Das datenschutzrechtliche Cookie-Urteil des EuGH - (Fehlende) Reaktionen von Unternehmen
Der Europäische Gerichtshof (EuGH) hat bereits am 01.10.2019 (Az.: C-673/17) sein Urteil bezüglich der Thematik „Cookies“ verkündet. Trotzdem wurden Vorgaben des EuGHs in der Praxis von vielen Unternehmen immer noch nicht umgesetzt.
Aufgrund der öffentlich zugänglichen Homepage eines jeden Unternehmens ist der Prozess des Setzens von Cookies sowie der auf der Homepage verpflichtend vorhandenen Datenschutzerklärung jedoch von jedem, also auch von datenschutzrechtlichen Aufsichtsbehörden, einsehbar. Daher können dort vorhandene Verstöße auch ohne großen Aufwand mit Bußgeldern sanktioniert werden. Viele Unternehmen haben immer noch keine rechtskonformen Cookie Banner implementiert und informieren auch nicht genügend in der Datenschutzerklärung der Homepage.
Der nachfolgende Beitrag gibt daher einen kurzen Überblick über das vorgenannte Urteil und zeigt auf, worauf Unternehmen besonders achten sollten.
Was wurde seitens des EuGH entschieden?
Nach Ansicht des EuGHs handelt es sich bei der Sammlung von Daten mittels Cookies grundsätzlich um eine Verarbeitung personenbezogener Daten im Sinne der DSGVO, so dass das präventive Verbot mit Erlaubnisvorbehalt (Art. 6 DS-GVO) gilt. Mangels Rechtsgrundlage ist daher das Einholen einer Einwilligung erforderlich. Unter Berücksichtigung des Art. 6 Abs. 1 S. 1 lit. a DS-GVO i. V. m. Erwägungsgrund 32 zur DS-GVO ist ein voreingestellter Haken in einem Kästchen und dem anschließenden Klicken auf „OK“ nicht konform mit den Anforderungen der DS-GVO. Vielmehr ist ein aktives Handeln des Nutzers erforderlich.
Des Weiteren ist der EuGH auch auf Informationspflichten der verantwortlichen Stelle nach Art. 13 DS-GVO eingegangen. Nach Ansicht des Gerichtshofs sind bei einer Verwendung von Cookies Angaben zur Funktionsdauer der Cookies, mindestens hinsichtlich der Dauer, sowie zu der Frage, ob Dritte Zugriff auf diese Cookies haben, zwingend erforderlich. Andernfalls würden gesetzliche Anforderungen an eine hinreichende Transparenz gegenüber den betroffenen Nutzern der Homepage nicht eingehalten.
Welche Relevanz hat das Urteil des EuGHs für meine Homepage und was sollte ich beachten?
Nach Ansicht des EuGHs ist Rechtsgrundlage für eine Datenverarbeitung von Cookies ausschließlich Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Daher ist zwingend eine Einwilligung vom Betroffenen einzuholen. Etwas Anderes kann nur noch dann gelten, soweit es sich um technisch erforderliche Cookies handelt. Nur dann wird man sich noch auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DS-GVO berufen können und braucht mithin keine Einwilligung.
Aber nicht nur das Einholen einer Einwilligung ist verpflichtend, es muss weitaus ausführlicher zwischen den einzelnen Einwilligungen differenziert werden. Wenn es sich um Cookies handelt, welche zu unterschiedlichen Zwecken gesetzt werden, beispielsweise zu den Themen Personalisierung, Marketing oder Analytics, muss dem Betroffenen sogar eine Möglichkeit eröffnet werden, seine Einwilligung bezogen auf eine oder mehrere Arten von Cookies abgeben zu können. Natürlich muss ihm auch eine Möglichkeit eröffnet werden, gar keine Einwilligung abzugeben.
Darüber hinaus müssen auch in der Datenschutzerklärung auf Homepages von Unternehmen nach Art. 13 DS-GVO Modifizierungen hinsichtlich der verschiedenen Cookie-Arten vorgenommen werden, insbesondere zur Rechtsgrundlage. Des Weiteren sind nach Ansicht des EuGHs ausdrücklich auch Angaben zur Funktionsdauer der Cookies sowie zu der Frage, ob Dritte Zugriff auf diese Cookies haben, erforderlich.
Welche Sanktionen drohen?
Datenschutzrechtliche Verstöße können auch auf nationaler Ebene nunmehr erheblich sanktioniert werden. Beispielsweise zeigt sich an dem Fall H&M (EUR 35 Mio. Bußgeld), dass auch deutsche Aufsichtsbehörden nunmehr nicht mehr davor zurückschrecken, Bußgelder in Millionenhöhe zu verhängen. Selbst wenn ein Verstoß gegen in diesem Beitrag dargestellte Vorgaben des EuGHs geringer sanktioniert würde, so kann auch ein solcher Betrag nicht mehr einfach so aus der "Portokasse gezahlt" werden.
Es ist daher jedem Unternehmen zu empfehlen, sich an diese Vorgaben des EuGHs zu halten.
Dr. Thomas Kehr
Wir machen Sie ausdrücklich darauf aufmerksam, dass die auf dieser Webseite sowie unseren Auftritten bei Xing und LinkedIn bereitgestellten Inhalte ausschließlich Ihrer unverbindlichen Information dienen und keine Rechtsberatung darstellen. Mit dem Aufruf dieser Webseite sowie unserer weiteren Auftritte kommt keinerlei Kundenbeziehung zustande.