EuGH-Urteil: Einwilligung für Cookies wird Pflicht
Durch einen Cookie hat ein Internetserver in der Form einer kleinen Textdatei die Möglichkeit, einen früheren Besucher der Homepage wiederzuerkennen. Hat der Anwender auf der Webseite bestimmte Einstellungen vorgenommen, werden diese durch die Textdateien auf dem Webserver gespeichert und beim nächsten Besuch wieder abgerufen. So kann sich bei dem Aufruf einer verschlüsselten Seite eine erneute Anmeldung erübrigen.
Der Einsatz der Textdatei – und die damit verbundene Speicherung persönlicher Daten – wird nicht von allen Seiten positiv aufgenommen. Weil mit einem Cookie das Nutzer-und Surfverhalten der Anwender nachvollzogen werden kann, haben viele Befürworter des Datenschutzes bei deren Einsatz einen klaren Verstoß gegen die seit dem letzten Jahr bestehende DSGVO gesehen.
Die aktuelle Regelung in Deutschland
Lange vor Einführung der DSGVO hatte der deutsche Gesetzgeber im Telemediengesetz geregelt, dass die Speicherung von Cookies zulässig ist, wenn die Anwender ausreichend darüber informiert werden. Bislang war man bei gesetzgebender Stelle davon ausgegangen, dass dem Datenschutz damit genügend Rechnung getragen wurde, weil der Einsatz der Textdatei keinen persönlichen Bezug zu einer konkreten Person darstellen würde.
Nach Einführung der E-Privacy-Verordnung hat der Bundesgerichtshof sich an den EUGH gewandt. In Karlsruhe wollte man wissen, ob die deutsche Gesetzeslage noch mit den Bestimmungen der GDPR übereinstimmte. Anlass war ein seit mehren Jahren andauerndes Verfahren über den zulässigen Einsatz von Cookies.
Die Entscheidung des EUGH
Der EUGH hat sich zu dem Sachverhalt geäußert und den von der deutschen Regierung eingeschlagenen Sonderweg für nicht rechtmäßig erklärt. Nach Ansicht der Richter in Luxemburg ist die momentane Regelung nicht mit den Vorschriften der GDPR vereinbar. Wer als Nutzer im Internet surft und eine Homepage besucht, müsse selber aktiv das Häkchen zur Einwilligung zur Speicherung seiner persönlichen Daten setzen können. Die bisher geltende Regelung mit der Voreinstellung der Cookies wurde vom EUGH für unzulässig erklärt.
Im Gegensatz zum deutschen Gesetzgeber sieht der EUGH den Bezug zum Besucher einer Homepage, wenn die Verwendung von Cookies voreingestellt ist und der Nutzer diese Angabe nur noch zu bestätigen brauche. Zur richtigen Auslegung der E-Privacy-Verordnung mahnten die Richter an, dass der Anwender selbst dann nach seiner Zustimmung gefragt werden müsse, wenn es sich nicht um seine persönlichen Daten handelt, die gespeichert werden sollen. Zur Begründung führte der EUGH in einer Stellungnahme aus, dass der Nutzer vor jedem Eingriff in seinen privaten Bereich geschützt werden müsse.