Heute hat es eine bemerkenswerte Entscheidung des Europäischen Gerichtshofes zum Thema Cookies / "Cookie-Banner" auf Webseiten gegeben. Hintergrund war eine Vorlagefrage des Bundesgerichtshofes, der sich vergewissern wollte, daß die deutsche Rechtslage noch dem europäischen Recht entspräche.
In Deutschland ist (war) es derzeit so, daß eine Einwilligung der Nutzer in das Setzen eines Cookies nicht eingeholt werden muß, soweit die Verwendung des Cookies ordnungsgemäß in der Datenschutzerklärung deklariert wird. Die Regelung im TMG (§ 13) dazu ist älter und allgemeiner gefaßt als die später erlassene europäische Richtlinie, mit der der Gesetzgeber angehalten wurde, den Seitenbetreibern eine Einwilligungspflicht aufzuerlegen, wenn sie den Nutzer mittels sog. "hidden identifiers" verfolgbar machen.
Der deutsche Gesetzgeber hat eine Nachbesserung stets mit Verweis auf die bestehenden Regelungen abgelehnt.
Vor dem Hintergrund der neuen DS-GVO war nun fraglich, ob dies immer noch gilt.
Hintergrund ist auch die Frage, ob Cookies, die zu einer bestimmten IP Bezug nehmen, personenbezogene Daten im Sinne der DS-GVO sind. Früher stand man in Deutschland auf dem Standpunkt, daß es sich um anonymisierte oder zumindest pseudonymisierte Daten handele, die eben nicht personenbezogen sind. Dies ist nach der aktuellen Rechtsprechung aber kaum haltbar, da IPs heute klar als zumindest "personenbeziehbar" angesehen werden und damit ebenfalls der DS-GVO unterfallen.
Dem EuGH ist sogar diese Unterscheidung egal: Es mache "keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht", hieß es in einer Presseerklärung.
Der EuGH sagt nun in all diesen Fällen ziemlich klar, daß eine vom Webseitenbesucher abgefragte Einwilligung erforderlich sei, bevor ein Cookie (oder sonstiges Identifikationsmittel) gesetzt werden darf.
Demnach muß ein Webseitenbesucher wohl auch "nein" anklicken können, um die Webseite ohne das Setzen von Cookies zu besuchen.
Dies stellt ganze Geschäftsmodelle auf den Kopf, da über Cookies heute so vielfältige Dinge wie cross-site-tracking, Warenkörbe, nutzerspezifische Werbung, layout-Voreinstellungen etc. vorgehalten werden.
Viele Seiten bieten bereits heute eine Einstellung, in der nur "technisch notwendige" Cookies akzeptiert werden. Auch hier muß dann die Frage gestattet sein: Technisch notwendig wofür? Fast jegliche Funktion läßt sich auf umständlichem Wege auch technisch anderweitig abbilden, beispielsweise über Zählpixel (wobei auch diese den "hidden identifiers" unterfallen dürften) oder endlose dynamische Zusätze in der URL (die wiederum zu Problemen mit bestimmten Routern und Hubs führen). Ein Cookie kann aber "technisch notwendig" für das entsprechende Geschäftsmodell sein. Ist die Webseite auch in einem solchen Fall "cookiefrei" anzubieten?
Kurzfristig bietet die EuGH-Entscheidung von heute vor allem Fragen, aber nur wenige Lösungen. Ich bin gespannt, wie Webdesigner, Firmen und der Gesetzgeber mit dieser Vorgabe umgehen werden.
Quellen:
Heise-News
Golem News
