„Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers.“ So hat der EuGH die Pressemitteilung zu seinem aktuellen Cookie-Urteil im Rechtsstreit des Bundesverbandes der Verbraucherzentralen gegen den Gewinnspielanbieter Planet49 überschrieben. Auf den ersten Blick eine klare Aussage: Setzen von Cookies = Einwilligung des Nutzers. Dass dem nicht so ist und die Überschrift jedenfalls als missverständlich bezeichnet werden muss, ergibt sich erst aus der weiteren Lektüre des Urteils. In diesem Beitrag beschäftigen wir uns mit den wesentlichen Umständen des Urteils und der Bedeutung für die Praxis (also ggf. auch für Ihr Unternehmen). Am Ende des Beitrags finden Sie eine Anleitung, was jetzt aus unserer Sicht zu tun ist.
Update: am 28.05.2020 hat der BGH im Urteil „Cookie-Einwilligung II“ dieses Verfahren beendet. Lesen Sie daher bitte unseren aktuellen Beitrag zu Cookies und Tracking.
Worum geht es in dem Urteil?
Das Urteil vom 01.10.2019 (Az. C-673/17 „Planet 49“) bezieht sich auf ein Verfahren, das zwischen der Planet 49 GmbH und dem Bundesverband der Verbraucherzentralen vor dem Bundesgerichtshof (BGH) geführt wird.
Die Planet 49 GmbH bot im Jahr 2013 die Teilnahme an einem Gewinnspiel auf einer Website an. Im Zuge der Teilnahme an dem Gewinnspiel wurde u.a. die Einwilligung des Internetnutzers in die Setzung von Cookies auf dem verwendeten Computer und eine so ermöglichte Auswertung des Surf- und Nutzungsverhaltens für Werbezwecke abgefragt. Hierbei war die Einwilligungserklärung mit einem bereits angekreuzten Kästchen versehen. Um die Einwilligung im Rahmen der Gewinnspielteilnahme nicht zu erteilen, musste das gesetzte Kreuz durch den Internetnutzer entfernt werden.
Der Bundesverband der Verbraucherzentralen erblickte in dieser Gestaltung einen Verstoß gegen die einschlägigen datenschutzrechtlichen Vorgaben und nahm die Planet 49 GmbH gerichtlich auf ein Unterlassen dieser Praxis in Anspruch.
Der nach dem Gang durch die Instanzen nunmehr mit dem Rechtsstreit befasste BGH hatte Zweifel, ob eine mittels eines bereits angekreuzten Kästchens eingeholte Einwilligung den europäischen Anforderungen zum Schutz der Privatsphäre in der elektronischen Kommunikation genügt. Er setze daher das Verfahren aus und bat den EuGH im Rahmen eines sog. Vorabentscheidungsverfahrens um die Auslegung der einschlägigen unionsrechtlichen Vorschriften.
Was hat der EuGH entschieden?
Der Gerichtshof hat in seinem heutigen Urteil entschieden, dass eine für die Speicherung und den Abruf von Cookies erforderliche Einwilligung durch ein aktives Verhalten der betroffenen Person bekundet werden muss. Im gegenständlichen Fall einer mit einem voreingestellten Ankreuzkästchen versehenen Erklärung liegt dagegen keine wirksame Einwilligung des Websitebesuchers vor.
Für den EuGH macht es für die Anwendung der einschlägigen europäischen Bestimmungen über den Schutz der Privatsphäre in der elektronischen Kommunikation keinen Unterschied, ob es sich bei den im Gerät des Internetnutzers gespeicherten Informationen um personenbezogene Daten handelt oder nicht. Denn das Unionsrecht soll einen Schutz vor jedweden Eingriffen in die Privatsphäre der Nutzer, insbesondere auch vor dem unbefugten Eindringen in verwendete Endgeräte, gewährleisten.
Der EuGH stellt außerdem fest, dass der Anbieter einer Website gegenüber den Nutzern hinsichtlich der Cookies auch Angaben über deren Funktionsdauer und Zugriffsmöglichkeiten Dritter bereitstellen muss.
Was bedeutet das Urteil für die Praxis?
Die Entscheidung des Gerichtshofs stellt eine Zäsur für die Verwendung von Cookies dar. Sie zieht einen Schlussstrich unter die in Deutschland seit mehr als einem Jahrzehnt geführte Debatte um die Anforderungen, die an eine rechtmäßige Verwendung von Cookies zu stellen sind.
Es muss an dieser Stelle zwar angemerkt werden, dass dem EuGH-Urteil keine unmittelbare Auswirkung zukommt, da die endgültige Entscheidungshoheit zu dem Verfahren beim BGH liegt. Das deutsche Gericht wird die durch den EuGH vorgenommene Auslegung des Unionsrechts allerdings in das deutsche Recht übertragen. Im Übrigen sind Wertungen des EuGH bereits jetzt bei der Anwendung des Datenschutzrechts zu berücksichtigen
In Konsequenz wird eine Vielzahl von Websitebetreiber ihr Cookie-Management überarbeiten müssen. Denn ganz überwiegend entsprechen die auf Websites momentan zur Einholung einer Einwilligung verwendeten Cookie- oder Consent-Banner nicht den Vorgaben, die mit der Rechtsprechung des EuGH an die Wirksamkeit einer Einwilligung zu stellen sind. Auch fehlen oftmals die erforderlichen Angaben zur Funktionsdauer und den Zugriffsmöglichkeiten Dritter.
Die deutschen Aufsichtsbehörden werden durch das Urteil in ihrer bereits bisher verfolgten Praxis bestätigt. Denn die Datenschützer waren jedenfalls seit dem Inkrafttreten der DSGVO der Auffassung, dass eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten nur durch ein aktives Handeln der betroffenen Person erfolgen kann.
Es ist daher zu erwarten, dass die Aufsichtsbehörden ihre Kontrolltätigkeit in diesem Feld verstärken werden. Auch müssen Websitebetreiber damit rechnen, dass unwirksame Einwilligungserklärungen verstärkt durch Websitebesucher bei den Aufsichtsbehörden gemeldet werden. Bei einem festgestellten Verstoß steht die Verhängung einer Untersagungsverfügungen und von Bußgeldern in Aussicht.
Was ist jetzt zu tun?
Zur Minimierung rechtlicher Risiken sollten Sie als Websitebetreiber bereits jetzt die folgenden Maßnahmen ergreifen:
- Websitebetreiber müssen prüfen, inwieweit über ihre Website Cookies gesetzt und ausgelesen werden und ob hierfür eine Einwilligung der betroffenen Person erforderlich ist. Dies ist jedenfalls dann der Fall, wenn die Setzung von Cookie für die Auswertung des Surf- und Nutzungsverhaltens für Werbezwecke erfolgt oder Cookies von Drittanbietern, sog. Third-Party-Cookies gesetzt werden.
- Die auf der Website bereitgestellten Datenschutzhinweise sollten dahingehend überprüft werden, ob sie hinsichtlich der verwendeten Cookies alle Angaben gem. Art. 13 DSGVO und insbesondere Angaben zur Funktionsdauer und zu Zugriffsmöglichkeiten Dritter enthalten. Fehlen diese Angaben, kann keine wirksame Einwilligung eingeholt werden.
- Sofern eine Einwilligung der betroffenen Nutzer erforderlich ist, muss diese in wirksamer Weise eingeholt werden. Hierzu sind verschiedene technische Lösungen in Form sog. Consent-Banner auf dem Markt erhältlich. Werden solche Lösungen bereits verwendet oder sollen sie implementiert werden, muss der Websitebetreiber genau prüfen, ob sie den datenschutzrechtlichen Vorgaben gerecht werden.
Die wirksame Einwilligung
Vorab
Der Ladevorgang der Cookies darf erst nach Abgabe der Einwilligung starten. Es dürfen auch nur die Technologien geladen werden, für die der Nutzer seine Einwilligung abgegeben hat. Das bedeutet in der Praxis, dass beim ersten Aufruf der Seite erst nach Abgabe der Einwilligung die Cookies „scharf geschaltet“ werden dürfen.
Freiwillig
Der Nutzer hat nun also selbst die Wahl, ob er der Setzung von Cookies zustimmen möchte oder nicht. Der Besuch der Website darf jedoch nicht von der Abgabe einer solchen Einwilligung abhängig gemacht werden. Möglich scheint hingegen, eine alternative Website mit Bezahlschranke anzubieten.
Aktive Handlung
Der Nutzer muss eine aktive Handlung vornehmen. Das Anklicken einer Checkbox ist hierfür ausreichend. Nicht ausreichend hingegen sind vorangekreuzte Checkboxen oder ein „einfaches Weiternutzen“ der Website, sodass durch ein Schließen des Banners fälschlicherweise von einer Einwilligung ausgegangen wird.
Widerrufbar
Eine Einwilligung muss auf Wunsch des Nutzers jederzeit widerruflich sein. Der Widerruf gilt dann mit Wirkung für die Zukunft. Auf die Widerruflichkeit der Einwilligung muss der Website-Betreiber den Nutzer im Voraus – am besten im Einwilligungstext auf dem Consent-Banner – hinweisen.
Nachweisbar
Der Website-Betreiber muss die Erteilung der Einwilligung nachweisen können. Hierbei ist es nicht ausreichend, lediglich auf die ordnungsgemäße Gestaltung der entsprechenden Website zu verweisen. Vielmehr muss für jeden Einzelfall der Nachweis für die tatsächlich erteilte Einwilligung vorliegen.
Mehr Informationen dazu, wie Sie eine wirksame Einwilligung über Consent-Lösungen einholen, finden Sie in diesem Beitrag. Grundlegende Informationen zum Erfordernis einer Einwilligung bei Online-Werbemaßnahmen finden Sie hier.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.