Cookie-Urteil: Neue Klarheit, neue Fragen und eine "informationelle Integrität des Endgeräts"
Die Entscheidung des EuGH zu den Cookie-Regeln schafft Klarheit, wirft aber auch neue Fragen auf, meint Rechtsanwalt Dr. Simon Assion.
Die "Cookie-Regeln" gehören zu den wohl unbeliebtesten Regelungen im Europarecht. Kaum eine Webseite, die ihre Besucher nicht mit einem Banner begrüßt, das zunächst entnervt "weggeklickt" werden muss. Warum gibt es diese Banner eigentlich? Das konnten auch Juristen nicht sicher beantworten. Am Dienstag hat der Europäische Gerichtshof (EuGH) mit seiner "Planet49"-Entscheidung allerdings viele Fragen beantwortet.
In der Entscheidung zu "Planet49" ging es um einen deutschen Gewinnspielanbieter, der von den Teilnehmern Werbeeinwilligungen eingeholt hatte – auch zum Setzen von Cookies. Der deutsche Bundesgerichtshof (BGH) nahm das Verfahren dann zum Anlass, dem EuGH drei Fragen vorzulegen, die über den Einzelfall hinaus weitreichende Bedeutung haben. Erstens: Reicht für die Cookie-Einwilligung ein vorausgewähltes Kästchen aus? Zweitens: Spielt es eine Rolle, ob Cookies personenbezogene Daten enthalten? Drittens: Welche Mindestinformationen gehören eigentlich in die "Cookie-Hinweise"?
Der EuGH hat nun entschieden, dass vorausgewählte Kästchen nicht ausreichen. Ob Cookies personenbezogene Daten sind, spielt keine Rolle. Und zu den Mindestinformationen gehören neben der allgemeinen Datenschutzerklärung auch die "Funktionsdauer" der Cookies sowie ein Hinweis, wer konkret Zugriff darauf hat.
Wortlaut von Art. 5 Abs. 3 der ePrivacy-RL gilt
Der EuGH hat damit den Ball zurück an den BGH gespielt und ihm dabei eine recht deutliche Botschaft übermittelt: Die Zeiten des deutschen Sonderwegs sind vorbei. Die Cookie-Regeln müssen europaweit einheitlich angewendet werden. Bisher war dies umstritten gewesen, weil die EU-Regelung (Art. 5 Abs. 3 der ePrivacy-Richtlinie) im deutschen Recht nicht wortlautgetreu umgesetzt worden ist.
Viele Beobachter, einschließlich der deutschen Datenschutzbehörden, sind sogar der Auffassung, der deutsche Gesetzgeber hätte die Cookie-Regelungen überhaupt nicht übernommen. Der BGH sieht das offenbar anders: Laut seinem Vorlagebeschluss plant der Gerichtshof, die Regelungen des deutschen Telemediengesetzes (TMG) so auszulegen, dass sie die ePrivacy-Richtlinie umsetzen. Ein endgültiges Urteil dazu steht allerdings noch aus.
In einer mit Spannung erwarteten Entscheidung legte der Europäische Gerichtshof fest: Webseiten dürfen Cookies nur dann auf dem Rechner der Nutzer speichern, wenn diese ausdrücklich zugestimmt haben. Zudem müssen die Nutzer detailliert informiert werden, wenn die Cookie-Daten an Dritte weitergegeben werden.
Für die Zukunft heißt es also: Ab jetzt "gilt" auch in Deutschland der Wortlaut von Art. 5 Abs. 3 der ePrivacy-Richtlinie. Der Inhalt dieser europarechtlichen Vorschrift ist hierzulande bislang kaum bekannt, was wohl auch für den Wildwuchs rund um die Cookie-Banner verantwortlich ist. Die Regelung differenziert beispielsweise überhaupt nicht zwischen Erstanbieter- und Drittanbieter-Cookies. Die eigentliche Testfrage, die diese Vorschrift stellt, ist: Ist die Speicherung von Informationen im Endgerät, oder ein Zugriff darauf, "unbedingt erforderlich", um dem Nutzer eine von ihm gewünschte digitale Dienstleistung zu erbringen? Falls ja, ist keine Einwilligung erforderlich. Falls nicht, schon. Anders als teilweise berichtet, benötigen in Zukunft also nicht alle Cookies eine Einwilligung. Das gilt nur für solche Cookies, die "nicht unbedingt notwendig" sind.
Welche informationellen Zugriffe auf Endgeräte "unbedingt erforderlich" sind, wird nun zu diskutieren sein. Vieles spricht dafür, als "erforderlich" alle Zugriffe und Cookies anzusehen, die im Interesse des Nutzers sind. Dazu zählen beispielsweise Session-Cookies oder Warenkorb-Cookies. Im März dieses Jahres haben außerdem die deutschen Datenschutzbehörden eine "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien" veröffentlicht, in der sie durchblicken lassen, dass unter bestimmten Voraussetzungen auch Web-Analysedienste legitim sind. Auch die britische Datenschutzbehörde ICO und die französische Datenschutzbehörde haben bereits recht ähnliche Handreichungen zu Cookies veröffentlicht.
Ein neues Rechtsgut: Die informationelle Integrität des Endgeräts
Langfristig wohl die wichtigste Bedeutung des EuGH-Urteils: Die Cookie-Regelungen gelten laut dem Urteil auch dann, wenn es nicht um personenbezogene Daten geht. Damit stellt der EuGH klar, dass ePrivacy eben nicht dasselbe wie Datenschutz ist. Die EU-Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz, die ePrivacy-Richtlinie regelt aber den Schutz der Privatsphäre im digitalen Raum. Dazu gehört unter anderem das Telekommunikationsgeheimnis (Art. 5 Abs. 1 und Abs. 2 der ePrivacy-RL). Und, wie der EuGH nun klargestellt hat, gehört dazu auch der Schutz von Informationen auf dem Endgerät (Art. 5 Abs. 3 der ePrivacy-RL).
Wer sich dabei an das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" erinnert fühlt, das das Bundesverfassungsgericht (BVerfG) 2008 aus der Taufe gehoben hatte, liegt durchaus richtig: Das damals vom BVerfG geschaffene "IT-Grundrecht" und Art. 5 Abs. 3 der ePrivacy-RL schützen letztlich dasselbe, nämlich das Vertrauen der Endnutzer in "ihre" Geräte. Das IT-Grundrecht richtet sich allerdings als Abwehrrecht gegen den Staat, während die ePrivacy-Richtlinie in erster Linie vor Zugriffen durch Private schützt – beispielsweise durch Wirtschaftsunternehmen.
Dass ePrivacy und Datenschutz nicht dasselbe sind, ließ sich zwar recht einfach schon aus dem Wortlaut der einschlägigen EU-Gesetze selbst entnehmen. Dass der BGH dem EuGH dazu trotzdem eine Vorlagefrage gestellt hat, ist symptomatisch dafür, mit wie viel Ungenauigkeit die Diskussion bisher geführt wurde.
Das Urteil des EuGH wird nun alle Beteiligten zwingen, ihre Praxis wieder stärker am Wortlaut des geschriebenen EU-Rechts zu orientieren. In erster Linie gilt das für den deutschen Gesetzgeber: Das federführende Bundeswirtschaftsministerium hat bereits angekündigt, nun umgehend einen Gesetzesentwurf vorzulegen, der das deutsche Telemediengesetz (TMG) an die Vorgaben des EU-Rechts anpasst. Das wird wohl auf die weitgehende Streichung der TMG-Datenschutzregelungen hinauslaufen, denn hier gilt nur noch die DSGVO. Eingeführt werden muss dann aber auch eine (wohl wortlautgenaue) Übernahme von Art. 5 Abs. 3 der ePrivacy-Richtlinie.