Der Europäische Gerichtshof (EuGH) hat am 1. Oktober 2019 (Az. C-673/17) entschieden, dass für das Einholen einer datenschutzrechtlichen Einwilligung bei Cookies eine aktive „Willensbekundung“ erforderlich ist. Ein sogenanntes „opt-out“, d.h. das Abwählen einer voreingestellten Einwilligung, stellt hingegen keine wirksame Einwilligung dar.
Auch in Bezug auf die Informationspflichten hat der EuGH klar Stellung bezogen. Diensteanbieter müssen vor allem auch darüber informieren, wie lange Cookies auf dem Endgerät aktiv verwendet werden und ob Dritte auf Cookies zugreifen können. Dies gelte unabhängig davon, ob die erhobenen Datensätze Personenbezug vorweisen oder nicht.
Unternehmen sollten deshalb kritisch prüfen, ob ihre Einwilligungen den Anforderungen des EuGH genügen und sie hinreichend über den Einsatz von Cookies informieren.
Worum ging es in der Entscheidung?
Der Entscheidung des EuGH liegt der Vorlagenbeschluss des Bundesgerichtshofs (BGH) vom 5. Oktober 2017 (Az. I ZR 7/16) zugrunde.
Hintergrund des Vorabentscheidungsersuchens war ein Gewinnspiel der Planet49 GmbH, welches diese auf der Website www.dein-macbook.de zu Werbezwecken veranstaltet hatte. Die Besucher dieser Website mussten zur Teilnahme an dem Gewinnspiel ihren Namen, ihre Adresse sowie ihre Postleitzahl angeben. Des Weiteren musste zur Teilnahme ein Kästchen angekreuzt werden, wonach sich der Nutzer damit einverstanden erklärt, per E-Mail/SMS über Angebote von einigen Sponsoren und Kooperationspartnern informiert zu werden (Opt-In-Verfahren).
Ein weiterer Hinweistext, bei dem das Kästchen zur Bestätigung ein bereits voreingestelltes Häkchen enthielt (Opt-Out-Verfahren), sah das Einverständnis mit der Anwendung eines Webanalysedienstes vor, wodurch zur Auswertung des Surf- und Nutzungsverhaltens nach Registrierung für das Gewinnspiel Cookies gesetzt würden. Das hier bereits voreingestellte Einverständnis war zur Teilnahme an dem Gewinnspiel nicht erforderlich.
Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) hatte daraufhin die Planet49 GmbH zunächst abgemahnt und anschließend vor dem Landgericht Frankfurt auf Unterlassung in Anspruch genommen, mit dem Argument, dass die Einwilligung unwirksam sei, da sie den gesetzlichen Anforderungen nicht genüge. Das Landgericht Frankfurt gab dem vzbv zunächst Recht, das mit der Berufung befasste Oberlandesgericht Frankfurt hob die Entscheidung der ersten Instanz in Bezug auf diesen Punkt hingegen auf. Der BGH (Az. I ZR 7/16) musste über die Revision urteilen, setzte den Rechtsstreit aus und legte die nun durch den EuGH entschiedenen Vorlagenfragen zur Einholung einer datenschutzrechtlichen Einwilligung bei Cookies dem EuGH vor.
Opt-Out-Verfahren begründet keine wirksame Einwilligung
Die der Entscheidung zugrundeliegenden Vorschriften sehen zwar ausdrücklich vor, dass zum Zwecke der Speicherung und zum Abruf von Cookies eine Einwilligung in Form einer Willensbekundung vorliegen muss. Damit blieb bisher jedoch ungeklärt, wie eine solche Einwilligung auszusehen hat.
Der EuGH kommt in seiner Entscheidung übereinstimmend mit dem Generalstaatsanwalt zu dem Schluss, dass eine Willensbekundung klar auf ein aktives Verhalten abzielt, sodass ein passives Verhalten in Form des „opt-out“ gerade nicht ausreicht. Grund dafür sei, dass dem Erfordernis einer ohne Zweifel abgegebenen Willensbekundung nur durch ein aktives Verhalten Rechnung getragen werden könne. Es sei nicht möglich, anhand des „Nicht-Abwählens“ eines Kästchens objektiv zu bestimmen, ob ein Nutzer seine Einwilligung tatsächlich, freiwillig und in voller Kenntnis der Sachlage abgegeben habe.
Keine Unterscheidung zwischen personenbezogenen und sonstigen Daten
Darüber hinaus stellte der EuGH klar, dass die gesetzlichen Bestimmungen den Nutzer vor jedem Eingriff in seine Privatsphäre schützen sollen, unabhängig davon, ob im konkreten Fall personenbezogene oder sonstige Daten betroffen seien.
Der EuGH begründet dies unter anderem mit der Erklärung, dass die in den Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen generell der Privatsphäre zuzuordnen seien und damit dem Schutz der Menschenrechte und Grundfreiheiten unterlägen. Dieser Schutz soll insbesondere bezüglich „Hidden Identifiers“ oder ähnlichen Instrumenten bestehen, die ohne Wissen des Nutzers auf dessen Endgerät eindringen können.
Informationen zu Funktionsdauer und Zugriff Dritter erforderlich
Zuletzt entschied der EuGH, dass der Diensteanbieter, z.B. der Webseitenbetreiber, den Nutzer umfassend über die Verarbeitung der erhobenen Datensätze zu informieren habe. Zu den entscheidenden Informationen gehörten vor allem die Angaben zur Funktionsdauer und die Auskunft, ob Dritte Zugriff auf die Cookies erhielten.
Die Informationen müssten hierbei klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. Nur dann sei der Nutzer auch in der Lage, die Konsequenzen seiner Einwilligung zu verstehen und zu tragen.
Was ist die Folge?
Webseitenbetreiber, die derzeit Cookies mit „opt-out“ verwenden, müssen ihre Praxis überdenken und Anpassungen vornehmen. Das einfache „Weitersurfen“ trotz Hinweises oder eine voreingestellte Einwilligung genügen nach Ansicht des EuGH nicht. Es bedarf vielmehr einer ausdrücklichen Einwilligung, wie beispielsweise durch das Setzen eines Hakens oder die Betätigung eines Schiebeschalters. Die bisherigen deutschen Regelungen des Telemediengesetzes (TMG) werden dahingehend anzupassen sein. Es ist deshalb zu erwarten, dass der deutsche Gesetzgeber in der anstehen Novellierung des TMG dies berücksichtigen und entsprechende Änderungen vornehmen wird.
Viele Verbände sehen das EuGH-Urteil durchaus kritisch. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., kurz Bitkom, betont in seiner Pressemitteilung: „Neben dem nach wie vor hohen Umsetzungsaufwand infolge der Datenschutz-Grundverordnung bedeutet das für unzählige Webseitenbetreiber eine erneute Mehrbelastung.“ Der Bundesverband Digitale Wirtschaft e.V. (BVDW) zeigt auf, dass die Frage, wann es einer Einwilligung bedarf, durch den EuGH weiterhin nicht geklärt sei. Gerade dies sei aber für die deutschen Unternehmen essentiell. Deshalb müsse der Gesetzgeber Klarheit schaffen.
Der Frage, wann eine Einwilligung erforderlich ist und wann eine Verarbeitung personenbezogener Daten im Zusammenhang mit Cookies auf eine gesetzliche Grundlage (z.B. berechtigtes Interesse) gestützt werden kann, hatten sich – mangels klarstellender gesetzlicher Regelung – bislang nur die deutschen Datenschutzbehörden im März diesen Jahres gestellt (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien). Der deutsche und europäische Gesetzgeber schwieg hierzu bislang. Auch die französische Datenschutzbehörde CNIL und die englische Datenschutzbehörde ICO hatten hierzu bereits erste Hinweise gegeben.