- Der EuGH entschied, dass technische Cookies ohne Cookie-Banner verwendet werden können.
- Eine qualifizierte Einwilligung ist für nicht technische Cookies erforderlich.
- Die Regelungen der EU-Richtlinie 2002/58/EG gelten nun auch in Deutschland.
- Für technische Cookies ist keine informative Einwilligung notwendig, aber sie müssen in der Datenschutzerklärung erwähnt werden.
- Unklarheiten bestehen über die Notwendigkeit bestimmter Cookies für den Betrieb einer Webseite.
- Eine klare Botschaft kann potenzielle Abmahner abschrecken.
- Die Auslegung der Regeln könnte zu Rechtsunsicherheiten und Abmahnungen führen.
Gerade erst hat der EuGH zum Thema Cookies im Verfahren rund um Planet49 entschieden (siehe diesen Beitrag). Wegen dieses Verfahrens und meinem Post habe ich einige Rückfragen von Mandanten erhalten und konnte diese natürlich beraten. Da eine Rückfrage aber relativ oft aufkam, möchte ich diese kurz im Rahmen dieses Beitrages beantworten.
Es geht darum, ob bei der reinen Verwendung technischer Cookies, wie beispielsweise das PHP-Session Cookie auch ein Cookie-Banner auf der Seite angezeigt werden muss. Und die Antwort ist „Nein, muss man wohl nicht, aber…“.
Auch wenn aktuell vom EuGH einige Punkte geklärt wurde, beispielsweise die Verbindung von Gewinnspielen und dem Setzen von Cookies, so bleiben auch einige Fragen ungeklärt. Viele Fragen musste der EuGH nicht klären, da diese nicht Teil der Vorlage an den Gerichtshof waren. Klar ist jedoch, dass der deutsche Sonderweg über das TMG nun Geschichte ist und daher die reine Aufklärung über nicht technische Cookies nicht ausreicht. Es braucht eine qualifizierte Einwilligung zum Setzen von Cookies für nicht technische Cookies. Europaweit galt dies schon lange und nun ist wohl auch für „Deutsche“ im Prinzip die Regeln aus Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG gelten, auch wenn es sich hier, rein formal, nur um eine Richtlinie und nicht um eine Verordnung handelt.
Denn danach gilt, dass Deutschland sicherstellen müsste, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.
Auf Cookies muss also hingewiesen werden, man muss deren Speicherung verweigern können und wenn man der Speicherung zustimmt, muss umfassend über die Inhalte der Cookies informiert werden. Bei mir findet das auf der Cookie-Richtlinien Seite statt.
Für technische Cookies wiederum gilt dies nach aktueller Rechtsmeinung wohl nicht, denn die obere Regel soll nach der Norm einer technischen Speicherung oder dem Zugang nicht entgegen(stehen), wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Die bedeutet daher, dass über das Setzen von technischen Cookies auch nicht informiert werden muss. Aus Datenschutzgründen muss über die Speicherung aber natürlich in der Datenschutzerklärung informiert werden, denn – so unsinnig ich es persönlich halte – die allgemeine Rechtsmeinung geht dahin, dass auch eine simple IP-Adresse personenbezogene Daten sind und auch bei technischen Cookies werden personenbezogene Daten in den Cookies und folgerichtig auch in den Datenbanken der Webseiten oder in den Cache-Dateien von PHP, Wordpress etc. gespeichert. Das Cookie-Banner kann man sich dann aber sparen, erst recht natürlich ein Consent-Banner, die meist auch nur über kostenpflichtige Plugins wirklich gut realisierbar sind.
Aber. Die Krux kann eventuell im Detail liegen, denn im Grundsatz ist zwar definiert, was ein Cookie-Banner ist, aber die Auslegung der Norm kann natürlich Abgrenzungsschwierigkeiten machen. Ist ein Cookie, der sich Sprachen auf einer Webseite automatisch merkt wirklich ZWINGEND für den Betrieb einer Webseite? Ist ein Cookie, der Suchpräferenzen speichert wirklich ZWINGEND? Oder ein Cookie, der Dateneingaben beim Einkauf in einem Shop vereinfacht? Das ist schwer zu sagen und könnte im Zweifel zu Abmahnungen führen und Schadensersatzansprüche führen, wenn Gerichte dies vielleicht doch irgendwann anders sehen. Hier sind noch zahlreiche Details im Zweifel zu entscheiden. Nicht zu vernachlässigen ist auch der Nerv-Faktor, eventuell eine Abmahnung zu riskieren, weil ein Abmahnverein merkt, dass eine Webseite Cookies setzt (der Browser zeigt dies ja an), aber keinerlei Cookie-Banner vorhanden ist. Selbst wenn man letzten Endes ein Gerichtsverfahren gewinnt, muss man sich fragen, ob es den Zeitaufwand wert war.
Eine Alternative wäre daher folgender deutlicher Hinweis:
Auf unserer Seite werden nur technische Cookies benutzt. Dabei werden keine personenbezogene Daten verarbeitet. Da das Setzen dieser Cookies für die Erbringung der ordnungsgemäßen Darstellung dieser Webseite technisch zwingend ist, ist eine explizite Zustimmung Ihrerseits nicht vorgeschrieben. Die Details auch der technischen Cookies finden Sie in unserer Datenschutzrechtlinie/Cookie-Richtline.
Dies dürfte potenzielle Abmahner sicherlich abschrecken.
