© industryview, 123RF
Der Europäische Gerichtshof hat den Datenschutz im Internet gestärkt. Er fordert eine aktive Einwilligung der Nutzer beim Setzen und Abrufen von Cookies. Technische Cookies bleiben jedoch außen vor.
Der Europäische Gerichtshof (EuGH) fordert die aktive Einwilligung der Nutzer beim Speichern und Abrufen von Cookies. Dabei macht es nach Ansicht der Richter “keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht” [1]. Das Europarecht solle den Nutzer “vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass ‘Hidden Identifiers’ oder ähnliche Instrumente in sein Gerät eindringen”, hieß es zur Begründung. Das Urteil (Az.: C-673/17) berücksichtigt nicht nur die frühere EU-Richtlinie von 2002 (“Cookie-Richtlinie”), sondern auch die neue EU-Datenschutzgrundverordnung (DSGVO).
Hintergrund des Urteils [2] ist eine Klage des Verbraucherzentrale Bundesverbands (VZBV) gegen die Planet49 GmbH, die bei Online-Gewinnspielen zu Werbezwecken die entsprechenden Cookie-Banner schon so konfiguriert hatte, dass lediglich mit einem Mausklick die Einwilligung gegeben werden konnte. Der Bundesgerichtshof (BGH) hatte in dem Rechtsstreit das höchste europäische Gericht um eine Vorabentscheidung ersucht. Mit Cookies erheben Website-Anbieter Informationen über Website-Besucher. Dazu gehören Anmeldedaten, aber auch Verhaltensweisen und Präferenzen, die die Betreiber oft an Partnerunternehmen weiterreichen.
Nicht Gegenstand des Verfahrens waren solche Techniken und Verfahren, die allein zum Zweck der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz dienen oder die erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Artikel 5 Absatz 3 der Cookie-Richtlinie erlaubt derartige Speicherungen auch ohne Einwilligung.
Kein Personenbezug erforderlich
Dabei wollten die Karlsruher Richter unter anderem wissen, ob eine wirksame Einwilligung vorliegt, “wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss” (Opt-out). Zudem sollte der EuGH entscheiden, ob es einen Unterschied macht, “ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt”.
Nach Darstellung des EuGH sind die “in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer” – und somit durch die Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten geschützt. “Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt”, heißt es in dem Urteil.
Darüber hinaus besteht für die Webseiten-Betreiber die Verpflichtung, über die Funktionsdauer der gesetzten Cookies und den Zugriff Dritter auf die Daten zu informieren.
E-Privacy-Verordnung soll klären
Der Streit über die sogenannten Cookie-Banner und die Einwilligungspflichten beim Nutzer-Tracking beschäftigt Politik, Datenschützer und Webseitenbetreiber schon seit Jahren. Die sogenannte E-Privacy-Verordnung, die eigentlich parallel zur DSGVO verabschiedet werden sollte, hatte daher zum Ziel, einheitliche Vorgaben für den Einsatz von Cookies innerhalb der EU zu machen. Allerdings ist derzeit immer noch keine Einigung abzusehen.
Zuletzt hatte eine Studie die meisten Cookie-Banner als illegal eingeschätzt [3]. Demnach böten 86 Prozent der untersuchten Websites neben einem Button zur Zustimmung keine weiteren Optionen an, was gegen die DSGVO verstoße: Sie verlange, dass Nutzer sich informiert dafür oder dagegen entscheiden dürften, ein einfaches O.K. genüge nicht.
Nach Informationen von Netzpolitik.org [4] will das zuständige Bundeswirtschaftsministerium das Online-Tracking neu regeln und einen entsprechenden Entwurf zur Änderung des Telemediengesetzes (TMG) vorlegen.
Bitkom befürchtet Mehrbelastung
Nach Einschätzung des IT-Branchenverbands Bitkom [5] hat das Urteil “weitreichende Auswirkungen für Internet-Nutzer und Tausende Webseitenbetreiber in Deutschland”, warnt Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Cookies könnten künftig “nicht mehr mit einem Hinweis an den Nutzer automatisch gesetzt werden, sondern erfordern seine ausdrückliche Zustimmung”. Neben dem Aufwand für die Umsetzung der DSGVO bedeute das Urteil “für unzählige Webseitenbetreiber eine erneute Mehrbelastung”.
Auch für die Nutzer werde das Surfen im Netz umständlicher, meint Bitkom. Laut Rohleder können Cookies einen echten Mehrwert sowohl für Internet-Nutzer als auch für Webseitenbetreiber bieten. Dazu zählt der Bitkom-Chef etwa Warenkorb-Cookies, das Merken von Spracheinstellungen oder auch die Webseitenanalyse über Cookies.
Cookies seien bei Nutzern allerdings auch umstritten, räumt der Verband ein. 54 Prozent hätten 2018 in einer repräsentativen Bitkom-Studie auf Basis der Befragung von 1009 Internet-Nutzern angegeben, Cookies in ihren Browsereinstellungen zu löschen. Vier von zehn Internet-Nutzern (39 Prozent) zeigten sich genervt von Cookie-Bannern, fast ein Drittel (31 Prozent) sah dagegen darin eine wichtige Information.
Verbraucherschutz will zügige Umsetzung
Der Verbraucherzentrale Bundesverband (VZBV) begrüßte das Urteil als ein wichtiges Zeichen für den Schutz der digitalen Privatsphäre [6]. Umso drängender seien nun die Durchsetzung der DSGVO und die zügige Annahme einer datenschutzfreundlichen E-Privacy-Verordnung, die derzeit in Brüssel verhandelt werde, sagte Lina Ehrig, Teamleiterin Digitales und Medien (Abbildung 1).
Abbildung 1: Lina Ehrig, Expertin für Digitales und Medien beim VZBV, begrüßt das EuGH-Urteil. Quelle: Gert Baumbach, VZBV
Praktiken wie vorgeklickte Kästchen, Zugangssperren für Nutzer, die Cookies nicht zustimmten, und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteile, müssten beendet werden. Eine Weiterverarbeitung von elektronischen Kommunikationsdaten für “kompatible Zwecke” sei in diesem besonders sensiblen Bereich nicht akzeptabel und auch nicht mit der Rechtsprechung des EuGH vereinbar. “Jetzt ist die Bundesregierung gefragt, ihre Haltung gegenüber den anderen Mitgliedsstaaten im EU-Rat auch zu verteidigen und durchzusetzen”, mahnte Ehrig.
Der Autor
Friedhelm Greis ist Redakteur für Netzpolitik bei Golem.de. Er arbeitete bei der Netzeitung als Journalist und freier Autor in New York und Berlin und schreibt für die Wikipedia.
Infos
-
Mitteilung des EuGH: https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf
-
Urteil des EuGH: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1403884
-
Studie zur Cookie-Konfiguration: https://www.syssec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2019/09/05/uninformed-consent_Yl7FPEh.pdf
-
Netzpolitik.org zur Neuregelung TMG: https://netzpolitik.org/2019/wirtschaftsministerium-will-im-herbst-neue-regeln-fuer-online-tracking-vorschlagen/
-
Stellungnahme Bitkom: https://www.bitkom.org/Presse/Presseinformation/Bitkom-EuGH-Urteil-ueber-voreingestellte-Cookies
-
Stellungnahme VZBV: https://www.vzbv.de/pressemitteilung/cookie-urteil-staerkt-digitale-privatsphaere
