von Dipl.-Jur. Niklas Mühleis, LL.M.
Der Europäische Gerichtshof hat eine mit Spannung erwartete Entscheidung zu Cookies auf Websiten und der Notwendigkeit einer Zustimmung gefällt. Die Entscheidung könnte nun den ersten Cookie-Abmahnungen der Weg ebnen.
Ab sofort dürfen Webseiten Cookies nur noch dann auf dem Rechner der Besucher speichern, wenn diese der Speicherung ausdrücklich zugestimmt haben. Bislang ist Deutschland mit den nationalen Regelungen des Telemediengesetzes (TMG) einen Sonderweg gegangen. Hiernach durften Cookies auch dann gespeichert werden, solange die Nutzer nach § 15 III TMG über sein Widerrufsrecht informiert wurden.
Anlass für die Entscheidung des EuGH war eine Anfrage des Bundesgerichtshofes. Dieser hatte den Europäischen Gerichtshof angerufen, um zu überprüfen, ob die deutsche Rechtslage noch mit europäischen Recht vereinbar sei. Auf der europäischen Ebene hat sich schließlich in den letzten Jahren eine ganze Menge getan. So hat der Datenschutz in Europa durch die Datenschutzgrundverordnung (DSGVO) eine ganz neue Qualität gewonnen. Einer der Grundsätze der DSGVO ist immerhin, dass personenbezogene Daten stets nur mit Zustimmung der betroffenen verarbeitet werden dürfen.
Die Luxemburger Richter mussten also unter anderem über die Frage entscheiden, ob es sich bei Cookies lediglich um pseudonymisierte Daten ohne Personenbezug oder um personenbezogene Daten handele. In letzterem Fall würde die DSGVO greifen. Wenig überraschend entschied sich das Gericht dafür, dass auch Cookies personenbezogene Daten darstellen. Daraus ergeben sich für Website-Betreiber und Nutzer weitreichende Folgen.
Neue Pflichten für Websitebetreiber
Zum einen müssen die allermeisten deutschen Websites hinsichtlich ihrer Cookie-Zustimmungen angepasst werden. Nutzern muss es demnach möglich sein jedem einzelnen Cookie zuzustimmen anstelle lediglich über die Erhebung informiert zu werden. Zudem sind vorangekreuzte Kästchen nicht länger rechtskonform.
Weiterhin müssen Websitebesuchern Informationen bezüglich der gespeicherten Daten, also unter anderem zu Funktion, Speicherdauer und Zugriffsmöglichkeiten Dritter, erhalten. Zusammengefasst bedeutet dies, dass Nutzer Cookies nur dann in zulässiger Weise zugestimmt haben, wenn sie über die Verwendung umfänglich informiert wurden und überdies damit explizit einverstanden gewesen sind. Die technische Umsetzung dessen dürfte für nicht wenige Website-Betreiber ein Problem darstellen.
Abmahnungen und Bußgelder nach DSGVO möglich
Zum anderen hat die Anwendbarkeit der DSGVO zur Folge, dass Verstöße aufgrund von rechtswidrig gesetzten Cookies in Zukunft abmahnbar und bußgeldfähig sein können. Eines der schärfsten Schwerter der DSGVO ist die Möglichkeit Bußgelder bei Datenschutzverstößen zu verhängen. Auch in Deutschland bereits zahlreiche Fälle von verhängten Bußgeldern gegeben. Da es sich laut EuGH bei Cookies um personenbezogene Daten handelt, sind auch hier bei Verstößen nun Bußgelder möglich.
Die Entscheidung des EuGH dürfte jedoch auch der Abmahn-Diskussion um die DSGVO neuen Wind verleihen. Bislang ist sich die deutsche Gerichtsbarkeit noch nicht einig, ob DSGVO-Verstöße abmahnbar sind. So wurde hierzu seit dem Inkrafttreten der neuen Datenschutzregeln sehr unterschiedlich geurteilt. Während beispielsweise das Landgericht Bochum sich gegen eine Abmahnbarkeit von Datenschutzverstößen entschied, urteilte das Landgericht Würzburg genau entgegengesetzt.
Es ist zu erwarten ist, dass einige der oftmals ohnehin schon überforderten Website-Betreiber die neuen Vorgaben aus Luxemburg nicht in angemessener Zeit umsetzen werden können. Von daher wird es aller Wahrscheinlichkeit nach auch bald die erste Abmahnung aufgrund von nicht rechtskonform gesetzten Cookies geben. Um dem zu entgehen kann einzig die zeitnahe Anpassung der eigenen Website an die Entscheidung des EuGH empfohlen werden.