Regulierung 4.0: EuGH zur Einwilligung für Cookies
Der Europäische Gerichtshof hat erneut zum Thema Cookies entschieden. Cookies sind kleine Dateien, die zum Beispiel von einer Unternehmenswebseite auf dem Endgerät eines Besuchers gespeichert werden. Es kann sich hierbei um technische Cookies handeln (beispielsweise Sprachewahl des angemeldeten Benutzers), Analyse-Cookies oder Cookies von Drittanbietern wie Werbepartnern, Facebook oder Google.


Entgegen den allgemeinen Schlagzeilen hat der EuGH nicht entschieden, dass für jeden Cookie eine Einwilligung erforderlich ist. Dies gilt nach ersten Meinungen zu dem Urteil, die vom Hamburg@work-Mitglied Dr. Oliver Giessler, Fachanwalt für IT-Recht bei Hammerstein und Partner, bestätigt werden, nur für solche Cookies, die nicht „unbedingt erforderlich“ sind. „Unbedingt erforderlich“ können Cookies sein, welche den Zugriff auf eine Webseite steuern oder für einen Warenkorb erforderlich sind. Wie üblich liegt der Teufel im Detail und nicht „unbedingt erforderlich“ dürften alle sogenannten Tracking-Cookies für Werbezwecke sein.

Was bedeutet das? Gleich, ob Unternehmen nur „unbedingt erforderliche“ Cookies einsetzen oder auch Cookies, für die eine Einwilligung einzuholen ist, es müssen mindestens die Datenschutzhinweise nach den neuen Vorgaben des EuGH überarbeitet werden. Dies gilt entgegen den Schlagzeilen nicht nur für Cookies, sondern immer, wenn Informationen aus dem Endgerät des Nutzers ausgelesen werden (zum Beispiel beim sogenannten Fingerprinting eines Browsers oder Auslesen der Werbe-ID eines Smartphones). Und es kommt auch nicht darauf an, ob mit dem Cookie personenbezogene Daten verarbeitet werden, sondern jeder nicht unbedingt erforderliche Cookie bedarf der Einwilligung. 

Wenn nicht unbedingt erforderliche Cookies zum Einsatz kommen, ist nach den Vorgaben des EuGH die Einwilligung der Betroffenen einzuholen. Jeder kennt die „beliebten“ Cookiebars auf den Webseiten. Die werden nun auch unbedingt benötigt! Und Achtung: Einwilligung heißt nicht „Mit dem Besuch unserer Webseite sind Sie damit einverstanden“ und Variationen hiervon. Erforderlich ist eine bewusste Einwilligung durch einen Klick. Details wie die Fragen „Muss die Einwilligung für jeden Cookie einzeln erklärt werden? Kann ich Cookie-Arten (zum Beispiel unter Werbung oder Analyse) zusammenfassen?“ bleiben jedoch noch ungeklärt. Aber diese Unsicherheit haben wir zurzeit im Datenschutz ja recht häufig und es geht trotzdem weiter. 

Vor diesem Hintergrund stellt Dr. Oliver Gießler, Fachanwalt für IT-Recht und Platin-Mitglied bei Hamburg@work, seine Expertise zur Verfügung:
Bitte melden Sie sich, damit wir die erforderlichen Anpassungen umsetzen können. Bitte klären Sie hierfür vorab, welche Cookies etc. von Ihren Webseiten oder Apps eingesetzt werden, welchem Zweck sie dienen, von wem sie stammen, welche Daten damit verarbeitet werden, wer die Daten erhält und wie lange das Cookie gespeichert wird. Bitte seien Sie darauf vorbereitet, dass gerade für Werbecookies Informationen fehlen werden. Die Werbeindustrie ist auch schon entsprechend am Jammern und Klagen, muss sich aber langsam mit dem Gedanken anfreunden, dass Gesetze auch durchgesetzt werden und die eigenen Lösungen den Gesetzen genügen sollten.

Dr. Oliver Gießler
Fachanwalt für IT-Recht
Hammerstein und Partner Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB
Caffamacherreihe 5
20355 Hamburg
Telefon: +49 (40) 357 66 20
E-Mail: giessler@hanselaw.de