01.10.19

EuGH urteilt zu Cookies

Der Europäische Gerichtshof hat entschieden, dass die Einwilligung in Cookies ein „aktives“ Verhalten des Nutzers erfordert. Ein voreingestelltes Ankreuzkästchen erfüllt diese Voraussetzungen nicht.

EuGH urteilt zu Cookies

Der EuGH hatte über einen Fall zu entscheiden, in dem es um die Frage ging, welche Anforderungen an eine wirksame Einwilligung in das Setzen von Cookies bei der Veranstaltung eines Gewinnspiels auf einer Internetseite zu stellen sind.

Hintergrund des Falles ist eine Unterlassungsklage des deutschen Bundesverbands der Verbraucherzentralen gegen die deutsche Planet49 GmbH, die 2013 unter der Internetadresse www.dein-macbook.de ein Gewinnspiel zu Werbezwecken veranstaltete. Die Anmeldeseite für das Gewinnspiel enthielt u.a. ein Kästchen, mit dem der Internetnutzer in das Setzen von Cookies auf seinem Computer einwilligte, wobei das Kästchen bereits mit einem Häkchen versehen war. Dieses Häkchen konnte vom Internetnutzer jedoch auch entfernt werden. Der Bundesverband der Verbraucherzentralen hielt dieses Vorgehen für unzulässig. Der mit dem Rechtsstreit befasste Bundesgerichtshof hat den EuGH in diesem Zusammenhang um Auslegung der alten und neuen EU-Datenschutzvorschriften ersucht.

Der Gerichtshof bestätigt in seinem Urteil vom 1. Oktober 2019 [Rs. C-673/17] zunächst erneut (s. bereits Rs. C-40/17), dass das Setzen von Cookies nach Art. 5 Abs. 3 der Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation eine Einwilligung erfordert. Unklar war jedoch, wie diese Einwilligung zu geben ist. Hierzu hat der Gerichtshof nun entschieden, dass eine Einwilligung in das Setzen von Cookies ein „aktives“ Verhalten des Nutzers erfordert. Ein voreingestelltes Ankreuzkästchen erfülle diese Voraussetzungen nicht.

Die Datenschutzgrundverordnung [(EU) 2016/679], auf die die Richtlinie 2002/58/EG verweise, schreibe ausdrücklich eine aktive Einwilligung vor. Denn sie fordere eine „unmissverständlich“ abgegebene „Willensbekundung“ in Form einer „Erklärung“ oder einer sonstigen „eindeutigen bestätigenden Handlung“ und nenne als Beispiel das Anklicken eines Kästchens, während ein bereits angekreuztes Kästchen oder Untätigkeit ausgeschlossen werde (Art. 6 Abs. 1 lit. a i.V.m. Erwägungsgrund 32). Das Erfordernis einer aktiven Einwilligung lasse sich aber bereits aus der früher geltenden Datenschutzrichtlinie 95/46/EU ableiten, nach der eine Einwilligung „ohne jeden Zweifel“ und „in Kenntnis der Sachlage“ gegeben werden musste und eine „Willensbekundung“ voraussetzte [Art. 2 lit, h), Art. 7 lit. a)]. Müsse der Nutzer das Kästchen nicht aktiv anklicken, bleibe unklar, ob er wirklich einwilligen wollte, zumindest aber, ob er „in Kenntnis der Sachlage“ war. Denn es könne nicht ausgeschlossen werden, dass er die die dem Ankreuzkästchen beigefügte Information nicht gelesen oder das Kästchen gar nicht wahrgenommen habe.

Ferner lässt sich der Entscheidung des Gerichtshofs entnehmen, dass die Einwilligung gesondert, d.h. separat erfolgen muss. Wie der EuGH betont, muss die Willenserklärung nämlich „für den konkreten Fall“ erfolgen, d.h. sich gerade auf die in Frage stehende Datenverarbeitung (hier: die Verarbeitung von Informationen durch Cookies) beziehen, und könne nicht aus einer Willensbekundung mit anderem Gegenstand (hier: Teilnahme am Gewinnspiel) abgeleitet werden. Dass der Nutzer die Schaltfläche aktiv angeklickt habe, mit der er zugleich seine Teilnahme an dem Gewinnspiel erklärte, reiche daher nicht aus, um von einer wirksamen Einwilligung in die Speicherung von Cookies auszugehen.

Wie der Gerichtshof ferner klarstellt, macht es dabei keinen Unterschied, ob es sich bei den in Endgeräten gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Vorliegend war dies zwar der Fall. Die Entscheidung wäre aber nicht anders ausgefallen, wenn „Informationen“ ausgelesen worden wären, die keinen Personenbezug aufweisen. Denn Art. 5 Abs. 3 der Richtlinie 2002/58/EG diene dem Schutz der Privatsphäre, so dass es nicht darauf ankomme, welche Art von Daten betroffen seien. Dies ist richtig, denn in den Schutzbereich des Grundrechts auf Achtung des Privatlebens und der Kommunikation (Art. 7 GRCh) fallen grundsätzlich alle vertraulichen Informationen, ohne dass es darauf ankäme, ob es sich um personenbezogene Daten handelt, welche als solche (zusätzlich) durch das Grundrecht auf Schutz personenbezogener Daten (Art. 8 GRCh) und die gesetzlichen Datenschutzvorschriften geschützt werden.

Ferner hat der Gerichtshof entschieden, dass der Nutzer vor Erteilung seiner Einwilligung in die Nutzung von Cookies Informationen erhalten muss, die „so klar verständlich und detailliert genug“ sind, dass er die Funktionsweise der verwendeten Cookies verstehen kann. Dienten Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte von Partnern, gehörten dazu auch Angaben zur Funktionsdauer der Cookies und Informationen dazu, ob Dritte Zugriff auf die Cookies erhalten können.

Der Gerichtshof folgt damit im Ergebnis der Auffassung des Generalanwalts Szpunar in seinen Schlussanträgen vom 21.03.2019. Zum Koppelungsverbot, d.h. zu der Frage, ob ein Nutzer seine Einwilligung „freiwillig“ und „ohne Zwang“ geben kann, wenn die Teilnahme am Gewinnspiel voraussetzt, dass er in die Verarbeitung personenbezogener Daten zu Werbezwecken einwilligt, äußerte sich der Gerichtshof bewusst nicht, da der BGH ihm diese Frage in den Vorlagefragen nicht gestellt habe.

Zwar betrifft die Entscheidung des EuGH zunächst unmittelbar nur die Einwilligung in das Setzen von Cookies im Zusammenhang mit der Teilnahme an einem Gewinnspiel im Internet. Zieht man aus der Entscheidung den generellen Schluss, dass eine Einwilligung in Cookies ein „aktives“ Verhalten des Nutzers erfordert, hat die Entscheidung aus Sicht des cep jedoch auch weitreichende Auswirkungen auf den generellen Einsatz von Cookies und die Gestaltung von Cookie-Opt-in-Bannern auf Internetseiten, jedenfalls soweit die eingesetzten Cookies nicht unter die Ausnahmeregelung des Art. 5 Abs. 3 S. 3 der Datenschutzrichtlinie für elektronische Kommunikation fallen, auf die der EuGH in diesem Urteil nicht eingeht. So ist eine Einwilligung ist z.B. nicht für technisch notwendige Cookies erforderlich. Soweit es aber einer Einwilligung bedarf, dürfte unter anderem ein automatisches Setzen von Cookies und eine konkludente Einwilligung durch „Weitersurfen“ auf der Webseite nicht mehr ausreichen. Zudem müssen Nutzer die Möglichkeit haben, die Cookies zu verweigern – spätestens hier wird die Frage nach der Reichweite des oben angesprochenen Kopplungsverbots relevant.

Für alle Webseitenbetreiber, die Cookies verwenden, besteht daher dringender Klärungsbedarf, wie diese Anforderungen in der Praxis umzusetzen sind, insbesondere

  • zu welchem Zeitpunkt und wie die Einwilligung im Detail eingeholt werden und vom Seitenbetreiber nachgewiesen werden kann,

  • welche Informationen über die Funktionsweise und über zugriffsberechtigte Dritte im Einzelnen zu erteilen sind,

  • wie die Informationen Cookie-Banner gestaltet werden können, um klar, verständlich und trotzdem detailliert genug zu sein,

  • welche Konsequenz es hat, wenn Nutzer die Einwilligung in Cookies verweigern,

  • wie Cookie-Banner ggf. umgestaltet werden müssen

  • und wie all dies technisch bewerkstelligt werden kann.

Auch der EU-Gesetzgeber hat es mit der noch im Gesetzgebungsverfahren befindlichen ePrivacy-Verordnung, die die Datenschutzrichtlinie für elektronische Kommunikation ersetzen soll, in der Hand, hier für weitere Klarheit zu sorgen.

Alle Nachrichten