Browser

EU-Gericht klickt nervige Cookie-Banner weg

Wegweisender Fall zu Tracking-Cookies: Der Europäische Gerichtshof erklärt vorausgefüllte Zustimmungskästchen für ungültig. Allerdings tracken wohl auch nach dem Urteil viele Websites ihre Besucher:innen, bis Grundfragen zum Datenschutz geklärt sind.

Ceci N'est Pas Un Cookie
So süß kann Datenschutz sein: Ein Glückskeks des Europäischen Datenschutzbeauftragten Gemeinfrei Alexander Fanta/netzpolitik.org

Der Europäische Gerichtshof (EuGH) stärkt die Privatsphäre von Internetnutzer:innen. Das Gericht erklärte in einer heute veröffentlichten Entscheidung, dass Website-Besucher:innen aktiv in die Sammlung ihrer Daten einwilligen müssen. Im Vorhinein gesetzte Häkchen für die Einwilligung in die Datensammlung über Cookies seien nicht wirksam, urteilte der EuGH.

Das Gericht setzte Cookies in dem Urteil eine deutliche Schranke. „Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht“, teilte der EuGH mit. „Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass ‚Hidden Identifiers‘ oder ähnliche Instrumente in sein Gerät eindringen.“

Das EU-Gericht entschied über eine Klage des Bundesverbands der Verbraucherzentralen (vzbv) gegen den Gewinnspielanbieter Planet49. Die Firma hatte sich in ihren Nutzungsbedingungen für ein Gewinnspiel nicht nur das Recht zur Weitergabe von Daten an dutzende Drittfirmen zusichern lassen, sondern das Zustimmungskästchen für Tracking-Cookies vorausgefüllt.

Der Verbraucherverband fragte das Gericht, ob eine solche Einwilligung erlaubt sei. Er wollte außerdem wissen, ob Anbieter ihre Nutzer:innen über die Funktionsdauer eines Cookies und den Zugriff darauf durch Dritte informieren müssen. Das Gericht stellte klar: Das ist der Fall.

Deutschland will auf das Urteil reagieren

Das Urteil hat Auswirkungen für Deutschland: Das Bundeswirtschaftsministerium bereitet eine Änderung des Telemediengesetzes vor. Der Gesetzgeber möchte abgestimmt auf das EuGH-Urteil festlegen, wie deutsche Seitenbetreiber mit Cookies umgehen müssen. Einen Entwurf will das Ministerium noch im Herbst vorlegen.

Die Entscheidung bedeutet aber nicht das Ende des Cookie-Banners. Das Gericht stoppt zwar die Zustimmung per vorangekreuztem Häckchen, Tracking durch Cookies bleibt aber grundsätzlich erlaubt. Das Gleiche gilt für andere Formen, Nutzer:innen im Netz zu verfolgen, etwa Tracking-Pixel, Plug-Ins, Schnittstellen und Browser-Fingerprinting.

Viele Websites erlauben über Cookies Tracking durch Google und Facebook. Eine Untersuchung des Datenschützers Matthias Eberl ergab zuletzt etwa, dass viele deutsche Nachrichtenseiten und Verlagsangebote Daten von Nutzer:innen an Facebook weitergeben.

Abhilfe schaffen kann strengerer Datenschutz. Die EU-Staaten debattieren seit längerem die ePrivacy-Verordnung, die den Schutz der Privatsphäre zur Standardeinstellung machen soll.

Allerdings verschleppen bisher die EU-Mitgliedstaaten im Rat die Reform, sie wollen die Vorschläge des EU-Parlaments verwässern. Um Nutzer:innen im Netz zu schützen, wird es beherzte Schritte der Gesetzgeber brauchen.

9 Ergänzungen
  1. Warum immer so realitätsferne Ansätze …

    wie wäre es, ein verbindliches Protokoll einzuführen, nach dem Cookiezusagen automatisiert vom Browserhersteller abgehandelt aber auch voreingestellt automatisch gesendet werden können?

    Der Browser darf es nicht by default einstellen, darf aber Benutzer fragen, ob das eingestellt werden soll.

    Dann könnte hätte man tatsächlich eine Wahl. Ach so, und noch Pauschal-Jasagen auch für Drittseiten sinnvoll regeln. Vielen Dank Politik für sinnvolle Gestaltung im Bereich… was war es noch gleich … „egal“.

  2. „Der Europäische Gerichtshof (EuGH) stärkt die Privatsphäre von Internetnutzer:innen. Das Gericht erklärte in einer heute veröffentlichten Entscheidung, dass Website-Besucher:innen aktiv in die Sammlung ihrer Daten einwilligen müssen.“

    Nein, genau das hat der EuGH nicht entschieden.

    Bitte belehrt mich eines Besseren, aber:
    Aus der Pressemitteilung:
    Tenor:
    -Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers
    –Ein voreingestelltes Ankreuzkästchen genügt daher nicht“

    Und weiter im Text:
    Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.

    Der EuGH hatte nur und einzig über die (wirksame) Einwilligung zur Verarbeitung von Cookies AUF dem Endgerät zu entscheiden!
    Keine Rede ist von Fingerprinting, keine Entscheidung ist gefallen zu Skripten von Drittanbietern, Logging und geräteabhängigem Scoring ebenso DNT. Letzteres ist nach aktueller Einschätzung der DSBen verpflichtend (Siehe Jahresbericht BlnBDI 2011 – Seite 169) und hier hätte es insgesamt einer letztinstandliche Entscheidung bedurft.

    Dafür fehlt aber auch der VZB das entsprechende Werkzeug. Und genau da liegt das Dilemma. Anstatt sich mit der Gesamtproblematik auseinanderzusetzen ist sie auf jeden Einzelfall beschränkt.

  3. Ich dachte bisher das Cookie Banner diese nervigen Texten, wo die Zustimmung zu den Cookies erzwungen werden, sind. Und die wurden nicht „weg geklickt“ sondern werden jetzt mehr und komplexer.

  4. Auf einer anderen Seite, las ich, dass gar kein Cookie mehr ohne Zustimmung gesetzt werde dürfe. Als nicht-jurist und Seitenbetreiber fühle ich mich da inzwischen absolut unsicher. Wie ist denn künftig die Handhabung von Session Cookies zu bewerkstelligen? Meine Seite ist mehrsprachig und auch die Sprache wird sich via cookie gemerkt.

    Ich versuche möglichst wenige cookies zu setzen (obwohl ich schon gerne wüsste, welche meiner Artikel auch gelesen werden und wo ich meine Seite verbessern kann) aber an manchen Stellen komme ich einfach nicht drum herum.

  5. Also auch ich finde es irgendwie laecherlich, wie die Europaer ueber Zukunftsmedien entscheiden. Jetzt sollen also Millionen Menschen vor einem Webseitenbesuch erst die Datenschutzeinstellungen vornehmen? Jetzt wird die Uebermenge Buerokratie auch noch ins Netz geholt. Grossartig. Eine einfache und naive Idee haette ich. Warum richtet sich die EU Kommission nicht einfach an die Browserhersteller (davon gibt es vielleicht 5 bis 8, deren Browser flaechendeckend benutzt werden) und zwingt die nicht dazu, ihre Browser von Haus aus mit abgestellten Cookies auszuliefern? Jeder, der will, schaltet die Cookie-Funktion dann wieder an, fuer einzelne Seiten oder eben alle.

  6. Absolut schrecklich diese Bürokratisierung des Internets. Da möchte ich am liebsten gleich das Entwicklerhandtuch werfen. Diese plumpe Gesetzgebung und plötzlich Arbeit auftischende Gerichtsurteile machen das Leben unnötig schwer. Wurden bei der Planung von GDPR keine Technologieunternehmen einbezogen oder warum gibts immer nur die erhobene Hand des Gesetzgebers und der Datenschutzokraten? Sie wollen Datenschutz durchsetzen also sollen sies es auch umsetzen. Oder Leute dazuholen für konstruktive Ansätze.

  7. Kürzlich habe ich hier einen kleinen Rant geschrieben. Bisher war mir nicht bewusst, dass die EU-Kommission tatsächlich technologische Unterstützung anbietet, um die Einhaltung der Cookie-Gesetze zu erleichtern. Nun bin ich eher zufällig darauf gestoßen[0]. Mein Rant war also letzten Endes verfehlt. Ein Beigeschmack von Bürokratie bleibt dennoch angesichts des externen Datenschutzbeauftragten, der viele Seiten Formulare ausgefüllt bekommen will ohne dass irgendwas zurückkommt u.a. auch keine Erwähnung des Cookie Consent Kit.

    [0] https://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

  8. Im Grunde kann jeder via Betriebssystem die erweiterten Datenschutz-Einstellungen Cookies von Drittanbietern generell unterbinden, eine entsprechende vorkonfigurierte Einstellung würde hier also enorm Anhilfe schaffen, leider wissen es die meisten Nutzer einfach nicht…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.