(K)ein Cookie ohne Einwilligung – neue Rechtsprechung des EuGHs

Freitag, 11. Oktober 2019


Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 2. Oktober 2019 dem deutschen Weg beim Umgang mit Cookies eine Absage erteilt. Bislang genügte es, dass ein Webseiten-Besucher den Einsatz von Cookies nicht ausdrücklich verneinte, um Cookies einzusetzen. Zumindest dann, wenn die Cookies keine personenbezogenen Daten speicherten oder auf solche zugriffen. Damit ist es jetzt vorbei – bestimmte Cookies benötigen nun immer die aktive Einwilligung.

Was war passiert?

Das verklagte Unternehmen Planet 49 bot im September 2013 ein Gewinnspiel im Internet an. Für die Teilnahme am Gewinnspiel mussten die Teilnehmer ihren Namen, Adresse und Postleitzahl angeben. In der Eingabemaske gab es einen Hinweistext, der es Planet 49 erlaubte, Cookies auf das Endgerät des Teilnehmers zu setzen, um zu Werbezwecken das Surf- und Nutzerverhalten zu analysieren. Die Einwilligung hierzu wurde mittels eines Checkbox-Häkchens eingeholt, was bereits vorangekreuzt war.

Der Verbraucherzentrale Bundesverband e.V. sah dies als rechtswidrig an und verklagte Planet 49 auf Unterlassen. Der Streit ging vor den BGH, der sich wiederum mit Fragen zur europäischen Sichtweise an den EuGH wandte. Der BGH wollte unter anderem wissen, ob das Abwählen eines vorangekreuztes Kästchens den gesetzlichen Vorgaben einer Einwilligung genüge. Außerdem wollte der BGH wissen, ob es bei den Anforderungen an die Einwilligung einen Unterschied mache, ob in dem Cookie personenbezogene oder andere Daten gespeichert und abgerufen werden. Eine weitere Frage befasste sich mit dem Umfang der Informationen, die dem Nutzer der Webseite vor Setzen der Cookies zur Verfügung gestellt werden müssen.

Bisherige Praxis

Bislang war es gängige Praxis, das mit einem Banner auf den Einsatz von Cookies hingewiesen und dem Webseitennutzer eine Widerspruchsmöglichkeit eingeräumt wurde. Berufen wurde sich dabei auf § 15 Telemediengesetz (TMG). Der besagt, dass Diensteanbieter zu Zwecken von Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Webseite Nutzungsprofile erstellen dürfen, solange der Nutzer nicht widerspricht. Vorausgesetzt, die Nutzungsprofile sind pseudonymisiert.

Dies widerspricht allerdings schon lange den europarechtlichen Anforderungen an eine Einwilligung, wurde aber von deutscher Seite aus geduldet. Mit Einführung der DSGVO waren die Datenschutzbehörden sich einig, dass diese Handhabung mit den europäischen Vorgaben zum Datenschutz nicht vereinbar und eine aktive Einwilligung erforderlich sei. Andere waren der Ansicht, dass das Setzen von Cookies auf berechtigte Interessen gestützt werden könne. Nach dieser Ansicht war keine Einwilligung erforderlich.

Klarheit soll letztendlich die sogenannte ePrivacy-Verordnung bringen. Geplant war, dass diese mit der DSGVO gültig wird und sie im Bereich der elektronischen Kommunikation ergänzt und erweitert. Gerade das Tracking – bislang in der ePrivacy-Richtlinie geregelt – soll hier seinen rechtlichen Rahmen finden.

Allerdings lässt die Verordnung auf sich warten und solange herrscht Uneinigkeit darüber, wie mit Cookies umgegangen werden soll. Mit seinem Urteil kam der EuGH der ePrivacy-Verordnung nun zuvor und bringt zumindest ein kleines Licht ins Dunkel.

EuGH: Aktive Einwilligung erforderlich

Der EuGH entschied, dass das Abwählen eines bereits vorangekreuzten Kästchens für eine wirksame Einwilligung nicht ausreichend sei. Die zu Grunde zu legenden europäischen Richtlinien lassen sich nur so verstehen, dass eine Einwilligung aktives Handeln erfordert. Es dürfe kein Zweifel daran bestehen, dass der Nutzer seine Einwilligung in die Verarbeitung gegeben habe. Bei einer vorangekreuzten Checkbox stehe dies gerade nicht zweifelsfrei fest. Es bestehe immer die Möglichkeit, dass der Nutzer das Kästchen nicht wahrgenommen habe.

Die aktive Einwilligung müsse im Übrigen unabhängig davon eingeholt werden, ob mit dem Cookie personenbezogene oder Daten ohne Personenbezug verarbeitet werden. Die in den Endgeräten des Nutzers enthaltenen Informationen seien Teil der rechtlich geschützten Privatsphäre. Dieser Schutz der "Integrität des Endgerätes" beziehe sich auf alle gespeicherten Informationen, so der EuGH. Zudem sei der Nutzer vorab umfassend darüber zu informieren, worin er eigentlich einwilligt. Zu diesen Informationen gehöre auch die Speicherdauer des Cookies sowie die Zugriffsmöglichkeiten durch Dritte.

Gilt das jetzt für alle Cookies?

Nein! Der EuGH differenziert in seinem Urteil zwar nicht zwischen einzelnen Cookie-Arten. Allerdings beruft er sich bei seiner Begründung auf die ePrivacy-Richtlinie. Diese unterscheidet bei der Erforderlichkeit einer Einwilligung danach, ob die Cookies notwendig sind, um den Dienst des Webseitenbetreibers zur Verfügung zu stellen.

Dies bedeutet, dass eine aktive Einwilligung in das Setzen von Cookies immer dann erforderlich ist, wenn diese nicht technisch notwendig sind. Was in der Theorie einfach klingt, ist in der Praxis nicht immer leicht zu sagen. Denn wonach entscheidet sich, wann ein Cookie technisch notwendig ist?

Cookies zu Werbezwecken sind es sicherlich nicht. Warenkorb-Cookies hingegen schon. Dazwischen ist die Bandbreite groß. Hier wird hoffentlich die schon lange erwartete ePrivacy-Verordnung Klarheit schaffen.

Gleichzeitig kündigte das Bundeswirtschaftsministerium laut Netzpolitik.org bereits im September an, dass Online-Tracking neu regeln zu wollen und einen entsprechenden Entwurf zur Änderung des TMG noch dieses Jahr vorlegen zu wollen. Allerdings wollte das Ministerium hier noch auf das hier besprochene Urteil des EuGH warten. Alsbald bestände also auch hier die Möglichkeit, Klarheit zu schaffen. Ob der deutsche Gesetzgeber diese Chance nutzt oder doch lieber diese Aufgabe der ePrivacy-Verordnung überlässt, bleibt abzuwarten.

Gilt das Urteil nur für Cookies?

Auch hier wieder: Nein! Die Richtlinie, auf die sich das Urteil bezieht, spricht von "Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind".

Betroffen von der Einwilligungspflicht sind insbesondere alle cookie-basierten Tracking- und Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins. Das Urteil gilt aber darüber hinaus für alle Technologien, bei denen Informationen auf dem Endgerät eines Nutzers gespeichert werden oder auf solche Informationen zugegriffen wird. Denn das Europarecht soll Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.

Und nun? Ihr To-do!

Klären Sie, ob und welche Cookies Sie einsetzen. Bauen Sie ein entsprechendes Cookie-Banner ein oder aktualisieren Sie bereits bestehende Banner. Unternehmen, die bislang nicht zwischen einzelnen Cookie-Arten unterscheiden, sollten dies jetzt tun. Es sollte auf jeden Fall zwischen technisch notwendigen und nicht technisch notwendigen Marketing- sowie Tracking- und Analyse-Cookies unterschieden werden. Erstere dürfen ohne Einwilligung gesetzt werden. Für alle anderen müssen die Nutzer aktiv ihr Einverständnis erteilen. Eine weitergehende Differenzierung ist denkbar, hängt aber stark von den Bedürfnissen des einzelnen Unternehmens ab. procado berät Sie hierzu gerne!

Quellen:

EuGH: Urteil vom 01.10.2019 - C-673/17

Netzpolitik.org vom 11.09.2019: Wirtschaftsministerium will im Herbst neue Regeln für Online-Tracking vorschlagen

heise online vom 02.10.2019: Cookie-Urteil: Neue Klarheit, neue Fragen und eine „informationelle Integrität des Endgeräts“