Diese digitalen Cookies begegnen jedem Internetnutzer in großer Zahl. Beim Aufruf einer Website werden kleine Dateien auf dem Rechner des Nutzers abgelegt, diese Cookies können der Reichweitenmessung dienen, der Identifikation der Nutzer, der Erstellung von Werbeprofilen, aber auch ganz praktische Funktionen übernehmen wie die Speicherung eines Warenkorbes oder des Inhaltes eines Formulars auch wenn man die Seite geschlossen hat. Bisher wurden die Nutzer meist über sogenannte Cookiebanner, kleine Einblendungen oder extra Fenster auf der Webseite, über die Verwendung solcher Cookies informiert.
 
Detaillierte Informationspflicht
Mit dem Urteil des EuGHs vom 01.10.2019 ist klar das an den meisten dieser Banner Anpassungen vorgenommen werden müssen, denn das Gericht hat mit seiner Entscheidung einen deutschen Sonderweg beendet. Das Gericht in Luxemburg hat klargestellt, dass Cookies nur dann auf dem Rechner der Nutzer gespeichert werden dürfen, wenn diese detailliert informiert wurden. Die Mindestinformationen umfassen dabei neben der allgemeinen Datenschutzerklärung auch die Speicherdauer des Cookies auf dem Rechner des Nutzers sowie die Information, an wen die, durch die Cookies gewonnen, Daten weitergegeben werden. Darüber hinaus muss ausdrücklich in die Nutzung von Cookies zugestimmt werden, voreingestellte Häkchen oder die bloße Information, dass Cookies verwendet werden, reichen hierzu nicht aus.

Die einzige Ausnahme von diesen Vorschriften sieht das Gericht nur im Fall des Einsatzes von Cookies welche „unbedingt erforderlich“ sind, um dem Nutzer zum Beispiel eine von ihm gewünschte digitale Dienstleistung zu erbringen. Darunter wird man wohl vor allem die Funktionscookies zu Warenkörben oder Formularinhalten verstehen müssen. Bislang ließ das deutsche Telemediengesetz die Nutzung von Cookies auch dann zu, wenn die Nutzer nur informiert werden.
 
Explizite Zustimmung zur Datenverarbeitung nötig
Insgesamt zogen sich die Verhandlungen über sechs Jahre zunächst vor deutschen Gerichten hin und mündeten schließlich in der Anfrage des Bundesgerichtshofes beim EuGH, ob die deutsche Gesetzeslage noch europäischem Recht entspreche. Dass es sich bei Cookies nur um pseudonymisierte Daten handelt und ein Bezug zu einer konkreten Person damit nicht möglich ist ließ der EuGH nicht gelten. Selbst ohne Personenbezug müsse die explizite Zustimmung zur Datenverarbeitung erteilt werden. „Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass ‚Hidden Identifiers‘ oder ähnliche Instrumente in sein Gerät eindringen“, so der EuGH in der Mitteilung des Gerichts. Ursprünglich hätte Deutschland die Vorgaben aus Europa bis 2011 umsetzen müssen, interpretierte die Richtlinie aber zu großzügig, ein Sonderweg der vor deutschen Gerichten bisher nicht beanstandet wurde. Durch die Einführung der Datenschutzgrundverordnung hat sich dies verändert. Parallel zur DSGVO sollte eine neue E-Privacy- Verordnung als Nachfolger der E-Privacy- Richtlinie wirksam werden. In dieser Verordnung sollten spezifische Datenschutzvorgaben für eine Datenverarbeitung im Internet geregelt werden. Die Verabschiedung dieser EU-Verordnung ist mittlerweile, auch am Widerstand der deutschen Bundesregierung, gescheitert. Damit gilt weiterhin die E-Privacy- Richtlinie von 2002.
 
Folgen des Urteils
Die Folge des Urteils wird in den meisten Fällen ein Umbau der bisherigen Cookie-Banner sein. Zum einen müssen Nutzer über den Umfang der genutzten Cookies informiert werden, zum anderen aktiv ihre Einwilligung erklären. Dabei sind die Voraussetzungen unter welchen die Nutzerzustimmung ihre Gültigkeit erfährt weiterhin umstritten. Aus datenschutzrechtlicher Sicht interessant ist, dass der EuGH klarstellte, dass e-Privacy nicht dasselbe wie Datenschutz ist und daher die Cookie-Regelungen auch dann gelten, wenn es sich nicht um personenbezogenen Daten handelt. Die DSGVO regelt den Datenschutz, während die e-Privacy Richtlinie dagegen den Schutz der Privatsphäre im digitalen Raum zum Ziel hat. Auf diesen Schutz von Informationen auf Endgeräten nach Art. 5 Abs. 3 der Richtlinie stützt der EuGH sein Urteil. Dies erinnert sehr an das, durch das Bundesverfassungsgereicht 2008 abgeleitete, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses Grundrecht und der Art. 5 Abs. 3 der e-Privacy Richtlinie schützen letztlich beide das Vertrauen der Nutzer in Ihre Endgeräte. In der Folge des Urteils wird nun der deutsche Gesetzgeber gezwungen sein das Telemediengesetz an die Vorgaben des EU-Rechts anzupassen und den Art. 5 Abs. 3 der e-Privacy Richtlinie zu in deutsches Recht zu übernehmen. Viele Betreiber von Webseiten werden Ihre Cookie-Banner durch rechtskonforme Cookie Einwilligungs-Banner ersetzen müssen oder auf den Einsatz der kleinen Helfer verzichten müssen.