarbeiten und weitestgehend umzusetzen.

Das letzte Wort ist noch nicht gesprochen, da die ePrivacy-Verordnung (und nicht Richtlinie) ja noch erwartet wird.

Für Fragen stehen wir Ihnen gerne zur Verfügung.