Keine Cookies ohne Einwilligung- welchen Umsetzungsaufwand das EuGH-Urteil vom 01.10.2019 Unternehmen verursacht.
Nicht nur in der Weihnachtszeit bewegt Datenschützer der Einsatz von Cookies auf Webseiten. Während Cookie als Gebäck viele Genießer finden kann, ist der Einsatz von Cookies auf Webseiten nicht jedem Webseiten-Nutzer angenehm. Der nachfolgende Beitrag beschäftigt sich mit der datenschutzrechtlichen Betrachtung dieses Themas und des sich daraus ergebenden notwendigen Umsetzungsbedarfs und -aufwands für Unternehmen.
1 Datenschutz: gesetzliche Vorgaben und deren Ausgestaltung durch Rechtsprechung und Kommentierung
Wesentliche gesetzliche Vorgaben zum Datenschutz bei der Verarbeitung von personenbezogenen Daten von natürlichen Personen finden sich in der EU-Datenschutz-Gundverordnung (DSGVO) und dem in Deutschland geltenden Bundesdatenschutzgesetz (BDSG). Die ab Mai 2018 umzusetzende EU-Verordnung wurde durch Unternehmen mit häufig großem Umsetzungsaufwand implementiert. Wesentliche neue Aspekte, wie z.B. umfangreiche Informationspflichten aus Art. 13 und 14 DSGVO, mussten überlegt und mit angemessenen Dokumenten in den Prozessen von Unternehmen implementiert werden. Aufgrund der Informationspflichten sind die in der DSGVO enthaltenen Angaben zur Verarbeitung von personenbezogenen Daten vor der ersten Verarbeitung den betroffenen Personen zur Kenntnis zu bringen. Dazu sind die Vorgaben in der DSGVO zwar einigermaßen deutlich, aber nicht so deutlich, dass dies für die Verarbeitungsprozesse problemlos in Informationsunterlagen abzuleiten gewesen wäre. Gerade in der Zeit vor Mai 2018 bestand dazu und zu vielen anderen Teilaspekten großer Auslegungsbedarf, zum Detailierungsgrad oder in anderen Vorgaben zur Art der Umsetzung überhaupt. Neben den in verschiedenen Branchen und Unternehmensverbünden etablierten Arbeitskreisen, die sich seit jeher mit Datenschutzthemen beschäftigten, kamen auch Auslegungsunterstützungen durch die deutschen Datenschutz-Aufsichtsbehörden dazu und sukzessive auch die notwendigen Gesetzeskommentierung und nun auch Rechtsprechung, welche zur Sicherheit in der genaueren Umsetzung beitragen. Besondere Rechtsprechungen, aber leider auch durch die von Datenschutz-Aufsichten ausgesprochenen Bußgelder, setzen im „Datenschutz-Dschungel“ immer wieder Punkte, die besonderer Beachtung bedürfen. Dazu gehörte im zweiten Halbjahr 2019 u.a. das Bußgeld in zweistelliger Millionenhöhe gegen ein Berliner Wohnungsbauunternehmen wegen Nicht-Löschen von Daten. Und nun seit Oktober 2019 setzt auch das EuGH-Urteil zum Einsatz von Cookies eine deutliche Leitplanke in einem Datenschutz-Thema.
2 Cookies - Defintion
Cookies sind in einer Datei auf einem lokalen Rechner abgelegte Daten einer Webseite. Diese identifizieren eindeutig den Anwender, , der an diesem Rechner Webseiten nutzt und speichern Informationen über sein Surfverhalten. Somit können zwischen zwei Verbindungen des Anwenders zur Webseite die bisherigen Aktionen, die für die Webseite von Interesse sind, zwischengespeichert werden. Ein Cookie kann auch dazu dienen, HTML-Seiten individuell an den Benutzer anzupassen. (vgl. z.B. https://wirtschaftslexikon.gabler.de/definition/cookie-27577/version-251226)
Damit dienen Cookies grundsätzlich der Unterstützung der Kommunikation zwischen einem Webseiten-Nutzer und der Technik. Allerdings ist es dabei auch möglich, die Interaktion des Nutzers zu nutzen, um ihm beispielsweise zielgerichtet Werbung zu unterbereiten. Welche Cookies wie für eine Webseite konfiguriert sind, entscheidet der jeweilige Anbieter der Webseite. Dadurch, dass diese Entscheidung Auswirkungen auf den lokalen Rechner des Webseiten-Nutzers hat, handelt es sich um einen Eingriff in dessen persönlichen Bereich. Die Einwirkung auf den persönlichen Bereich der Datenhaltung unterliegt den Regelungen zum Datenschutz. Bislang wurde auf vielen Webseiten, dass Vorhandsein von Cookies durch sogenannte „Cookie-Banner“ angezeigt. Beim ersten Aufruf einer Webseite wurde der Nutzer mehr oder weniger deutlich über den Cookie-Einsatz informiert. Es gibt auch Webseiten, die danach dem Nutzer erlauben auch unter Ablehnung aller Cookies sich weiter auf diesen Seiten aufzuhalten. Häufiger ist allerdings die Vorgehensweise, dass beim Nutzer nach dem Klicken des „OK-Buttons“ generell alle Cookies, die durch die Webseite genutzt werden, zum Einsatz kommen. Eine Wahlmöglichkeit besteht nicht. Vom Nutzer wird häufig dazu wahrgenommen, dass das nervige Banner aus dem Weg zu räumen ist.
3 Das EUGH-Urteil zum Cookie-Einsatz
Im Zusammenhang mit dieser Praxis wurde vom EuGH verhandelt, ob die vorab beschriebene Vorgehensweise im Sinne der DSGVO und weiterer anzuwendender Gesetze ausreichend und rechtmäßig ist.
In seinem Urteil vom 01.10.2019, (Az. C-673/17) hat der europäische Gerichtshof darüber geurteilt, ob für den Eingriff in die Privatsphäre durch das Setzen von Cookies auf einem Rechner und die damit verbundene Datenspeicherung eine Einwilligung des Webseiten-Besuchers erforderlich ist. Die für 2020/ 2021 erwartete EU-e-Privacy-Verordnung, die ebenfalls zur Absicherung von Inhalten von Webseiten und dem Cookie-Einsatz Bezug nehmen sollte, ist einstweilen zurückgestellt worden, da die Inhalte umfangreich diskussionsbedürftig in den verschiedenen Gesetzgebungsgremien waren.
Zusammengefasst enthält das Urteil des EuGH nun drei wichtige Aspekte:
3.1. Es liegt keine wirksame Einwilligung vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Webseite gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
3.2 Es besteht keine unterschiedliche Auslegung dieses Sachverhalts, egal, ob es sich bei den im Endgerät des Nutzers einer Webseite gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
3.3. Es müssen Angaben zur Funktionsdauer der Cookies vorhanden sein, ebenso wie Hinweise dazu, ob Dritte Zugriff auf die Informationen, die Cookies speichern, erhalten können..
Die Bestätigung dieses Urteils des EuGH durch den Bundesgerichtshof wird erwartet.
4 Umsetzungsaufwand im Allgemeinen
Durch den Sachverhalt, dass im Urteil nicht unterscheiden wird, ob die Cookies personenbezogene Datenverarbeitung durchführen, oder wie durchaus auf vielen datenschutzfreundlichen Webseiten üblich, nur anonymisiert verarbeiten, sind grundsätzlich alle Webseiten-Betreiber von diesem Urteil betroffen. Die bislang übliche Praxis, die datenschutzrechtliche Basis für die Cookie-Nutzung auf der sogenannten Interessenabwägung (Art. 6 Abs. 1 lit.f DSGVO) anzunehmen, kann nicht fortgesetzt werden. Das Anzeigen eines Cookie-Banners, in dem lediglich darauf hingewiesen wird, dass Cookies eingesetzt werden, ist auf keinen Fall mehr ausreichend, wenn dem Nutzer keine Wahlmöglichkeit gegeben wird.
Explizite Einwilligungen der Webseiten-Nutzer müssen nun eingeholt werden, um rechtlich abgesichert Cookies auf Rechner der Nutzer setzen zu können.
Dazu ist es notwendig, dem Nutzer beim Aufruf der Seite transparent anzugeben, welche Cookies Verwendung finden sollen, welche Funktion sie haben, wie lange sie gespeichert werden und ob Dritte Zugang zu den so erhobenen Daten erhalten. Alle Cookies sind dazu detailliert zu beschreiben. Es ist dem Nutzer zur Wahl zu stellen, ob diese zur Anwendung kommen sollen oder nicht. Sofern es sich um Cookies handelt, die technisch unbedingt zum Betrieb der Webseite erforderlich sind, ist die Konsequenz einer Ablehnung dieser Cookies, nämlich die Nicht-Nutzbarkeit dieser Seite deutlich zu machen.
Um diese Erfordernisse akzeptabel technisch umzusetzen, empfiehlt sich der Einsatz eines „Consent-Management-Tools“. Ein solches Tool wird einer Webseite voran geschaltet.
Abbildung 1: Bespiel für Einstiegsebene der Anzeige eines Consent-Management-Tools
Es enthält Informationen zu allen Cookies, die auf dieser Webseite gesetzt werden können und der Nutzer entscheidet, ob er deren Einsatz zustimmen möchte oder nicht. Im Standard sollen alle Cookies (außer den technische notwendigen) deaktiviert sein.
Abbildung 2: Beispiel für Consent-Management-Tool mit detaillierte Erläuterungen zu einem Cookie
Der Webseitenbetreiber muss die Cookies selbst kennen und die notwendigen Angaben für ein solches Tool zuliefern können. Auch eigen entwickelte Lösungen sind dazu möglich. Gleichwohl kann vom Einsatz eines erworbenen Standardtools eventuell höhere Rechtssicherheit erhofft werden. Aufgrund der noch fehlenden Rechtswirkung der Vorgaben durch ein entsprechendes Urteil des BGH ist die Dringlichkeit der Umsetzung eventuell noch nicht allen Webseiten-Betreibern bewusst. Tatsächlich gilt es aber nun die Zeit zu nutzen, um die erforderlichen Maßnahmen zur Einholung rechtkonformer Einwilligungen für Cookies auf Internetseiten, in die Wege zu leiten.
Konkret heißt dies:
- Webseite auf Cookies analysieren
- Notwendige Angaben für Cookies zusammenstellen
- Consent-Management-Tool auswählen oder selbst erstellen und einsetzen
