Menü

Cookie-Urteil: Neue Klarheit, neue Fragen und eine "informationelle Integrität des Endgeräts"

Die Entscheidung des EuGH zu den Cookie-Regeln schafft Klarheit, wirft aber auch neue Fragen auf, meint Rechtsanwalt Dr. Simon Assion.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 147 Beiträge

(Bild: Marian Weyo/Shutterstock.com)

Von

Die "Cookie-Regeln" gehören zu den wohl unbeliebtesten Regelungen im Europarecht. Kaum eine Webseite, die ihre Besucher nicht mit einem Banner begrüßt, das zunächst entnervt "weggeklickt" werden muss. Warum gibt es diese Banner eigentlich? Das konnten auch Juristen nicht sicher beantworten. Am Dienstag hat der Europäische Gerichtshof (EuGH) mit seiner "Planet49"-Entscheidung allerdings viele Fragen beantwortet.

Ein Kommentar von Dr. jur. Simon Assion

(Bild: Bird & Bird )

Dr. jur. Simon Assion studierte und promovierte an der Universität Hamburg und absolvierte eine Zusatzausbildung in Informations-, Telekommunikations- und Medienrecht an der Universität Münster. Er ist als Rechtsanwalt in der internationalen Anwaltskanzlei Bird & Bird unter anderem als Spezialist für Informations- und Kommunikationsrecht tätig.

mehr anzeigen

In der Entscheidung zu "Planet49" ging es um einen deutschen Gewinnspielanbieter, der von den Teilnehmern Werbeeinwilligungen eingeholt hatte – auch zum Setzen von Cookies. Der deutsche Bundesgerichtshof (BGH) nahm das Verfahren dann zum Anlass, dem EuGH drei Fragen vorzulegen, die über den Einzelfall hinaus weitreichende Bedeutung haben. Erstens: Reicht für die Cookie-Einwilligung ein vorausgewähltes Kästchen aus? Zweitens: Spielt es eine Rolle, ob Cookies personenbezogene Daten enthalten? Drittens: Welche Mindestinformationen gehören eigentlich in die "Cookie-Hinweise"?

Der EuGH hat nun entschieden, dass vorausgewählte Kästchen nicht ausreichen. Ob Cookies personenbezogene Daten sind, spielt keine Rolle. Und zu den Mindestinformationen gehören neben der allgemeinen Datenschutzerklärung auch die "Funktionsdauer" der Cookies sowie ein Hinweis, wer konkret Zugriff darauf hat.

Der EuGH hat damit den Ball zurück an den BGH gespielt und ihm dabei eine recht deutliche Botschaft übermittelt: Die Zeiten des deutschen Sonderwegs sind vorbei. Die Cookie-Regeln müssen europaweit einheitlich angewendet werden. Bisher war dies umstritten gewesen, weil die EU-Regelung (Art. 5 Abs. 3 der ePrivacy-Richtlinie) im deutschen Recht nicht wortlautgetreu umgesetzt worden ist.

Viele Beobachter, einschließlich der deutschen Datenschutzbehörden, sind sogar der Auffassung, der deutsche Gesetzgeber hätte die Cookie-Regelungen überhaupt nicht übernommen. Der BGH sieht das offenbar anders: Laut seinem Vorlagebeschluss plant der Gerichtshof, die Regelungen des deutschen Telemediengesetzes (TMG) so auszulegen, dass sie die ePrivacy-Richtlinie umsetzen. Ein endgültiges Urteil dazu steht allerdings noch aus.

Zum Cookie-Urteil des EuGH

(Bild: Shutterstock/dotshock)

In einer mit Spannung erwarteten Entscheidung legte der Europäische Gerichtshof fest: Webseiten dürfen Cookies nur dann auf dem Rechner der Nutzer speichern, wenn diese ausdrücklich zugestimmt haben. Zudem müssen die Nutzer detailliert informiert werden, wenn die Cookie-Daten an Dritte weitergegeben werden.

mehr anzeigen

Für die Zukunft heißt es also: Ab jetzt "gilt" auch in Deutschland der Wortlaut von Art. 5 Abs. 3 der ePrivacy-Richtlinie. Der Inhalt dieser europarechtlichen Vorschrift ist hierzulande bislang kaum bekannt, was wohl auch für den Wildwuchs rund um die Cookie-Banner verantwortlich ist. Die Regelung differenziert beispielsweise überhaupt nicht zwischen Erstanbieter- und Drittanbieter-Cookies. Die eigentliche Testfrage, die diese Vorschrift stellt, ist: Ist die Speicherung von Informationen im Endgerät, oder ein Zugriff darauf, "unbedingt erforderlich", um dem Nutzer eine von ihm gewünschte digitale Dienstleistung zu erbringen? Falls ja, ist keine Einwilligung erforderlich. Falls nicht, schon. Anders als teilweise berichtet, benötigen in Zukunft also nicht alle Cookies eine Einwilligung. Das gilt nur für solche Cookies, die "nicht unbedingt notwendig" sind.

Welche informationellen Zugriffe auf Endgeräte "unbedingt erforderlich" sind, wird nun zu diskutieren sein. Vieles spricht dafür, als "erforderlich" alle Zugriffe und Cookies anzusehen, die im Interesse des Nutzers sind. Dazu zählen beispielsweise Session-Cookies oder Warenkorb-Cookies. Im März dieses Jahres haben außerdem die deutschen Datenschutzbehörden eine "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien" veröffentlicht, in der sie durchblicken lassen, dass unter bestimmten Voraussetzungen auch Web-Analysedienste legitim sind. Auch die britische Datenschutzbehörde ICO und die französische Datenschutzbehörde haben bereits recht ähnliche Handreichungen zu Cookies veröffentlicht.

Langfristig wohl die wichtigste Bedeutung des EuGH-Urteils: Die Cookie-Regelungen gelten laut dem Urteil auch dann, wenn es nicht um personenbezogene Daten geht. Damit stellt der EuGH klar, dass ePrivacy eben nicht dasselbe wie Datenschutz ist. Die EU-Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz, die ePrivacy-Richtlinie regelt aber den Schutz der Privatsphäre im digitalen Raum. Dazu gehört unter anderem das Telekommunikationsgeheimnis (Art. 5 Abs. 1 und Abs. 2 der ePrivacy-RL). Und, wie der EuGH nun klargestellt hat, gehört dazu auch der Schutz von Informationen auf dem Endgerät (Art. 5 Abs. 3 der ePrivacy-RL).

Wer sich dabei an das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" erinnert fühlt, das das Bundesverfassungsgericht (BVerfG) 2008 aus der Taufe gehoben hatte, liegt durchaus richtig: Das damals vom BVerfG geschaffene "IT-Grundrecht" und Art. 5 Abs. 3 der ePrivacy-RL schützen letztlich dasselbe, nämlich das Vertrauen der Endnutzer in "ihre" Geräte. Das IT-Grundrecht richtet sich allerdings als Abwehrrecht gegen den Staat, während die ePrivacy-Richtlinie in erster Linie vor Zugriffen durch Private schützt – beispielsweise durch Wirtschaftsunternehmen.

Dass ePrivacy und Datenschutz nicht dasselbe sind, ließ sich zwar recht einfach schon aus dem Wortlaut der einschlägigen EU-Gesetze selbst entnehmen. Dass der BGH dem EuGH dazu trotzdem eine Vorlagefrage gestellt hat, ist symptomatisch dafür, mit wie viel Ungenauigkeit die Diskussion bisher geführt wurde.

Das Urteil des EuGH wird nun alle Beteiligten zwingen, ihre Praxis wieder stärker am Wortlaut des geschriebenen EU-Rechts zu orientieren. In erster Linie gilt das für den deutschen Gesetzgeber: Das federführende Bundeswirtschaftsministerium hat bereits angekündigt, nun umgehend einen Gesetzesentwurf vorzulegen, der das deutsche Telemediengesetz (TMG) an die Vorgaben des EU-Rechts anpasst. Das wird wohl auf die weitgehende Streichung der TMG-Datenschutzregelungen hinauslaufen, denn hier gilt nur noch die DSGVO. Eingeführt werden muss dann aber auch eine (wohl wortlautgenaue) Übernahme von Art. 5 Abs. 3 der ePrivacy-Richtlinie.

Auch für die Datenschutzpraxis in Deutschland und Europa hat das Urteil des EuGH weitreichende Folgen. Wenn die "informationelle Integrität von Endgeräten" kein Unterthema des Datenschutzes ist, welche Behörden sind dann zuständig für die Durchsetzung dieser Regeln? Welche Sanktionen greifen? Drohen auch hier die sprichwörtlichen Millionenbußgelder? Benötigen Eingriffe in die Endgeräte-Integrität andere Rechtsgrundlagen als die sonstige Verarbeitung personenbezogener Daten? Diese Fragen sind letztlich alle nicht neu, aber sie sind bislang kaum diskutiert worden. Dies ist nun nachzuholen.

Diese Diskussion ist auch deshalb brisant, weil der EU-Gesetzgeber bereits dabei ist, die "alte" Cookie-Regelung durch eine neue zu ersetzen. Noch während Art. 5 Abs. 3 der ePrivacy-RL erst richtig in der Praxis ankommt, diskutieren EU-Gremien bereits den Entwurf einer Nachfolge-Regelung, nämlich von Art. 8 der ePrivacy-Verordnung. Diese Verordnung soll ähnlich wie die DSGVO den Schutz von ePrivacy in der EU auf eine neue Stufe heben.

Der von der EU-Kommission vorgelegte Vorschlag ist allerdings so umstritten, dass die Initiative seit Jahren nicht so recht vorankommt. Art. 8 des Entwurfs gehört zu den mit umstrittensten Teilen des Vorhabens. Denn einerseits soll die von der Vorgänger-Regelung ausgelöste "Consent-Fatigue", der Ermüdungseffekt, der sich beim Anklicken immer neuer Einwilligungen einstellt, unbedingt vermieden werden. Andererseits wollen die EU-Institutionen aber den Eindruck vermeiden, sie würden den Schutz der Privatsphäre zurückbauen. Beide Ziele gleichzeitig zu erreichen, ist quasi die Quadratur des Kreises. Den aktuellen Zwischenstand der Diskussion zeigt ein neuer Diskussionsvorschlag der finnischen EU-Ratspräsidentschaft. Aber ob und wann die ePrivacy-Verordnung jemals in Kraft treten wird, ist weiterhin offen. Bis dahin gilt noch die alte Richtlinie und deren wie auch immer gestaltete Umsetzung im deutschen Recht.

Im Ergebnis hat das Planet49-Urteil des EuGH damit einen Startschuss für eine Vielzahl neuer Entwicklungen gesetzt. Der deutsche Gesetzgeber wird das TMG anpassen und der BGH wird entscheiden ob das bis dahin noch geltende TMG richtlinienkonform ausgelegt werden kann. In jedem Fall gilt: Viele Webseitenbetreiber werden ihre Cookie-Banner durch komplexere Cookie Consent Panels ersetzen müssen. Wie genau diese Panels dann im Einzelnen aussehen müssen, wird mit den Datenschutzbehörden zu diskutieren sein. (olb)