Cookie gefällig?

Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 1. Oktober 2019 (Az. C-673-17 Verbraucherzentrale Bundesverband e.V. / Planet49 GmbH) recht klar mit den Anforderungen an die Verwendung von Cookies befasst. Weniger klar ist hingegen die Auswirkung in der Praxis in Deutschland. Das hat nicht nur seinen Grund darin, dass der Bundesgerichtshof (BGH) nun noch den konkreten Rechtsstreit entscheiden muss, sondern vor allem darin, dass die durch den EuGH ausgelegte Regelung in Deutschland (noch) keine unmittelbare Wirkung hat. Dennoch ist Handlungsbedarf in Deutschland entstanden.

Was hat der EuGH entschieden und warum?

Der EuGH hat nicht den konkreten Rechtsstreit entschieden, sondern nur die ihm durch den BGH vorgelegten Fragen zur Auslegung der Cookie-Regelung (Art. 5 Abs. 3 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation [Datenschutzrichtlinie für elektronische Kommunikation]). Diese Richtlinie wird zwischenzeitlich auch gerne als ePrivacy-Richtlinie bezeichnet, weil sie durch die sogenannte ePrivacy-Verordnung abgelöst wird. Der EuGH hat entschieden, dass das Setzen eines Cookies, das zum Tracking verwendet wird, einer Einwilligung der getrackten Person bedarf. Der EuGH hat entsprechend der Vorlagefrage des BGH das nur für Tracking-Cookies entschieden und nicht pauschal für alle Arten von Cookies. Zum Hintergrund: Die ausgelegte Cookie-Regelung unterscheidet – vereinfacht gesagt – zwischen betriebsnotwendigen und sonstigen Cookies und statuiert für solche sonstigen Cookies ein Einwilligungserfordernis. Des Weiteren hat der EuGH festgestellt, dass ein voraktiviertes Häkchen nicht den datenschutzrechtlichen Anforderungen an eine Einwilligung genügt.

Zum Hintergrund: Die ausgelegte Cookie-Regelung ist Bestandteil der Datenschutzrichtlinie 2002/58/EG, die für den Begriff Einwilligung auf die Datenschutzrichtlinie 95/46/EG verweist. Nach Art. 94 der Datenschutz-Grundverordnung (DSGVO) gelten Verweisungen auf die Datenschutzrichtlinie 95/46/EG nun als Verweisungen auf die DSGVO. Insofern verwundert die Entscheidung des EuGH nicht. Aber dennoch: Das höchste europäische Gericht hat nicht entschieden, dass es stets einer ausdrücklichen Einwilligung bedarf. Der EuGH hat auch festgestellt, dass diese Cookie-Regelung unabhängig davon zur Anwendung kommt, ob das Cookie personenbezogene Daten enthält oder nicht. Zum Hintergrund: Die Cookie-Regelung ist zwar Bestandteil einer Datenschutzrichtlinie, knüpft aber nicht an die Verarbeitung personenbezogener Daten an. Der Schutz der betroffenen Person wird damit in das Vorfeld der Verarbeitung personenbezogener Daten verlagert. Auch einen Mindestinhalt für die Information der betroffenen Person gibt der EuGH vor: Es muss über die Funktionsdauer des Cookies informiert werden und darüber, ob Dritte Zugriff auf das Cookie erhalten können. Der EuGH hat sich aber nicht mit der Frage befasst, unter welchen Voraussetzungen ein Tracking oder Profiling als solches zulässig ist.

Was bedeutet das in Deutschland?

Die Entscheidung hat keine unmittelbare Auswirkung auf Deutschland. Denn der EuGH hat sich – überspitzt formuliert – mit einer jedenfalls zum Zeitpunkt der Entscheidung des EuGH in Deutschland nicht geltenden Cookie-Regelung befasst. Das ergibt sich aus Folgendem und ist ein kleines Lehrstück zum Europarecht und zur deutschen Umsetzungspraxis. Diese Cookie-Regelung ist mit der Richtlinie 2009/136/EG, die nicht ganz zutreffend als Cookie-Richtlinie bezeichnet wird, als Art. 5 Abs. 3 in die ePrivacy-Richtlinie eingefügt worden. Anders als die DSGVO, die eine EU-Verordnung ist und daher unmittelbar gilt, müssen die Regelungen von Richtlinien durch ein nationales Gesetz umgesetzt werden. Das ist mit der Cookie-Richtlinie jedoch (bisher) nicht geschehen. Der deutsche Gesetzgeber hat in der Vergangenheit aber gleichwohl darauf verwiesen, dass er diese Cookie-Regelung in den Datenschutzbestimmungen des Telemediengesetzes (TMG) umgesetzt habe. Mit dieser Ansicht war der deutsche Gesetzgeber aber allein auf weiter Flur (instruktiv hierzu: Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom 29.03.2019 der deutschen Datenschutzkonferenz. Spätestens mit der EuGH-Entscheidung ist nun klar, dass die Cookie-Regelung nicht im TMG enthalten ist. Der deutsche Gesetzgeber hat daher Handlungsbedarf erkannt. Kurzum: Der EuGH hat eine Regelung ausgelegt, für die es keine Entsprechung im deutschen Recht gibt. Vorbehaltlich des Erfindungsreichtums des deutschen Bundesgerichtshofs greifen die Vorgaben des höchsten europäischen Gerichts zunächst ins Leere. Die Cookie-Regelung wird auch nicht durch die DSGVO verdrängt, denn: Nach Art. 95 DSGVO bleibe – vereinfacht gesagt – Regelungen der ePrivacy-Richtlinie durch die DSGVO unberührt und die Cookie-Regelung ist Bestandteil dieser Datenschutzrichtlinie.

Handlungsbedarf

Es besteht also Handlungsbedarf. Dadurch, dass die Cookie-Regelung nicht in deutsches Recht umgesetzt wurde, ist faktisch eine Karenzzeit gegeben. Es ist mittelfristig kein haltbarer Zustand, dass das Setzen von Cookies ohne Beachtung der Cookie-Regelung erfolgt. Der wenig überraschenden Auslegung des EuGH zu Art. 5 Abs. 3 der Datenschutzrichtlinie 2002/58/EG lässt sich folgendes Konzept entnehmen. Das gilt nach diesem Art. 5 Abs. 3 DSGVO auch dann, wenn das Cookie selbst keine (!) personenbezogenen Daten enthält. Zu demselben Ergebnis wird man nach der DSGVO kommen, wenn in dem Cookie selbst personenbezogene Daten enthalten sind.

• Das Setzen eines betriebsnotwendigen Cookies bedarf weiterhin keiner Einwilligung.
• Das Setzen eines Tracking-Cookies bedarf einer Einwilligung nach Maßgabe der DSGVO. Einer ausdrücklichen Einwilligung bedarf es danach zwar nicht, aber ein voraktiviertes Häkchen genügt nicht.
• Der Einsatz von nicht betriebsnotwendigen Cookies wird danach nur noch mittels eines sogenannten Consent Managers möglich sein.

Tracking, Profiling und Analyse

Aber Achtung! Der EuGH hat sich nicht mit der Zulässigkeit des Trackings oder Profilings oder Analysierens als solchem befasst. Das ist eine vom Setzen des Cookies unabhängige Verarbeitung. Sie muss daher eigenständig zulässig sein. Mit anderen Worten: Allein das rechtskonforme Setzen eines Cookies begründet noch nicht die Zulässigkeit des Trackings, Profilings oder Analysierens. Die deutsche Datenschutzkonferenz hat sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom 29. März 2019 der deutschen Datenschutzkonferenz mit diesen Fragen instruktiv befasst.