EuGH-Urteil zu Cookies: strenge Anforderungen an die aktive Einwilligung („Opt-in“)
1. Oktober 2019: Der EUGH beendet den deutschen „Sonderweg“ und urteilt, dass das Setzen von Cookies eine vorangegangene aktive Einwilligung des Internetnutzers voraussetzt.
Mit Urteil vom 01. Oktober 2019 hat der EuGH in der Sache C‑673/17 im Rahmen einer Vorabentscheidung entschieden, dass das Setzen von Cookies eine vorangegangene aktive Einwilligung des Internetnutzers voraussetzt und im Übrigen sämtliche Voraussetzungen der datenschutzrechtlichen Einwilligung nach Artt. 6 Abs. 1 S. 1 lit. a., 7 DSGVO erfüllen muss. Ein voreingestelltes Häkchen mit der Möglichkeit des so genannten Opt-outs sei nicht ausreichend und zwar unabhängig davon, ob die entsprechenden im Cookie enthaltenen Informationen personenbezogene Daten sind oder nicht. Zudem urteilte der EUGH, dass über die Funktionsdauer des Cookies und den Zugriff Dritter im Rahmen der Informationspflichten nach den Artt. 13 und 14 DSGVO zu informieren ist.
Hintergrund der Vorabentscheidung war ein Ersuchen des Bundesgerichtshofes in einem Verfahren des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen die Planet 49 GmbH. Diese hatte ein Online-Gewinnspiel veranstaltet, bei dem die Einwilligung zum Setzen von Cookies durch ein voreingestelltes Häkchen im Rahmen der Gewinnspielteilnahme erfolgte, wobei die Gewinnspielteilnehmer die Möglichkeit hatten, durch das aktive Entfernen des Häkchens auf die Abgabe der Einwilligung zu verzichten. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hatte die Planet 49 GmbH u.a. aufgrund des Umstandes, dass die Gewinnspielteilnehmer nicht aktiv das Häkchen zur Einwilligung setzen mussten, abgemahnt.
Zur Einordnung der Streitigkeit muss man wissen, dass der deutsche Gesetzgeber im EU-Vergleich einen „Sonderweg“ gegangen ist und die nach Art. 5 Abs. 3 der so genannten „Cookie-Richtlinie“ 2009/136 (Aktualisierung der Richtlinie 2002/58) erforderliche Einwilligung bei dem Setzen eines Cookies in § 15 Abs. 3 TMG als Opt-out-Lösung ausgestaltet hat, während alle anderen Mitgliedsstaaten in den nationalen Gesetzen ein Opt-in erfordern. Bei einem Opt-out ist eine aktive Einwilligung des Nutzers nicht erforderlich, ein Widerspruch allerdings möglich, wohingegen beim Opt-in, wie dies z.B. bei Anmeldungen zu Newslettern der Fall ist, eine aktive Einwilligung des Nutzers erforderlich ist. Die Datenschutzbehörden hatten die deutsche Regelung in der Vergangenheit wiederholt als unzureichend und europarechtswidrig bezeichnet.
Der EuGH begründet sein Urteil im Hinblick auf die Anforderungen an die Einwilligung im Wesentlichen damit, dass die datenschutzrechtliche Einwilligung in Artt. 6 Abs. 1 S. 1 lit. a., 7 DSGVO, auf die in der so genannten „Cookie-Richtlinie“ verwiesen wird, ein aktives Verhalten des Nutzers erfordert, welches derart zu erfolgen habe, dass die Einwilligung „ohne Zweifel“ abgegeben wurde. Dies sei bei einem voreingestellten Häkchen nicht der Fall, da „es praktisch unmöglich [sei], in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat“. Jedenfalls bliebe unklar, ob er „diese Einwilligung in Kenntnis der Sachlage erteilt“ habe. Es könne „nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte“.
Die Entscheidung, dass die aktive Einwilligung selbst dann erforderlich ist, wenn es sich bei den Inhalten eines Cookies nicht um personenbezogene Daten handeln sollte (was nur in absoluten Ausnahmefällen in Betracht kommen dürfte, da der Personenbezug im Onlinebereich grds. besteht), begründet der EuGH mit dem Wortlaut der Cookie-Richtlinie), der unabhängig von der Personenbeziehbarkeit des Cookies auf die Einwilligung im Sinne der DSGVO verweist.
Die Entscheidung, dass auch über die Funktionsdauer des Cookies und den Zugang durch Dritte zu informieren ist, begründet der EuGH mit einem einfachen Verweis auf den insoweit klaren Wortlaut von Art. 13 Abs. 1 lit. e., Abs. 2 lit. a. DSGVO.
Im Ergebnis bleibt festzuhalten, dass das Urteil des EuGH weit über die Einwilligung in das Setzen von Cookies hinaus Auswirkungen haben wird, da er neben der „Abschaffung“ des deutschen Sonderwegs die Hürden für die „informierte Einwilligung“ gegenüber der in Deutschland vorherrschenden Praxis deutlich höher legt und damit der grundsätzlich immer noch möglichen „konkludenten Einwilligung“ einen nur noch sehr eng umgrenzten Anwendungsbereich übriglässt. Der Rückgriff auf die „konkludente Einwilligung“ dürfte daher nur noch in Ausnahmefällen möglich sein.
Für die allermeisten Anbieter von Webseiten und Applikationen, bei denen Cookies zum Einsatz kommen, ergibt sich aus dem Urteil unmittelbarer Handlungsbedarf:
- Zum einen sind die Nutzer auf die Funktionsdauer der Cookies und über den Zugang Dritter zu informieren (dies dürfte gerade bei Cookies von Drittanbietern schwierig sein), was eine Überprüfung und ggf. Anpassung der entsprechenden Datenschutzerklärungen erfordert.
- Zum anderen ist es nicht mehr ausreichend, im so genannten „Cookie-Banner“ nur über das Setzen von Cookies zu informieren. Anstelle der heute üblichen Gestaltung, dass aktiv zu wiedersprechen ist oder die „Cookie-Banner“ mit den Buttons „Ok“ und „Nein“ abgeschlossen werden, sind nunmehr strengere Vorgaben zu beachten. Die Cookie-Banner (oder spezielle Einwilligungskästen) müssen entweder nicht-voreingestellte Häkchen bei den einzelnen zu aktivierenden Trackern oder Buttons mit unmissverständlichen Texten wie „Ja, ich willige in das Setzen von Cookies entsprechend der vorstehenden Einwilligung ein“ verwenden.
Zu beachten ist allerdings (das kommt in der Berichterstattung zu kurz), dass die Entscheidung nicht solche Cookies betrifft, die gesetzt werden, bei denen „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“ (Art. 5 Abs. 3 S. 2 der Cookie-Richtlinie). „Warenkorb-Cookies“ bleiben daher weiterhin auch ohne Einwilligung zulässig. Demgegenüber werden insbesondere Cookies für die Reichweitenanalyse, das Auswerten des Nutzerverhaltens und zum Zwecke der individualisierten Werbung ab sofort unter besonderer Beobachtung stehen und sind dringend im Hinblick auf die vorstehenden Kriterien zu überprüfen.
*****
Sofern Sie Fragen zu Ihrem individuellen Handlungsbedarf oder sonstigen datenschutzrechtlichen Themen haben, können Sie sich jederzeit gerne an unser Datenschutzteam wenden. Dieser Beitrag ist hier im PDF-Format abrufbar.
Autor: Gerhard Deiters & Dr. Philip Lüghausen