Europäischer Gerichtshof: (bestimmte) Cookies nur mit Einwilligung

Ob man es richtig findet oder nicht: der europäische Gerichtshof hat für den Einsatz von Cookies auf Internetseiten nun eine klare Entscheidung getroffen:

Mit Urteil vom 1. Oktober 2019 hat der Europäische Gerichtshof unter dem Aktenzeichen C-673/17 in einem Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände und einem Online-Lottoanbieter, der im Rahmen eines Gewinnspiels Cookies auf Basis einer vorangekreuzten Einwilligung zum Einsatz gebracht hat, eine richtungsweisende Entscheidung zum Einsatz von Cookies gefällt.

Nach der Cookie-Richtlinie der Europäischen Union war das Speichern von Daten auf Endgeräten des Nutzers von der Einwilligung des Nutzers abhängig. Eine Ausnahme sah die Richtlinie nur dann vor, wenn diese Speicherung zur Erbringung des jeweiligen Dienstes notwendig ist.

Bisherige deutsche Rechtslage: bislang zweifelhaft – jetzt endgültig falsch

Allerdings hat die Bundesregierung stets die Meinung vertreten, dass die Richtlinie auch durch die spezifische deutsche Umsetzung richtig umgesetzt wurde: danach darf der Diensteanbieter gemäß § 15 Abs. 3 Telemediengesetz (TMG) für Zwecke der Werbung oder Marktforschung oder bedarfsgerechten Gestaltung von Telemedien Nutzungsprofile unter Verwendung von Pseudonymen erstellen, sofern der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und ein solches Widerspruchsrecht auch umgesetzt wird. Zu Deutsch: für die genannten Zwecke sollte auch eine Datenverarbeitung mittels Cookies zulässig sein, sofern der Nutzer nicht widerspricht. Eine Einwilligung des Nutzers sah die Bundesregierung dadurch erteilt, dass der jeweilige Cookie nicht durch die Voreinstellungen des Browsers des jeweiligen Nutzers unterbunden wird.

Die deutsche Praxis wurde nunmehr vom Europäischen Gerichtshof in Beantwortung einer Vorlage des Bundesgerichtshofs für unzulässig befunden.

Aktive Einwilligung erforderlich

Der Europäische Gerichtshof beantwortete die erste Vorlagefrage des Bundesgerichtshofs dahingehend, dass keine wirksame Einwilligung im Sinne der europäischen Datenschutzrichtlinie vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird.

Die Rechtmäßigkeit einer solchen Verarbeitung (also des Setzens eines Cookies) setze insbesondere voraus, dass die betroffene Person ihre Einwilligung „ohne jeden Zweifel“ gegeben hat. Diesem Erfordernis könne aber nur eine aktive Verhalten Zustimmung der betroffenen Person genügen.

Denn bei einer voreingestellten Einwilligung könne niemand nachvollziehen, ob der Nutzer die im Rahmen der Voreinstellung vorgesehene Einwilligung tatsächlich selbst so wünscht oder ob er den Text schlichtweg nicht gelesen hat.

Das Folge auch aus der Entwicklungsgeschichte der europäischen Datenschutzrichtlinie für elektronische Kommunikation, die in ihrer ursprünglichen Form nur eine Möglichkeit der Verweigerung und später dann eine ausdrückliche „Einwilligung“ , also ein aktives Verhalten des Nutzers, für solche Bearbeitungen erforderte.

Darüber hinaus betonte der Europäische Gerichtshof, dass die Einwilligung auch „für den konkreten Fall“ erfolgen muss, was so zu verstehen ist, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Schlussendlich betonte der Europäische Gerichtshof darüber hinaus, dass die Schutzwirkung der europäischen Datenschutzvorschriften sich auf alle auf den Endgeräten des Nutzers gespeicherten Informationen beziehen soll. Das Einwilligungserfordernis differenziere nicht, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Außerdem sei im Rahmen der Einwilligung anzugeben, wie lange die mit dem Cookie erfolgende Datenverarbeitung stattfindet und ob Dritte Zugriff auf die Cookies und die damit generierten Daten erhalten können.

Kurze Stellungnahme:

Die Entscheidung des Gerichtshofs entspricht der bisherigen Beratungspraxis des Verfassers. Eine wesentliche Auswirkung der Datenschutz-Grundverordnung war, dass dem Nutzer auf unzähligen Internetseiten eine Vielfalt unterschiedlicher Banner  entgegen treten, die sich mit Cookies befassen und einen mehr oder weniger sinnvollen Inhalt aufwiesen. Typischerweise  wird hierbei ein Text verwendet, nach welchen der Nutzer durch die Verwendung einer Webseite auch mit der Verwendung von Cookies einverstanden sei. Dieses Banner weist typischerweise nur einen „OK“-Button oder gar nur ein „Kreuzchen“ zum Wegklicken auf. Meistens werden Cookies unabhängig von ihrer Notwendigkeit bereits bei Erscheinen des Banners gesetzt. Diese Gestaltungen sind mit dem Urteil des EuGH endgültig „vom Tisch“:

Nach der Entscheidung des EuGH dürfte die Verwendung von Cookies nunmehr – fürs Erste, siehe unten zur E-Privacy-Verordnung – geklärt sein:

Zunächst ist zwischen Cookies, die für die Dienstleistung der Internetseite erforderlich sind und solchen, die nicht notwendig sind, zu unterscheiden. Für die Erforderlichkeit dürfte ein strenger Maßstab gelten. Es müssen also solche Cookies sein, ohne die die Webseite nicht oder nur mit erheblichen Einschränkungen funktioniert. Dabei sollte auch dem Ansatz der Datenminimierung (Art. 5 I Lit. c . DSGVO – Verstöße sind schwerwiegend bußgeldbewehrt) Rechnung getragen werden. Solche notwendigen Cookies können nach derzeitiger Einschätzung des Verfassers weiterhin ohne Einwilligung gesetzt werden. Allerdings ist eine vollständige Information nach Maßgabe von Art. 13 bzw. 14 DSGVO erforderlich.

Für alle sonstigen Cookies, und zwar insbesondere Web Analytics, Remarketing, Custom Audiences, Social Media-Funktionen und alle anderen nicht für den Betrieb der Webseite notwendigen  Cookies und vergleichbaren Technologien gilt: Sie dürfen nur dann eingesetzt werden, wenn der Nutzer

a) informiert wurde, was Gegenstand der jeweiligen Verarbeitung ist

b) informiert wurde, wer Zugriff auf die Informationen hat und an wen gegebenenfalls Informationen weitergegeben werden

c) informiert wurde, wie lange das Cookie und die damit einhergehende Verarbeitung stattfinden.

…. und der Nutzer AKTIV (Opt-In) in die Verwendung des Cookies eingewilligt hat. Die Informationspflichten nach Art. 13/14 DSGVO müssen natürlich trotzdem erfüllt sein.

Brandaktuell: e-Privacy-Verordnung

Im Übrigen gilt: es bleibt zu hoffen, dass die lange geplante aber bislang nicht vollendete europäische EPrivacy-Verordnung in Bezug auf Cookies  eine praxisgerechte Lösung für die Betreiber von Websites mit sich bringen wird. Nach dem letzten Stand (Vorschlag des europäischen Rats vom 18. September 2019 (Dokument 12293/19) wird vorgeschlagen:

End-users are often requested to provide consent to the storage and access to stored data in their terminal equipment, due to the ubiquitous use of tracking cookies and similar tracking technologies. As a result, end-users are may be overloaded with requests to provide consent. This can lead to a situation where consent request information is no longer read and the protection offered by consent is undermined. Implementation of technical means in electronic communications software to provide specific and informed consent through transparent and user-friendly settings, can be useful to address this issue. Where available and technically feasible, An end user may therefore grant, through software settings, consent to a specific provider for the use of processing and storage capabilities of his or her terminal equipment for one or multiple specific purposes across one or more specific services of that provider. For example, an enduser can give consent to the use of certain types of cookies by whitelisting one or several providers for their specified purposes. Providers of software are encouraged to include settings in their software which allows end-users, in a user friendly and transparent manner, to manage consent to the storage and access to stored data in their terminal equipment by easily setting up and amending whitelists and withdrawing consent at any moment [….]

Der Europäische Rat präferiert also offensichtlich das Cookiemanagement über transparente Voreinstellungen. Es bleibt spannend und fraglich, ob eine darauf aufbauende sinnvolle, praxisgerechte und auch den Interessen der Nutzer gerecht werdende gesetzliche und auch technische Lösung gefunden wird.

Kurzfristig ist auch mit einer Anpassung der deutschen Rechtsvorschriften, insbesondere des Gesetzes, zu rechnen. Eine solche steht ohnehin an.

Für alle Rückfragen rund um Thema Cookies, Datenschutz, Rechtsfragen zu Website und Weshops und Wettbewerbsrecht stehen unsere Experten für Sie gerne zur Verfügung. Fragen Sie uns! Wir. wissen. mehr.

Autor: Tom Brehm