Webseiten dürfen Cookies nur dann auf dem Rechner der Nutzer speichern, wenn diese ausdrücklich zugestimmt haben. Zudem müssen die Nutzer detailliert informiert werden, wenn die Cookie-Daten an Dritte weitergegeben werden. Das hat der Europäische Gerichtshof in Luxemburg nun klargestellt.

Cookie-Sonderweg

Mit ihrer Entscheidung beenden die europäischen Richter einen deutschen Sonderweg. Bisher lässt das Telemediengesetz die Speicherung von Cookies zu, wenn die Nutzer nur informiert werden.

Im konkreten Fall ging es um den Gewinnspiel-Anbieter Planet49, der zwar auf den eigenen Angeboten die Zustimmung zur Datenverarbeitung und für Werbeanrufe einholte, dabei die entsprechenden Checkboxen vorangekreuzt hatte. In dem bereits sechs Jahre andauernden Verfahren hatte der Bundesgerichtshof beim EuGH angefragt, ob die deutsche Gesetzeslage noch europäischem Recht entspreche.

Auf internationallen Websites sind große Cookie-Banner mit detaillierten Informationen nichts ungewöhnliches.

Der EuGH ließ die Begründung nicht gelten, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsste die explizite Zustimmung zur Datenverarbeitung erteilt werden. "Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass 'Hidden Identifiers' oder ähnliche Instrumente in sein Gerät eindringen", heißt es in der Mitteilung des Gerichts.

Gesetzgeberische Sackgasse

Die deutsche Politik und Wirtschaft hatte sich in den vergangenen Jahren in eine Sackgasse manövriert. So hätte Deutschland die Vorgaben aus Europa eigentlich bis 2011 umsetzen müssen, interpretierte die Richtlinie aber zu großzügig, wie auch die Datenschutzbeauftragten in mehreren Stellungnahmen hervorhoben. Aus diesem Grund sind Cookie-Banner auf rein deutschen Webseiten bisher auch deutlich subtiler als bei internationalen Betreibern. Da das deutsche Gesetz bisher nicht beanstandet wurde, hatte die Bundesregierung bisher auf Nachbesserungen verzichtet.









Durch die Datenschutz-Grundverordnung hatte sich die Lage verändert. Eigentlich sollte parallel zu dem Gesetzeswerk auch die neue E-Privacy-Verordnung wirksam werden, die spezifische Datenschutzvorgaben für die Datenverarbeitung im Internet festlegt. Die Verabschiedung des Gesetzes scheiterte bislang unter anderem am heftigen Widerstand der deutschen Bundesregierung, die zu scharfe Datenschutz-Vorschriften verhindern will. Also gilt weiter die ePrivacy-Richtlinie von 2002, was zu dem heutigen Urteil führte.

Cookie-Banner

Die Rechtslage betrifft jedoch nicht nur kosmetische Änderungen auf den Websites. Denn mit den Cookie-Bannern muss den Nutzern auch die Gelegenheit gegeben werden, ihre Zustimmung zu verweigern. Die neusten Versionen von Apple Safari und Mozilla Firefox lehnen viele Cookies schon in der Voreinstellung ab – was insbesondere im Werbegeschäft zu Verlusten führt.

Unter welchen Voraussetzungen genau die Zustimmung der Nutzer gültig sein kann, ist an vielen Stellen umkämpft. Britische Datenschützer hatten etwa das derzeit praktizierte Modell der programmatischen Werbung für unzulässig erklärt, bei dem Nutzer-Daten an eine unüberschaubare Menge von potenziellen Bietern auf Echtzeit-Werbemärkten weitergegeben wird. Werbeorganisationen und Konzerne wie Google arbeiten derzeit an neuen technischen Lösungen, um die Datenweitergabe auf ein zulässiges Maß zu beschränken. (anw)