Von Max Muth

Internet-Nutzer haben sich in den vergangenen Jahren daran gewöhnen müssen, dass sie ihr Ziel im Netz oft ein bisschen verzögert erreichen. Schuld daran sind Cookies, kleine Textdateien, die Webseiten im Browser eines Nutzers ablegen, um ihren Weg im Netz zu Analyse- oder Marketingzwecken nachzuverfolgen.

Bevor Nutzer heute mit dem Inhalt etwa eines Online-Shops interagieren dürfen, werden sie darüber aufgeklärt, ob und wie die Seite vorhat, Cookies einzusetzen. Die meisten Menschen interessieren sich für diese kleinen Texte, sogenannte Cookie-Banner, nur recht eingeschränkt: Einer Studie des IT-Anwalts Jens Nebel zufolge interessiert sich nicht mal ein Prozent der Nutzer für die genauen Umstände der Datenverarbeitung. Bald könnte jedoch auch auf weniger datenschutzinteressierte Nutzer weitere Klickarbeit zukommen.

An diesem Dienstag urteilt der EuGH darüber, wie die europarechtlichen Vorgaben für Cookie-Banner auszulegen sind. Anlass ist ein Fall des Gewinnspielanbieters "Planet49". Dieser hatte die Cookie-Vereinbarung für die potenziellen Gewinnspielteilnehmer so ausgestaltet, dass die Einverständniserklärungen für die Verwendung der Daten bereits vorausgefüllt waren. Nutzer mussten lediglich durch einen Klick bestätigen, dass sie dem insgesamt zustimmen. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv), der Bundesgerichtshof hatte das europäische Gericht unter anderem um die Klärung der Frage gebeten, ob diese Art der "Einwilligung" rechtlich angemessen ist. Der zuständige Generalanwalt hat da so seine Zweifel.

In eigener Sache: Auch die SZ setzt Tracking-Technologie ein. SZ.de erklärt auf dieser Seite, welche Tracker auf unseren Seiten eingesetzt werden und wie sie deaktiviert werden können.

Die EU-Staaten hätten die Regelung bis 2011 umsetzen sollen, aber nicht alle taten das

In der Datenschutzgrundverordnung (DSGVO) heißt es nämlich vergleichsweise konkret "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen."

Nun ist Planet49 beileibe nicht die einzige deutsche Webseite, die ihre Cookie-Vereinbarung auf diese Weise gestaltet hat. Bei Planet49 waren die bereits zur Zustimmung gesetzten Häkchen zumindest noch entfernbar. Viele Portale und Online-Shops darunter Check24 oder Zalando klären ihre Nutzer lediglich sehr unauffällig darüber auf, dass sie durch ihre Nutzung der Seite der Cookie-Vereinbarung zustimmen. Dabei berufen sich die Unternehmen auf das deutsche Telemediengesetz von 2007 (TMG). Dort steht geschrieben, dass Unternehmen Nutzerdaten verwenden dürfen, sofern diese nicht explizit widersprechen (Opt-out). Allerdings gibt es seit 2009 eine EU-Richtlinie, die das Gegenteil besagt, dass der Nutzer nämlich sein explizites Einverständnis geben muss (Opt-in). Der DSGVO zufolge muss eine solche Einwilligung eine freiwillige, informierte und unmissverständliche Handlung sein. Diese aktive Handlung kann demnach zum Beispiel das Setzen eines Häkchens sein.

Diese Cookie-Richtlinie der EU hätten die Mitgliedsstaaten bis 2011 in nationales Recht umsetzen sollen. Doch in Deutschland beschloss der Gesetzgeber, dass das der EU-Richtlinie in diesem Punkt widersprechende TMG als gesetzliche Regelung ausreicht. Viele IT-Anwälte gehen deshalb davon aus, dass diese recht abenteuerliche deutsche Interpretation der Richtlinie in der EuGH-Entscheidung an diesem Dienstag kassiert wird. Um auf der rechtlich sicheren Seite zu sein, empfehlen sie ihren Kunden schon länger die Opt-in-Lösung.

Dass deutsche Webseiten nach dem Urteil sofort ihre Cookie-Banner ändern, ist aber unwahrscheinlich. Solange das Telemediengesetz nicht entsprechend angepasst wird, können sich Unternehmen zunächst auch weiterhin auf deutsches Recht berufen. Nicht mit der Datenspeicherung einverstandene Nutzer müssten jeweils gegen die Verwendung ihrer Daten klagen.

Dass der deutsche Gesetzgeber diesen Widerspruch zwischen EU-Recht und deutschem Recht so lange toleriert hat, liegt möglicherweise an einem anderen geplanten EU-Gesetz. Die seit 2016 angekündigte ePrivacy-Verordnung soll auch verbindliche Regelungen zur Cookie-Nutzung enthalten. Und anders als die von Deutschland ignorierte Cookie-Richtlinie gälte die eine Verordnung sofort auch in den Mitgliedsstaaten.