Cookie-Einwilligungen sind ein nerviges Thema. Eigentlich sollen die Banner die Rechte der Internetnutzer wahren, in der Praxis werden Banner zu Cookie-Einwilligungen jedoch nur weggeklickt. Auch die Webseitenbetreiber machen das nicht gerne, da sie ihre Nutzer bei Laune halten und nicht mit ellenlangen Cookie-Bannern belästigen wollen. Und immer noch herrscht Unsicherheit, ob die Internetnutzer Cookies zustimmen müssen und wenn ja: wie? Zu de letzten Punkt hat nun der EuGH eine Entscheidung getroffen (Urt. v. 1.10.2019 – C-673/17).

Welcher Sachverhalt liegt der Entscheidung zu Cookie-Einwilligungen zugrunde?

In dem Rechtsstreit geht es um ein Gewinnspiel von Planet49. Bei der Anmeldung für das Gewinnspiel gab es zwei Ankreuzkästchen mit Hinweistexten.

Das erste Kästchen war nicht vorangekreuzt. Es ging dort um eine Werbezustimmung für Werbung der Sponsoren und Kooperationspartner für Werbung per Mail /SMS.

Das zweite Kästchen war vorangekreuzt. Darin ging es um eine Zustimmung zur Verwendung des Webanalysedienstes Remintrex zur Auswertung des Surf- und Nutzungsverhaltens.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V mahnte Planet49 daraufhin erfolglos ab, sodass der Rechtsstreit bis zum BGH und von dort aus zum EuGH ging.

Die Vorlage des BGH an den EuGH zu Cookie-Einwilligungen

Da die Entscheidung über Cookie-Einwilligungen die Auslegung der EU- Datenschutzrichtlinie für elektronische Kommunikation, die EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie der Datenschutzgrundverordnung (DSGVO) ging, bezog der BGH den EuGH mit ein und fragte ihn:

Vorlagefragen zu Cookie-Einwilligungen:

„1.      a)      Handelt es sich um eine wirksame Einwilligung […], wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b)      Macht es […] einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c)      Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung […] vor?

2.      Welche Informationen hat der Diensteanbieter im Rahmen der […] vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?“

Die Entscheidung des EuGH zu Cookie-Einwilligungen

Die Entscheidung des EuGH erging letzten Monat. Sie beschäftigte sich aufgrund der Vorlagefragen der BGH nicht mit der Frage, ob Cookie-Einwilligungen erforderlich sind, sondern wie eine solche Einwilligung gestaltet werden muss.

1. Die Beantwortung der Vorlagefragen 1 a) und 1 c)

Um das Ergebnis vorwegzunehmen: Der EuGH entschied,

„[…] dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“

Der EuGH sieht ein vorangekreuztes Kästchen also als nichtwirksame Einholung der Einwilligung des Nutzers an. Eine Einwilligung ist nach Ansicht des EuGH eine aktive Handlung des Nutzers.

2. Die Beantwortung der Vorlagefrage 1 b)

Zur Frage 1 b) entschied der EuGH, dass es keinen Unterschied macht, ob personenbezogene Daten verarbeitet werden oder nicht. Zwar gilt die DSGVO gem. Art. 1 DSGVO nur „bei der Verarbeitung personenbezogener Daten“, hier ist allerdings neben der DSGVO auch die Datenschutzrichtlinie für elektronische Kommunikation. Diese verlangt in Art. 5 Abs. 3 nur die „Speicherung von Informationen“ und „Zugriff auf Informationen, die bereits … gespeichert sind“. Beide Richtlinien sind nebeneinander anzuwenden und nicht unterschiedlich dahingehend auszulegen, ob personenbezogene Daten betroffen sind oder nicht.

3. Die Beantwortung der Vorlagefrage 2

Zu der Frage, welche Informationen der Diensteanbieter dem Nutzer zu erteilen hat, verweist der EuGH auf Art. 13 DSGVO. Diese Norm enthält einen Katalog an Informationen, die bei der Erhebung von daten mitzuteilen sind. Dazu gehört nach Ansicht des EuGH auch die Funktionsdauer der Cookies und der Zugriff Dritter auf die Cookies.

4. Zwischenfazit

Das sogenannte Opt-Out-Verfahren, bei dem die Kästchen schon angekreuzt sind und der Nutzer das Häkchen entfernen muss, wenn er keine Cookie-Einwilligungen abgeben will, erfüllt nicht die Vorgaben der EU-Richtlinien und -Verordnungen. Es liegt in diesem Fall keine Einwilligung des Nutzers vor. Sofern eine Einwilligung einzuholen ist, gilt dies unabhängig davon, ob personenbezogene Daten betroffen sind oder nicht. Außerdem muss der Diensteanbieter die Nutzer gem. Art. 13 DSGVO informieren, inklusive Funktionsdauer der Cookies und der Zugriff Dritter auf die Cookies.

Auswirkungen auf die Praxis:

1. kein Opt-Out-Verfahren

Nach der Entscheidung des EuGH wird wieder einmal klar, dass Cookie-Einwilligungen nicht irgendwie eingeholt werden können, sondern bestimmte Regeln eingehalten werden müssen. Die Einwilligung ist nur im Opt-in-Verfahren, nicht aber im Opt-Out-Verfahren zulässig.

Damit ist auch klar, dass § 15 Abs. 3 TMG, auf den sich bisher gerne berufen wurde, nicht mehr anwendbar ist, der gegen das Recht der EU verstößt, da er das Opt-Out-Verfahren toleriert.

2. keine Einwilligung für erforderliche Cookies

Art. 5 Abs. 3 S. 1 der Datenschutzrichtlinie für elektronische Kommunikation

Die Entscheidung des EuGH bezog sich auf einen Sachverhalt, der Art. 5 Abs. 3 S. 1 der Datenschutzrichtlinie für elektronische Kommunikation. Dieser verlangt,

„dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von

Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.“

Art. 5 Abs. 3 S. 2 der Datenschutzrichtlinie für elektronische Kommunikation

Von dieser Pflicht gibt es aber eine Ausnahme, die im nächsten Satz geregelt ist:

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“

Erforderliche Cookies

Dies bedeutet, dass Cookies ohne Einwilligung gesetzt werden können, soweit ihre Speicherung technisch erforderlich ist. Wann Cookies erforderlich sind, steht in der Richtlinie leider nicht. Als erforderlich dürfte man aber wohl Cookies ansehen dürfen, die für den Warenkorb verwendet werden, die den Login-Status betreffen, die Sprachauswahl und solche, die die Cookies-Einwilligung speichern.

Nicht erforderliche Cookies

Nicht erforderlich sind hingegen Cookies für Marketingzwecke und Statistiken. Hier ist also eine Einwilligung erforderlich. Nicht ganz klar in diesem Zusammenhang ist, ob für alle Anbieter bzw. Tools einzeln eine Einwilligung zu holen ist oder ob diese in Gruppen zusammengefasst werden dürfen: z.B. „Marketing“ und „Statistik“. Der EuGH entschied lediglich, dass die Dienste einzeln aufgeführt werden müssen.

Wir helfen Ihnen!

Die richtige Umsetzung der DSGVO auf der eigenen Webseite ist nicht einfach. Es geht nicht nur um Cookies, sondern auch um etliche weitere Informationspflichten, Datenschutzerklärung, Datenschutzbeauftragte, Datensicherheit, Betoffenenrechte und vieles mehr.

Daher haben wir für Sie ein spezielles Paket entwickelt, welches Ihre Webseite auf die Einhaltung der DSGVO-Vorgaben prüft – und das zum Festpreis! Informieren Sie sich hier unverbindlich über unser Produkt. Wir helfen Ihnen!