th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Abmahnungen wegen nicht korrektem Einsatz von Tracking-Cookies

Auswirkungen der EuGH-Judikatur auf die Einbindung von Cookies

Nachdem bereits von einem österreichischen Gericht wegen eines DSGVO-Verstoßes ein immaterieller Schadenersatz in der Höhe von EUR 800 zugesprochen wurde, kursieren nunmehr Abmahnschreiben mit Schadenersatzforderungen einer österreichischen Rechtsanwaltskanzlei wegen angeblich nicht korrekter Verwendung von Tracking-Cookies im Internet.

Der rechtskonforme Einsatz von Cookies ist allerdings gar nicht so einfach, weil zusätzlich zu den Bestimmungen der DSGVO auch die abweichenden Bestimmungen des Telekommunikationsgesetzes (TKG) zu berücksichtigen sind.

So ist nach den Bestimmungen der DSGVO die Verarbeitung von personenbezogenen Daten nicht notwendigerweise von einer Einwilligung abhängig, sondern kann auch mit einem sogenannten „berechtigten Interesse“ gearbeitet werden. Nach den Bestimmungen des TKG ist allerdings bei Cookies immer eine Einwilligung erforderlich. Nur dann, wenn es sich um technisch notwendige Cookies handelt (genauer: Cookies, die für die Erbringung der auf der jeweiligen Webseite angebotenen Dienste unbedingt erforderlich sind, z.B. Session Cookies), ist nach dem TKG keine Einwilligung erforderlich. Da Tracking-Cookies für die Funktion einer Webseite nicht erforderlich sind, ist also grundsätzlich eine Einwilligung notwendig. Nicht eindeutig ist aber die Frage, wie die Einwilligung eingeholt werden kann.

Aktive Einwilligung (Opt-In)

Grundsätzlich ist sowohl nach der DSGVO als auch nach dem TKG eine „aktive Einwilligung“ („Opt-In“) erforderlich. Eine „Opt-Out“-Lösung (wegklicken einer vorangekreuzten Einwilligung) ist unzulässig. Das hat auch der EuGH im Urteil „Planet49“ C-673/17 bestätigt.

Zu beachten ist außerdem, dass nach der DSGVO eine Einwilligung so gestaltet sein muss, dass sie jederzeit widerrufen werden kann und dass über die Widerrufbarkeit auch informiert werden muss („Opt-In“ und Möglichkeit zum „Opt-Out“). Die Einwilligung muss auch von anderen Erklärungen unabhängig erfolgen (Koppelungsverbot) und sollte daher im Idealfall nicht pauschal erfolgen, sondern für jede Datenverarbeitung (Cookie) gesondert. Außerdem sollten auch Alternativen für die Webseiten-Nutzung ohne Cookies angeboten werden, weil eine Einwilligung nach der DSGVO sonst Gefahr läuft, nicht das Kriterium der „Freiwilligkeit“ zu erfüllen. Auf jeden Fall muss umfangreich über die Setzung von Cookies informiert werden (z.B. durch einen „Cookie-Banner“ mit Link auf die Datenschutzerklärung der Webseite).

Besonderheit nach dem TKG

Eine der relevantesten Abweichungen im TKG besteht darin, dass in den erläuternden Bemerkungen zum TKG (bzw entsprechend auch in den Erwägungsgründen der E-Privacy-Richtlinie, auf deren Basis das TKG umgesetzt wurde) festgehalten wird, dass auch in einer Browsereinstellung, welche Cookies zulässt, eine (schlüssige) Einwilligung liegen kann. Grundsätzlich sind schlüssige Einwilligungen auch nach der DSGVO zulässig. Auf jeden Fall müssen aber die oben dargestellten Kriterien eingehalten werden und sollte (beispielsweise über ein Pop-up Fenster) allen Informationspflichten der DSGVO nachgekommen werden: Wer verarbeitet welche Cookies zu welchem Zweck und an wen werden welche Daten allenfalls übermittelt.

EuGH-Urteil „Planet49“ (C 673-17)

In dem (deutschen) Fall ging es darum, dass auf der Seite von „Plante49“ die Einwilligung zum Einsatz eines Webanalysedienstes durch ein vorangekreuztes Kästchen erfolgte. Der EuGH urteilte auf Basis der DSGVO sowie auf Basis der nach wie vor geltenden E-Privacy-RL (2002/58 EG) wenig überraschend, dass eine Einwilligung durch ein vorangekreuztes Kästchen nicht zulässig ist. Außerdem sah er die Informationspflichten nach der DSGVO verletzt, weil nicht über die Funktionsdauer des Cookies und den Zugriff durch Dritte informiert wurde. Weiters stellte er fest, dass es nach der E-Privacy-RL (anders als nach der DSGVO) nicht darauf ankommt, ob über das Cookie personenbezogene Daten verarbeitet werden.

Die Frage, ob eine Einwilligung über Browser-Einstellungen zulässig ist, war nicht Gegenstand des Verfahrens.

Praxistipp:

Auch wenn der EuGH im Fall „Planet49“ zur Frage der Einwilligung durch Browsereinstellung nicht ausdrücklich Stellung genommen hat, ist es im Hinblick auf die Abmahnungen in der Praxis dort, wo eine Einwilligung notwendig ist, voraussichtlich sicherer und auch einfacher, über ein Pop-up-Fenster gleich mit einer ausdrücklichen Einwilligung zu arbeiten und nicht auf die Hilfskonstruktion der schlüssigen Einwilligung durch die Browsereinstellung zurückzugreifen.

Insbesondere bei „Third Party Cookies“, bei denen es zu einer Offenlegung an Dritte kommt, ist die Einholung einer formalen Einwilligungserklärung vor der Datenverarbeitung zu empfehlen.

Checkliste für die Einwilligung in Cookies

  • Information, welche Arten von Cookies eingesetzt werden
  • Information bezüglich der Funktionsdauer der Cookies und ob Dritte Zugriff auf Cookies haben („Third Party Cookies“; Kurzinformation am besten bereits im Einwilligungs-Fenster)
  • Aktiver Einwilligung (Opt In)
  • Einwilligung für jedes Cookie (bzw für jeden Verarbeitungszweck) gesondert einholen (um dem Koppelungsverbot zu entsprechen)
  • Cookies erst nach aktiver Einwilligung laden
  • keine vorangekreuzten Kästchen verwenden
  • Hinweis in der Datenschutzerklärung, dass die Einwilligung widerrufen werden kann (Opt Out)
  • Webseitennutzung auch ohne (einwilligungspflichtige) Cookies anbieten (damit die Einwilligung iSd DSGVO freiwillig ist; Koppelungsverbot)
  • zur Datenschutzerklärung (Informationspflicht nach DSGVO) verlinken
  • Cookies in der Datenschutzerklärung berücksichtigen und Wirkungsweise verständlich beschreiben

Hinweise:
Es handelt sich bei der Checkliste um eine unverbindliche Empfehlung im Sinne eines „Best Practice“ zur möglichst weitgehenden Vermeidung von Abmahnungen. Die Variante der Einwilligung über die Browser-Einstellung ist daher nicht enthalten.

Für Cookies, die für die Nutzung der Dienste der Webseite notwendig sind, ist eine Einwilligung nicht erforderlich. Dennoch muss durch eine entsprechende Information im Pop-Up-Fenster (Kurzinfo) und in der Datenschutzerklärung (genaue verständliche Beschreibung) hingewiesen werden.

Stand: