to the point.

High efficiency. With a team of specialists.

Das Cookie-Urteil – Informations- und aktive Zustimmungspflicht (EuGH C-673/17)

Cookies sind fester Bestandteil des Internets und dienen den Webseitenbetreibern u.a. dazu, Nutzer wiederzuerkennen und zielgerichtete Werbung zu ermöglichen. Bis Ende 2011 konnten Cookies ohne Wissen des Users verwendet werden. Seit Umsetzung der Richtlinie 2009/136/EG in § 96 Abs 3 Telekommunikationsgesetz (TKG) ist dies nicht mehr zulässig. Webseitenbetreiber werden dazu verpflichtet, User umfassend über die Verwendung von Cookies zu informieren und vor dem Einsatz der Cookies die Zustimmung des Users einzuholen. Im Falle der Nichtbefolgung kann eine Verwaltungsstrafe von bis zu EUR 37.000,00 verhängt werden.

Die DSGVO legt abermals fest, dass die Verarbeitung von personenbezogenen Daten nur möglich ist, wenn eine diesbezügliche Einwilligung der betroffenen Person vorliegt.

Der bis dahin gängigen Praxis, die User in einer Fußnote oder im Impressum über die Verwendung von Cookies zu informieren, wurde damit ein Riegel vorgeschoben. Vor diesem Hintergrund griffen viele Webseitenbetreiber um die Einwilligung der User einzuholen zur sog. „Opt-Out“ Methode. Man informiert den User mittels eines „Cookie-Banners“ über die Verwendung von Cookies und gibt ihm die Möglichkeit, dieser auf irgendeine Weise zu widersprechen.

Nun hat der EuGH in Rs. C-673/17 entschieden, dass die Zustimmung des Users ausdrücklich erfolgen muss. Die „Opt-Out“ Methode kommt sohin nicht mehr in Frage. Ein „Cookie-Banner“, das weggeklickt oder stehen gelassen werden kann, ist als Zustimmung nicht ausreichend, der User muss aktiv der Verwendung von Cookies zustimmen. Auch vorausgewählte Zustimmungsfelder sind keine ausreichend aktive Zustimmung, da diese – laut dem EuGH – keine Auskunft über den Willen des Users geben und ebenso übersehen werden können. Bis zu dieser Zustimmung dürfen keine Cookies am Endgerät des Users abgelegt werden.

Von dieser ausdrücklichen Zustimmungspflicht werden Marketing- und Tracking-Cookies erfasst, wobei es keinen Unterschied macht, ob diese personenbezogene Daten oder anonyme Daten speichern. Zustimmungsfrei bleiben die erforderlichen First Party Cookies, etwa Warenkorb-Cookies oder Cookies für Logins.

Der EuGH hat weiters auch ausgesprochen, dass der User Informationen über die Funktionsdauer der Zugriffsrechte Dritter auf die durch Cookies gespeicherten Daten erhalten muss. Diese Informationspflichten treten zu den bereits bestehenden Informationspflichten des Art 10 Richtlinie 95/46/EG hinzu.