Update Datenschutz Nr. 56
Einwilligung beim Einsatz von Cookies
Bereits vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wurde diskutiert, ob der Einsatz von Tracking-Cookies, die es ermöglichen, das Nutzungs- und Surfverhalten eines Nutzers im Internet zu analysieren und für interessenbasierte Werbung zu nutzen, einer vorherigen Einwilligung (Opt-in) des Nutzers bedarf oder ob eine Widerspruchslösung (Opt-out) ausreichend ist. Die deutschen Datenschutzaufsichtsbehörden sind der Auffassung, dass der Nutzer einwilligen muss. In einem beim Europäischen Gerichtshof (EuGH) anhängigen Verfahren (Rechtssache C-673/17) bestätigt der Generalanwalt in seinen am 21. März 2019 veröffentlichten Schlussanträgen nun diese Auffassung. Die Schlussanträge des Generalanwalts sind zwar für den EuGH nicht bindend, häufig folgt er jedoch der Auffassung des Generalanwalts. Insofern kommt dessen Schlussanträgen erhebliche Bedeutung zu.
Bisherige Situation
In Deutschland sieht § 15 Abs. 3 TMG bislang vor, dass Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung ihres Angebots Nutzungsprofile unter Einsatz von Pseudonymen erstellen dürfen, wenn der Nutzer dem nicht widerspricht. Bereits vor Inkrafttreten der DSGVO wurde diese Regelung mit der Begründung kritisiert, dass sie den europäischen Vorgaben der für den Online-Bereich geltenden E-Privacy-Richtlinie (2002/58/EG) und der Cookie-Richtlinie (2009/136/EG) nicht entspreche. Klarheit sollte die europäische ePrivacy-Verordnung bringen, die ursprünglich gemeinsam mit der DSGVO ab dem 25. Mai 2018 gelten sollte, bislang aber noch nicht in Kraft getreten ist.
Im April 2018 wiesen die deutschen Datenschutzaufsichtsbehörden in einer gemeinsamen Stellungnahme unter Verweis auf das europäische Rechtsverständnis darauf hin, dass ab der Anwendbarkeit der DSGVO am 25. Mai 2018 die Sonderregelung des § 15 TMG nicht mehr anwendbar sei und der Einsatz von Tracking-Mechanismen im Internet sowie die Erstellung von Nutzerprofilen einer vorherigen Einwilligung des Nutzers bedürfe.
Nun wird sich in Kürze der EuGH zu der Frage äußern und es spricht viel dafür, dass er den Schlussanträgen des Generalanwalts folgen und – entsprechend der Auffassung der deutschen Datenschutzaufsichtsbehörden - der Opt-out-Lösung eine Absage erteilen wird.
Opt-out-Lösung vor dem EuGH
Dem Verfahren vor dem EuGH liegt eine Vorlage des Bundesgerichtshofs (BGH) zugrunde. In dem zugrundeliegenden Fall ließ sich der Betreiber einer Gewinnspielseite durch ein bereits vorangekreuztes Kästchen das Recht einräumen, Cookies im Browser des Nutzers zu setzen, die eine Auswertung des Surf- und Nutzungsverhaltens des Nutzers und damit eine interessenbasierte Werbung ermöglichten. Um dies zu verhindern musste der Nutzer das bereits gesetzte Kreuzchen entfernen.
In seinen Schlussanträgen vertritt der Generalanwalt die Auffassung, dass diese Opt-out-Lösung unzulässig ist. Sie genüge weder den Anforderungen der - bis zum Inkrafttreten der ePrivacy-Verordnung noch anwendbaren - E-Privacy- und Cookie-Richtlinie, noch den Anforderungen der seit dem 25. Mai 2018 ebenfalls anwendbaren DSGVO. Vielmehr bedürfe der Einsatz von Tracking-Cookies einer expliziten Einwilligung, die den Anforderungen der DSGVO genügen muss.
Damit erklärt der Generalanwalt nicht nur der bisherigen deutschen Regelung des § 15 Abs. 3 TMG eine Absage. Er bestätigt damit auch, dass die Anforderungen, die die DSGVO für Einwilligungen aufstellt, auch für den Einsatz von Cookies gelten.
Anforderungen an eine wirksame Einwilligung (Opt-in)
Erforderlich für eine wirksame Einwilligung nach der DSGVO ist eine aktive Handlung durch Ankreuzen eines Kästchens oder aktive Betätigung einer Schaltfläche. Weiterhin muss die Einwilligung gesondert erteilt werden. Nach Auffassung des Generalanwalts kann dies nur erreicht werden, wenn sie nicht gemeinsam mit anderen Erklärungen abgegeben wird. Die Einwilligung muss weiterhin freiwillig sein und darf nicht einer unzulässigen Kopplung unterliegen. Wesentlich ist zudem die vorherige Information des Nutzers. Diese muss klar und umfassend sein und sollte unter anderem auch Auskunft über die Funktionsdauer des Cookies und die Frage geben, ob Dritte auf den Cookie Zugriff erhalten.
Fazit
Wenn sich der Europäische Gerichtshof der Auffassung des Generalanwalts anschließt, werden die deutschen Gerichte künftig dieser Rechtsprechung folgen. Für Webseitenbetreiber ist es aber bereits heute - auch mit Blick auf die entsprechende Auffassung der deutschen Datenschutzaufsichtsbehörden - ratsam, ihre Cookie-Einwilligungen daraufhin zu überprüfen, ob die Anforderungen der DSGVO erfüllt werden, oder ob eine Überarbeitung erforderlich ist.