EuGH und Cookies: „mach ein Kreuz ins Extrafeld…“
Gespeichert von Dr. Axel Spies am
„und gewinn das große Extrageld,“ hieß es früher in der Werbung. Kein Wunder also, dass der EuGH sich bei Glücksspielen für ein Ankreuzen bei der Nutzung von Cookies entschieden hat :-)
Die Spatzen pfeifen bekanntlich lange schon von den Dächern runter, dass viele Webseiten in Deutschland mit ihren Cookie-Bannern vemutlich gegen EU Recht verstoßen. Der EuGH hat geurteilt, dass die Zustimmung der Nutzer zur Verwendung von Cookies immer ausdrücklich erfolgen muss, also etwa durch das Setzen eines Häkchens. Geklagt hatte der Verbraucherzentrale Bundesverband gegen die Planet49 GmbH. Das Urteils selbst findet man hier (Az. C-673/17).
Die Entscheidung dürfte nach dem Inkrafttreten der DSGVO eigentlich keinen überraschen.
Folgendes fällt beim Lesen auf:
-
Die Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz (TMG) bereits mit EU-Recht konform umgesetzt seien, ist kaum noch durchzuhalten. Zumindest muss das TMG durch die Gerichte so ausgelegt werden, dass es mit dem EuGH-Urteil im Einklang steht (Opt-in statt Opt-out).
-
Banner-Texte wie „mit dem Besuch unserer Website geben Sie uns Ihre Einwilligung“ dürften nicht (mehr) funktionieren, ebenso wenig wie Banner mit voreingestellten Häkchen.
-
Offen ist, ob es mit dem Erfordernis einer „ohne Zwang“ (Art. 2 Buchst. h der Richtlinie 95/46) bzw. „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 der Verordnung 2016/679) erteilten Einwilligung vereinbar ist, wenn ein Nutzer nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt. Dazu hat der EuGH keine Stellung bezogen.
-
Braucht der Betreiber auch die Einwilligung für „strictly necessary“ (funktionale) Cookies, die nötig sind, damit die Webseite funktioniert? Müssen die auch von der Einwilligung erfasst sein, auch wenn sie keine personenbezogenen Daten enthalten? Vgl EuGH-Urteil RZ 70 „Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen unabhängig davon, ob es sich um personenbezogene Daten handelt ...“ Klarheit wird hoffentlich die neue ePrivacy VO bringen.
-
Ungelöst ist weiterhin, wie ein Webseitenbetreiber mit dem – jederzeit zulässigen – Widerruf von Einwilligungen umgehen soll. Reicht eine Änderung der Browsner-Voreinstellung durch den Nutzer aus?
Wie schätzen Sie das ein? Werden wir als Nutzer mit Cookie-banner usw. überfrachtet und „anklicksmüde.“ Wie kriegt man die Cookies besser in den Griff?