Am 1. Oktober 2019 entschied der Gerichtshof der Europäischen Union („EuGH“) in Sachen Cookies: Ein voreingestelltes Ankreuzkästchen ist keine wirksame Einwilligung – unabhängig davon, ob die im Cookie gespeicherte Information personenbezogene Daten enthält oder nicht.
Außerdem entschied der EuGH: Der Diensteanbieter muss Informationen zur Funktionsdauer der Cookies geben und auch dazu, ob Dritte Zugriff auf die Cookies erhalten können. Unternehmen, die Cookies auf ihren Websites einsetzen, sollten daher ihre Cookie-Banner und Cookie-Notices überprüfen.
Der Entscheidung war ein Rechtsstreit vorausgegangen zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände („Bundesverband“) und Planet49, einem Diensteanbieter, der auf seiner Website ein Gewinnspiel zu Werbezwecken veranstaltete.
Um an dem Gewinnspiel teilnehmen zu können, mussten die Nutzer ihren Namen und ihre Adresse angeben. Darunter enthielt die Website u.a. ein voreingestelltes Ankreuzkästchen und einen Hinweistext.
Danach erklärte sich der Nutzer einverstanden, dass der Gewinnspielveranstalter nach der Registrierung Cookies setzt, die es ermöglichen, das Surf- und Nutzungsverhalten auf Websites von Werbepartner auszuwerten und damit interessensgerichtete Werbung zu schalten. Es folgte ein Link mit Informationen, dass die Cookies eine bestimmte zufallsgenerierte Nummer enthalten, die gleichzeitig den Registrierungsdaten zugeordnet ist.
Weiterhin informierte der Link darüber, dass die Cookies beim Besuch von Webseiten eines Werbepartners erfassen, dass der Nutzer die Seite besucht hat, für welches Produkt er sich interessierte und ob es zu einem Vertragsschluss gekommen ist.
Nachdem die Abmahnung des Bundesverbandes erfolglos geblieben war, klagte der Bundesverband. Er machte geltend, dass die Einwilligung nicht den gesetzlichen Anforderungen genügte. Der Bundesgerichtshof setzte das Verfahren aus. Er legte dem EuGH Fragen zur Interpretation der relevanten Normen der ePrivacy Richtlinie vor.
Cookies setzen – Nutzer muss aktiv einwilligen
Der EuGH entschied: Ein voreingestelltes Ankreuzkästchen, das der Nutzer abwählen muss, um seine Einwilligung zu verweigern, ist keine wirksame Einwilligung.
Um Cookies speichern zu dürfen, müsse der Nutzer nach Art. 5 Abs. 3 der ePrivacy Richtlinie aktiv einwilligen. Dies folge zum einen daraus, dass Art. 5 Abs. 3 ePrivacy Richtlinie verlangt, dass „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer (…) seine Einwilligung gegeben hat“. Dies erfordere ein aktives Verhalten – was durch ein voreingestelltes Ankreuzkästchen nicht erfüllt ist.
Zum anderen begründete der EuGH seine Auffassung mit der Datenschutzgrundverordnung (Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a DSGVO) – obwohl der Fall aus 2013 stammte – v.a. mit Erwägungsgrund 32. Dieser besagt, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ keine Einwilligung darstellen können.
Nutzer vor jedem Eingriff in Privatsphäre schützen
Im vorliegenden Fall enthielt der Cookie wegen der Nummer, die den Registrierdaten zugeordnet wurde, personenbezogene Daten. Der EuGH stellte aber klar: Es macht keinen Unterschied, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
Nach der ePrivacy Richtlinie solle der Nutzer vor jedem Eingriff in seine Privatsphäre geschützt werden, unabhängig davon, ob personenbezogene Daten oder andere Daten betroffen sind.
Art. 5 Abs. 3 der ePrivacy Richtlinie besagt, dass „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“, der Einwilligung bedarf, ohne auf „personenbezogene Daten“ abzustellen.
Informationen zur Funktionsdauer und Zugriffsmöglichkeiten von Dritten
Zuletzt entschied der EuGH: Der Diensteanbieter muss Angaben zur Zugriffsmöglichkeit von Dritten und zur Funktionsdauer machen. Dies folge aus der ePrivacy Richtlinie und aus der Datenschutzrichtlinie.
Und auch die Datenschutzgrundverordnung verlange, über „die Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer“, zu informieren.
EuGH-Entscheidung nicht überraschend
Vor dem Hintergrund des Wortlauts der ePrivacy Richtlinie, dem Wortlaut der Datenschutzgrundverordnung und der Stellungnahme des Generalanwaltes im März 2019, überrascht die Entscheidung des EuGH nicht. Auch die Datenschutzkonferenz hatte sich in einer Stellungnahme ähnlich geäußert.
Die Entscheidung bezieht sich auf Cookies, die eine Auswertung des Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessensgerichtete Werbung durch einen Webanalysedienst ermöglichen.
Da die Ausführungen des EuGH aber sehr generisch sind, ist es wahrscheinlich, dass für andere Cookies, z.B. Cookies zu statistischen Zwecken oder Cookies für Präfenzen, dieselben Anforderungen gelten.
Ausgenommen sind allerdings notwendige Cookies. Denn Art. 5 Abs. 3 Satz 2 der ePrivacy Richtlinie besagt: „Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Viele Fragen bleiben offen
Auch wenn die Entscheidung des EuGH etwas Klarheit schafft, bleiben viele Fragen ungeklärt: Zum einen urteilte der EuGH zwar, dass ein vorangekreuztes Kästchen keine wirksame Einwilligung ist. Ausführungen dazu, wie eine wirksame Cookie-Einwilligung in der Praxis auszusehen hat machte er jedoch nicht.
Vor allem bleibt weiterhin unklar, wie granular eine Einwilligung sein muss. Auch die Frage, wann eine Einwilligung freiwillig i.S.v. Art. 7 Abs. 4 Datenschutzgrundverordnung erteilt wurde, bliebt offen. Es wäre interessant gewesen, die Meinung des EuGH zu Geschäftsmodellen, bei denen der Nutzer mit personenbezogenen Daten „bezahlt“, zu erfahren.
Um einen EU-weit einheitlichen Ansatz implementieren zu können, wäre es hilfreich, wenn der Europäische Datenschutzausschuss hierzu eine detaillierte Stellungnahme abgäbe oder die ePrivacy-Verordnung Fortschritte macht.
