Cookies – müssen wir sie immer annehmen?

Update vom 10.02.2021 

Der Begriff Cookies hat seit der Digitalisierung und vor allem seit der DSGVO eine ganz andere Bedeutung, als die ursprüngliche Übersetzung aus dem Englischen (deutsch: Kekse) erhalten. Die „digitalen Cookies“ schmecken leider nicht jedem und so kam es vor dem Europäischem Gerichtshof (EuGH) zum Streitfall zwischen dem Verbraucherzentrale Bundesband und dem Gewinnspielanbieter Planet49. Wie der EuGH im Fall von Planet49 entschieden hat, welche Linie die Aufsichtsbehörde in Deutschland gegen Google Analytics fahren und welche Folgen daraus für Sie entstehen könnten, erfahren Sie in diesem Beitrag.

Was sind Cookies und wofür werden sie benötigt?

Cookies im Internet speichern Nutzerverhalten, wie Informationen zum Surfverhalten, auf der Festplatte des Betroffenen. Diese Speicherung wird dann aktiv, wenn man erneut auf die Website kommt und Daten der betroffenen Person schnell wiedererkannt und für Werbung etc. gezielt genutzt werden können.

Wie lautete der Streitfall am EuGH?

Bei dem Fall zwischen dem Verbraucherzentrale Bundesband und dem Gewinnspielanbieter Planet49 ging es um die Voreinstellung der Anwendung von Cookies auf der Website. Hierbei nutzte der Anbieter auf der Anmeldeseite des Gewinnspiels ein bereits aktiviertes Kästchen, sodass die Betroffenen automatisch der Anwendung von Cookies einwilligten. Dieser Haken konnte natürlich deaktiviert werden, dennoch hielt die Verbraucherzentrale dieses Vorgehen für unzulässig, da dem Gewinnspielteilnehmende keine freie Wahl gelassen wurde. Als rechtliche Basis bezog sich der Fall auf den Art. 5 Abs. 3 der „ePrivacy-Richtlinie“.

Wie hat der EuGH entschieden?

Der EuGH stimmte den Ausführungen der Verbraucherzentrale zu und entschied am 01.10.19 darüber, dass die Einwilligung durch ein voreingestelltes Ankreuzkästchen zur Verwendung von Cookies nicht wirksam ist. Der Grund hierfür ist, dass Betroffene bei jedem möglichen Eingriff in die eigene Privatsphäre geschützt werden sollen. Dies ist durch eine Voreinstellung der Einwilligung nicht gegeben. Laut DSGVO wird zur Einwilligung insbesondere ein aktives Verhalten vorausgesetzt, welches die Entscheidung des EuGHs zusätzlich stützt. Das Urteil bezieht sich nicht nur auf personenbezogene Daten, sondern auf sämtliche Informationen, die auf dem Endgerät des Betroffenen gespeichert werden.

Welche Folgen hat das Urteil nun?

Zusätzlich zu der Nichtaktivierung des Zustimmungskästchens, muss der Betroffene auf Informationen zum Datenverarbeiter zugreifen können. Laut EuGH ist die Verarbeitung nach Treu und Glaube (vgl. DSGVO Art. 5 Abs. 1 li. a) rechtskonform, wenn folgende Informationen ersichtlich sind:

  • Wer ist der verantwortliche Datenverarbeiter?
  • Welchen Zweck erfüllt die Datenverarbeitung?
  • Zusätzliche Informationen wie Empfänger oder Kategorien der Empfänger der Daten, wenn diese notwendig sind.
  • Wie lange sind die Cookies gespeichert?
  • Haben Dritte Zugriff auf diese Cookies?

Auch der Bundesgerichtshof entschied für den Antrag und entschied, dass Unternehmen die eigenen Werbemaßnahmen am Urteil orientieren müssen und eine aktive Zustimmung der Cookies von Nöten sei.

Was geschieht mit Google Analytics?

Einer der größten Anbieter von Auswertungen personenbezogener Daten ist das das Tool „Google Analytics“. Hierbei können auf Basis der gesammelten Daten nicht nur gezielte Analysen erstellt werden, sondern auch passgenaue Werbungen geschaltet werden. Das dieses (und auch andere Tools) datenschutzrechtlich immer wieder auf die Probe gestellt wird, verwundert nicht. So gaben die Aufsichtsbehörden der einzelnen Bundesländer gesammelt eine Pressemitteilung an Unternehmen und öffentliche Stellen raus, um diese aufzufordern Google Analytics und andere Tracking Angebote nicht ohne Einwilligung einzusetzen.

An dieser Stelle sieht es nach einer Art Vorwarnung aus und nicht nach einem förmlichen Beschluss. Das Manko dieser Mitteilung ist aus unserer Sicht, dass von einer Pauschalität und sämtlichen Tracking-Angeboten (teilweise gezielt von Google Analytics als einer der größten Anbieter) gesprochen wird, ohne dass auf die Vielzahl an Einstellungen und Konfigurationsmöglichkeiten der Tools hingewiesen wird. Hierbei stehen einige Auswahlmöglichkeiten zur Verfügung, wodurch Tracking-Tools nach momentaner Gesetzeslage ohne Frage eingesetzt werden darf.

Allerdings erschien ein Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, welcher mehr Aufschluss über den Einsatz von Google Analytics im nicht-öffentlichen Bereich gibt. Hierbei wird die missverständliche Erläuterung von Google, dass Nutzungsdaten keine “personenidentifizierbaren Informationen” seien, definitiv angezweifelt. Die Datenschutzaufsichtsbehörden weisen darauf hin, dass es sich bei verarbeiteten Daten von Google Analytics um personenbezogene Daten im Sinne der DSGVO handelt. Durch die Vielzahl an Anwendungsmöglichkeiten von Google Analytics, gab die Konferenz auch Aufschluss über die Verantwortlichkeiten. Ist Google nur Auftragsverarbeiter oder Verantwortlicher? Da Google für bestimmte Verarbeitungsprozesse die Daten auch für eigene Zwecke, insbesondere für Webanalyse und Trackingdienste, nutzt und unter der Berücksichtigung der aktuellen Rechtsprechung des EuGH, sind Google und der Google-Analystics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass der Artikel 26 DSGVO Beachtung benötigt.

Um einen Blick auf die Rechtsgrundlage zu werfen und über die nötige Form der Einwilligung zu entscheiden, ist sich die Konferenz einig geworden, dass der Einsatz von Google Analytics sich in der Regel nicht auf Art.6 Abs. 1 lit. b) berufen lässt, da die Vertragserfüllung zwischen Website-Betreiber und Nutzer unabhängig von Google Analytics stattfinden kann. Hinzu kommt, dass bei dem Einsatz der Tools das Interesse, die Grundrechte und Grundfreiheiten der Nutzer über die der Website-Betreibenden überwiegt, da durch die Anpassung und die Trackingtools, das Nutzungsverhalten auf die Personen zugeschnitten werden können. Insbesondere rechnet der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden. Aus diesen Gründen kommt die DSK zu dem Entschluss, dass der rechtmäßige Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden möglich.

Empfehlung von LITC

Das LITC empfiehlt Ihnen Ihre Cookie-Einstellung auf der Website zu überprüfen. Wie werden Betroffene momentan auf Cookies hingewiesen und welche Informationen erhalten sie bereits. Prüfen Sie anschließend, welche Art von Cookies abgefragt werden. Sind diese unbedingt notwendig, um die Dienstleistung auf der Website zu erfüllen (z. B. Sessioncookies für den Bestellvorgang)? Sollten diese notwendig sein, wird keine Einwilligung benötigt.

Prüfen Sie anschließend andere Cookies, wie Persistent-Cookies. Welche werden unbedingt benötigt und für welche Cookies bedarf es eine wirksame Einwilligung? Sollte es einer Einwilligung bedürfen, informieren Sie bitte Ihre Besucher über den Zweck der Cookies und den Datenempfänger, bevor dieser aktiv den Cookies zustimmt.

Zusätzlich prüfen Sie bitte Alternativen von Google Analytics, falls Sie gar nicht alle Funktionen dieses Tools nutzen müssen, um Ihre Website zu analysieren. Hierbei gibt es am markt bereits einige Tools, die ohne Cookies auskommen und ausreichende Statistiken liefern. Wir vermuten, dass die Aufsichtsbehörden noch stärker gegen Google Analytics vorgehen werden, und es dann zu Bußgeldern oder weiteren Einschränkungen kommen wird.

Weiterführende Quellen:

Blogbeitrag auf Datenschutz-Guru.de

Artikel auf Zeit.de

Blogbeitrag auf Diercks Digital Recht

Blogbeitrag auf Community Beck

Blogbeitrag auf datenschutz-generator.de

 Blogbeitrag auf Datenschutz-guru.de

Sie haben noch Fragen zu dem Urteil des EuGHs? Benötigen Sie noch Unterstützung oder eine Beratung zur Cookie-Einstellung auf Ihrer Website? Melden Sie sich gerne bei uns. Schreiben Sie uns einfach eine E-Mail: info@litc.de