Cookies und Datenschutz: Ist eine Einwilligung tatsächlich erforderlich?

23.01.2020 / Gastbeitrag von Rebecca Sumfleth, angestellte Wirtschaftsjuristin und zert. Datenschutzauditorin (TÜV)
Cookie Urteil EuGH 2019

Seit dem Herbst 2019 finden sich auf immer mehr Websites die sogenannten „Consent Management Tools“, über die eine Einwilligung in das Setzen von Cookies (z. B. bei Einsatz von Analyse- und Remarketing-Tools) von den Websitenutzern eingeholt wird. Zuvor wurden Websitenutzer nahezu ausschließlich über einen Cookie-Banner darüber informiert, dass verschiedene Cookies eingesetzt werden. Warum verändert sich diese Praxis und ist eine Einwilligung durch die Besucher tatsächlich erforderlich?

Ausgangslage auf europäischer Ebene

Der Einsatz von Cookies ist durch die Datenschutzrichtlinie für elektronische Kommunikation (geändert durch die Richtlinie 2009/136/EG) auf europäischer Ebene geregelt. Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, nur gestattet, wenn der betreffende Teilnehmer oder Nutzer seine Einwilligung gegeben hat. Ausgenommen davon ist die Speicherung von Cookies, wenn diese für die Erbringung des Dienstes, also z.B. für die korrekte Funktionsweise einer Website, unbedingt erforderlich sind.

Da europäische Richtlinien nicht wie europäischen Verordnungen unmittelbar in allen Mitgliedsstaaten der Europäischen Union gelten, sind die Mitgliedstaaten verpflichtet, diese Richtlinien erst in nationales Recht umzusetzen.

Umsetzung in Deutschland

Die auf europäischer Ebene recht eindeutige Ausgangslage stellt sich in Deutschland weniger eindeutig dar. Streit ist, ob die Richtlinie überhaupt, und wenn ja, ausreichend in deutsches Recht umgesetzt wurde bzw. einer richtlinienkonformen Auslegung zugänglich ist. Dies betrifft insbesondere den § 15 Abs. 3 Telemediengesetz (TMG). Dieser sieht im Gegensatz zu einer Einwilligung (Opt-In) in das Erstellen pseudonymer Nutzungsprofile nur eine Widerspruchsmöglichkeit (Opt-Out) vor.

Die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) ist der Meinung, dass die Richtlinie nicht korrekt in deutsches Recht umgesetzt wurde und eine richtlinienkonforme Auslegung nicht möglich ist, womit die Datenschutzgrundverordnung (DS-GVO) seit deren Geltung am 25.05.2018 Anwendungsvorrang genieße. In ihrer Orientierungshilfe aus März 2019 macht die DSK deutlich, dass Cookies ihrer Ansicht nach nur dann ohne Einwilligung eingesetzt werden dürfen, wenn die Cookies zur Erfüllung eines Vertrages zwischen dem Websitebetreiber und dem Websitenutzer oder zur Erfüllung einer gesetzlichen Verpflichtung erforderlich sind oder im Rahmen einer Interessenabwägung keine schutzwürdigen Interessen des Websitenutzers entgegenstehen. Cookies, die für die Erbringung des Dienstes erforderlich sind, wie beispielsweise Warenkorb-Cookies sowie Cookies, die Einwilligungserklärungen speichern, dürften ohne Einwilligung des Webseitennutzers zulässig sein.

Für den Einsatz von Analyse-Cookies ist nach Ansicht der deutschen Datenschutzbehörden eine Einwilligung erforderlich. Am 14.11.2019 sind die Aufsichtsbehörden in einer gemeinsamen Aktion tätig geworden und haben auf ihren Webseiten eine Pressemitteilung veröffentlicht, in der sie eindeutig Stellung beziehen.

EuGH-Urteil „Plantet49“

Am 1. Oktober 2019 hat der EuGH zur Cookie-Thematik entschieden (Az. C-673/17). An der bestehenden Rechtsunsicherheit hat das EuGH Urteil nicht viel geändert. Da die Notwendigkeit einer Einwilligung nach europäischem Recht – wie die Ausführungen oben zeigen – nicht zu bezweifeln sein dürfte, scheint die Cookie-Problematik ein rein deutsches Problem zu sein. Dementsprechend hat der EuGH in seinem Urteil in erster Linie über das „Wie“ der Einwilligung und weniger über das „Ob“ entschieden.

Gleichwohl dürfte das Risiko beim Setzen von Cookies für den Website-Betreiber nicht unerheblich gestiegen sein. Insbesondere die deutschen Aufsichtsbehörden fühlen sich durch das EuGH-Urteil in ihrer Ansicht bestätigt.

Praxistipp für Websitebetreiber

Obwohl das EuGH-Urteil nicht für Rechtsklarheit gesorgt hat, dürfte das Risiko beim Setzen von Cookies ohne Einwilligung nicht unerheblich gestiegen sein. Cookies stehen im Fokus der Aufsichtsbehörden. Dies zeigt nicht zuletzt die gemeinsame Pressemitteilung zum Thema Google Analytics.

Dass Website-Betreiber zukünftig an der Cookie-Einwilligung vorbeikommen, scheint nach derzeitigem Stand unwahrscheinlich. Das Bundeswirtschaftsministerium hat nach dem Urteil eine Änderung des Telemediengesetzes zur Anpassung an die europäische Richtlinie angekündigt.

Nun gilt es für Websitebetreiber das Augenmerk weniger auf das „Ob“ einer Einwilligungslösung, sondern vielmehr auf eine marketingfreundliche Ausgestaltung des Einwilligungsbanners zu legen.

Rebecca Sumfleth – Wirtschaftsjuristin und zertifizierte Datenschutzauditorin

Über die Autorin
Rebecca Sumfleth ist angestellte Wirtschaftsjuristin und zertifizierte Datenschutzauditorin (TÜV) und arbeitet seit 2018 in der auf IT-Recht, Gewerblichen Rechtsschutz und Datenschutzrecht spezialisierten Kanzlei TRÖBER@ rechtsanwälte.

Für Rechtsberatung zum Thema Datenschutz & IT-Recht wenden Sie sich gerne vertrauensvoll an unsere Partner.

Bastian Schröer – Projektmanager bei DREIKON

Haben Sie Fragen zur technischen Umsetzung von Cookie Consent Management Tools? Nehmen Sie gerne Kontakt mit uns auf. Wir freuen uns auf Ihre Anfrage!