th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Auswirkungen der EuGH-Judikatur auf die Einbindung von Cookies

Auswirkungen der EuGH-Judikatur auf die Einbindung von Cookies

Nachdem bereits von einem österreichischen Gericht wegen eines DSGVO-Verstoßes ein immaterieller Schadenersatz in der Höhe von 800 EUR zugesprochen wurde, tauchten sofort anwaltliche Abmahnschreiben mit Schadenersatzforderungen wegen angeblich nicht korrekter Verwendung von Tracking-Cookies auf. 

Der rechtskonforme Einsatz von Cookies ist allerdings gar nicht so einfach, weil zusätzlich zu den Bestimmungen der DSGVO auch die abweichenden Bestimmungen des Telekommunikationsgesetzes (TKG) zu berücksichtigen sind.

So ist nach den Bestimmungen der DSGVO die Verarbeitung von personenbezogenen Daten nicht notwendigerweise von einer Einwilligung abhängig, sondern kann auch mit einem sogenannten „berechtigten Interesse“ gearbeitet werden. Nach den Bestimmungen des TKG ist allerdings bei Cookies immer eine Einwilligung erforderlich. Nur dann, wenn es sich um technisch notwendige Cookies handelt (genauer: Cookies, die für die Erbringung der auf der jeweiligen Webseite angebotenen Dienste unbedingt erforderlich sind, z.B. Session Cookies), ist nach dem TKG keine Einwilligung erforderlich. Da Tracking-Cookies für die Funktion einer Webseite nicht erforderlich sind, ist also grundsätzlich eine Einwilligung notwendig. Nicht eindeutig ist aber die Frage, wie die Einwilligung eingeholt werden kann.

Aktive Einwilligung (Opt-In)

Grundsätzlich ist sowohl nach der DSGVO als auch nach dem TKG eine „aktive Einwilligung“ („Opt-In“) erforderlich. Eine „Opt-Out“-Lösung (wegklicken einer vorangekreuzten Einwilligung) ist unzulässig. Das hat auch der EuGH im Urteil „Planet49“ C-673/17 bestätigt.

Zu beachten ist außerdem, dass nach der DSGVO eine Einwilligung so gestaltet sein muss, dass sie jederzeit widerrufen werden kann und dass über die Widerrufbarkeit auch informiert werden muss („Opt-In“ und Möglichkeit zum „Opt-Out“). Die Einwilligung muss auch von anderen Erklärungen unabhängig erfolgen (Koppelungsverbot) und sollte daher im Idealfall nicht pauschal erfolgen, sondern für jede Datenverarbeitung (jedes Cookie) gesondert. Außerdem sollten auch Alternativen für die Webseiten-Nutzung ohne Cookies angeboten werden, weil eine Einwilligung nach der DSGVO sonst Gefahr läuft, nicht das Kriterium der „Freiwilligkeit“ zu erfüllen. Auf jeden Fall muss umfangreich über die Setzung von Cookies informiert werden (z.B. durch Cookie-Fenster“ mit Link auf die Datenschutzerklärung der Website). 

Besonderheit nach dem TKG

Eine der relevantesten Abweichungen im TKG besteht darin, dass das TKG im Gegensatz zur DSGVO das „berechtigte Interesse“ als Rechtsgrundlage für eine Datenverarbeitung nicht kennt. Aus diesem Grund muss in allen Fällen, in denen eine Datenverarbeitung nicht technisch bedingt oder zur Vertragserfüllung erforderlich ist, eine Einwilligung erteilt werden. Das betrifft insbesondere Tracking-Cookies. In den erläuternden Bemerkungen zum TKG (bzw. entsprechend auch in den Erwägungsgründen der E-Privacy-Richtlinie, auf deren Basis das TKG umgesetzt wurde) festgehalten wird, dass auch in einer Browsereinstellung, welche Cookies zulässt, eine (schlüssige) Einwilligung liegen kann.

Grundsätzlich sind schlüssige Einwilligungen auch nach der DSGVO zulässig. Auf jeden Fall müssen aber die oben dargestellten Kriterien eingehalten werden und sollte (beispielsweise über ein Pop-up Fenster bzw. ein „Cookie-Fenster“) allen Informationspflichten der DSGVO und dem TKG nachgekommen werden: Wer verarbeitet welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage, wie lange werden die Daten gespeichert und an wen werden welche Daten allenfalls übermittelt. 

EuGH-Urteil „Planet49“ (C 673-17)

In dem (deutschen) Fall ging es darum, dass auf der Seite von „Plante49“ die Einwilligung zum Einsatz eines Webanalysedienstes durch ein vorangekreuztes Kästchen erfolgte. Der EuGH urteilte auf Basis der DSGVO sowie auf Basis der nach wie vor geltenden E-Privacy-RL (2002/58 EG) wenig überraschend, dass eine Einwilligung durch ein vorangekreuztes Kästchen nicht zulässig ist. Außerdem sah er die Informationspflichten nach der DSGVO verletzt, weil nicht über die Funktionsdauer des Cookies und den Zugriff durch Dritte informiert wurde. Weiters stellte er fest, dass es nach der E-Privacy-RL (anders als nach der DSGVO) nicht darauf ankommt, ob über das Cookie personenbezogene Daten verarbeitet werden.

Die Frage, ob eine Einwilligung über Browser-Einstellungen zulässig ist, war nicht Gegenstand des Verfahrens.

Praxistipp:

Auch wenn der EuGH im Fall „Planet49“ zur Frage der Einwilligung durch Browsereinstellung nicht ausdrücklich Stellung genommen hat, ist es im Hinblick auf die Abmahnungen in der Praxis dort, wo eine Einwilligung notwendig ist, voraussichtlich sicherer und auch einfacher, über ein Pop-up-Fenster (Cookie-Fenster) gleich mit einer ausdrücklichen Einwilligung zu arbeiten und nicht auf die Hilfskonstruktion der schlüssigen Einwilligung durch die Browsereinstellung zurückzugreifen.

Insbesondere bei „Third Party Cookies“, bei denen es zu einer Offenlegung an Dritte kommt, ist die Einholung einer formalen Einwilligungserklärung vor der Datenverarbeitung zu empfehlen.

Checkliste für die Einwilligung in Cookies

  • Information, welche Arten von Cookies eingesetzt werden
  • Information bezüglich der Funktionsdauer der Cookies und ob Dritte Zugriff auf Cookies haben („Third Party Cookies“; Kurzinformation am besten bereits im Einwilligungs-Fenster)
  • Aktiver Einwilligung (Opt In)
  • Einwilligung für jedes Cookie (bzw für jeden Verarbeitungszweck) gesondert einholen (um dem Koppelungsverbot zu entsprechen)
  • Cookies erst nach aktiver Einwilligung laden
  • keine vorangekreuzten Kästchen verwenden
  • Hinweis in der Datenschutzerklärung, dass die Einwilligung widerrufen werden kann (Opt Out)
  • Webseitennutzung auch ohne (einwilligungspflichtige) Cookies anbieten (damit die Einwilligung iSd DSGVO freiwillig ist; Koppelungsverbot)
  • zur Datenschutzerklärung (Informationspflicht nach DSGVO) verlinken
  • Cookies in der Datenschutzerklärung berücksichtigen und Wirkungsweise verständlich beschreiben

Hinweise:
Es handelt sich bei der Checkliste um eine unverbindliche Empfehlung im Sinne eines „Best Practice“ zur möglichst weitgehenden Vermeidung von Abmahnungen. Die Variante der Einwilligung über die Browser-Einstellung ist daher nicht enthalten.

Für Cookies, die für die Nutzung der Dienste der Webseite notwendig sind, ist eine Einwilligung nicht erforderlich. Dennoch muss durch eine entsprechende Information im Pop-Up-Fenster (Kurzinfo) und in der Datenschutzerklärung (genaue verständliche Beschreibung) auf diesen Umstand hingewiesen werden.

Weitere Infos 

Datenverarbeitung im Webshop und auf der Website: Einwilligungserklärung - Cookies - Datenschutzerklärung

Stand: