Update Datenschutz Nr. 66
EuGH: Opt-In-Pflicht für die Einwilligung in Verwendung von Cookies
Der EuGH stellt klar, dass voreingestellte Einwilligungen in das Setzen von Cookies unzulässig sind. Dies entschied der Europäische Gerichtshof im Verfahren zwischen dem Verbraucherzentrale Bundesverband e.V. und der Planet49 GmbH vom 01.10.2019 (Rechtssache C‑673/17).
Hintergrund
Grundlage des vorliegenden Falls ist ein Gewinnspiel, das von der Planet49 GmbH auf einer Website zu Werbezwecken veranstaltet wurde. Im Zuge der Gewinnspielregistrierung musste der Websitenutzer einige personenbezogene Daten in Eingabefelder eintragen. Unter den Eingabefeldern für Name und Anschrift befanden sich mit Ankreuzfeldern versehene Hinweistexte.
Eines der einem Hinweistext zugehörigen Ankreuzfelder war mit einem bereits voreingestellten Häkchen versehen, welches vom Nutzer gegebenenfalls hätte deaktiviert werden müssen. Über die Tatsache, dass die Teilnahme am Gewinnspiel auch ohne ein Häkchen im Cookie-Ankreuzfeld möglich gewesen wäre, wurden die Nutzer nicht informiert.
Nachdem das LG Frankfurt a. M. der Unterlassungsklage des Verbraucherzentrale Bundesverband e.V. größtenteils stattgegeben hatte, gab das OLG Frankfurt a. M. der Berufung der Planet49 GmbH teilweise statt und entschied, dass das Erteilen einer Einwilligung in die Verwendung von Cookies auch durch eine vorformulierte Erklärung, der durch Entfernen eines voreingestellten Häkchens widersprochen werden könne, möglich sei. Das OLG Frankfurt war der Meinung, die Nutzer wären sich bewusst, dass das voreingestellte Häkchen jederzeit hätte entfernt werden können und wies die Klage als unbegründet ab. Im Anschluss an die am OLG Frankfurt eingelegte Berufung ist nun der Bundesgerichtshof im Zuge der Revision mit der Klage befasst. Der BGH hatte das Verfahren vorerst ausgesetzt, um dem EuGH Fragen zur Auslegung des europäischen Datenschutzrechts vorzulegen.
Konkret stellte der BGH in Frage, ob die mittels des voreingestellten Häkchens eingeholte Einwilligung im Sinne der Datenschutzrichtlinie für elektronische Kommunikation 2002/58 („ePrivacy-RL“) in Verbindung mit der DSGVO in dieser Form wirksam sei. Weitere Zweifel hatte der BGH am Umfang der in Art. 5 der ePrivacy-RL vorgesehen Informationspflicht bezüglich der Speicherung von Informationen im Endgerät des Nutzers und des Zugriffs auf eben diese.
Entscheidung des EuGH zu den Vorlagefragen
Handelt es sich bei einem voreingestelltes Ankreuzkästchen um eine wirksame Einwilligung in die Verwendung von Cookies?
Der EuGH ist der Ansicht, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Nutzers ggf. erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer gegebenenfalls abwählen muss, nicht wirksam erteilt wird.
Grundlage hierfür bildet Art. 5 Abs. 3 der ePrivacy-RL, wonach von den Mitgliedstaaten sicherzustellen ist, dass die Speicherung und der Zugriff auf Cookies nur gestattet ist, wenn der betreffende Nutzer seine Einwilligung auf der Grundlage von klaren und umfassenden Informationen über die Zwecke der Verarbeitung gegeben hat.
Die ePrivacy-RL definiert als Einwilligung „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“.
Art. 6 Abs. 1 a DSGVO normiert noch strengere Anforderungen an die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und den Begriff der Einwilligung. Nach Art. 4 Abs. 11 DSGVO erfordert eine wirksame Einwilligung, eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Wie aus dem 32. Erwägungsgrund der DSGVO hervorgeht, sind „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ explizit keine Einwilligung im Sinne des Art. 6 DSGVO.
Dementsprechend ist laut EuGH nicht ein passives sondern ein aktives Verhalten des Nutzers erforderlich. Bei einer durch ein voreingestelltes Ankreuzkästchen eingeholten Einwilligung, kann nicht grundsätzlich von einem aktiven Verhalten des Nutzers ausgegangen werden, da grundsätzlich die Möglichkeit besteht, der Nutzer könnte die dem voreingestellten Häkchen beigefügte Information nicht gelesen oder gar nicht wahrgenommen haben, wodurch nicht festgestellt werden kann, ob einer Einwilligung tatsächlich Kenntnis der Sachlage zugrunde liegt.
Macht es einen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
Nach Ansicht des EuGH sollen Nutzer vor jedem Eingriff in ihre Privatsphäre geschützt werden, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Besucher einer Website sollen insbesondere gegen die Gefahr, dass sogenannte „Hidden Identifiers“ oder ähnliche Instrumente in deren Geräte eindringen, geschützt werden.
Art. 5 Abs. 3 ePrivacy-RL betrifft die „Speicherung von Informationen“ und den Zugriff auf Informationen, die bereits gespeichert sind, wobei diese Informationen nicht näher bestimmt werden. Es gibt laut EuGH demnach keinen Anhaltspunkt, dass es sich bei den betroffenen Informationen um personenbezogene Daten handeln muss.
Umfasst die Informationspflicht des Art. 5 Abs. 3 ePrivacy-RL Angaben zur Funktionsdauer der Cookies und Angaben zu den Zugriffsrechten Dritter?
Laut EuGH müssen Nutzer vor Erteilung einer Einwilligung umfassend über die Verwendung von Cookies informiert werden.
Konkret „müssen die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.“
In Art. 10 der RL 95/46, auf die Art. 5 Abs. 3 der ePrivacy-RL Bezug nimmt, und in Art. 13 DSGVO sind die Informationen aufgeführt, die der Nutzer von dem für die Verarbeitung der Daten verantwortlichen Websitebetreiber erhalten muss. Zu diesen Informationen zählen „neben der Identität des für die Verarbeitung Verantwortlichen und den Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind, weitere Informationen, beispielsweise betreffend der Empfänger oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“
Obwohl die Dauer der Verarbeitung der Daten nicht zu den dort aufgelisteten Informationen zählt, geht nach Ansicht des EuGH aus der Formulierung „zumindest die nachstehenden Informationen“ in Art. 10 der RL 95/46 hervor, dass es sich bei den aufgeführten Informationen um keine abschließende Aufzählung handelt. Nach Auffassung des EuGH ist nach dem Grundsatz von Treu und Glauben die Information über die Funktionsdauer der Cookies ebenfalls von der Informationspflicht umfasst. Um eine faire und transparente Verarbeitung der Daten zu gewährleisten, muss ein Webseitenbetreiber den Nutzer also auch über die Funktionsdauer der Cookies oder, falls das nicht möglich sein sollte, über die Kriterien für die Festlegung der Dauer der Datenspeicherung, informieren.
Angaben bezüglich der Zugriffsrechte Dritter auf die Cookies sind Informationen im Sinne des Art. 10 c der RL 95/46, bzw. im Sinne von Art. 13 Abs. 1 e DSGVO, da dort ausdrücklich normiert wird, der für die Verarbeitung der Daten Verantwortliche habe den Nutzer zum Zeitpunkt der Erhebung der Daten über die Empfänger oder Kategorien von Empfängern der Daten zu informieren.
Zusammenfassend muss der Diensteanbieter den Nutzer umfassend sowohl über die Funktionsdauer von Cookies als auch über den Zugriff Dritter auf die Cookies informieren.
Folgen der Entscheidung
Mit seinem Urteil stärkt der EuGH klar die Position der Nutzer. Diese sollen vor jedem Eingriff in ihre Privatsphäre geschützt werden:
Ein Internetnutzer muss dem Setzen von Cookies, wenn hierfür eine Einwilligung erforderlich ist, aktiv zustimmen. Nur dann handelt es sich um eine wirksame Einwilligung. Ein vorangekreuztes Kästchen genügt den Anforderungen des europäischen Datenschutzrechts nicht.
Zudem sind die strengen Anforderungen an die Informationspflicht hinsichtlich der Funktionsweise und des Zugriffs auf Cookies zu beachten.
Von diesen Anforderungen betroffen sind alle einwilligungspflichtigen Cookies für Werbung, Analyse und Tracking. Auch Webseiten, die bisher sogenannte „Cookie-Banner“ verwendet haben, genügen dem datenschutzrechtlichen Maßstab des EuGH in den meisten Fällen nicht. Zum einen können solche Banner regelmäßig mit nur einem schnellen Klick ohne weitere Einwilligung vom Bildschirm entfernt werden – wobei ein einzelner Klick auf einen Button mit der Aufschrift „OK“ oder „Habe ich verstanden“ jedoch als gültige Einwilligungserklärung gewertet werden kann, sofern das Cookie-Banner mit einem detaillierten Informationstext versehen ist. Zum anderen fordern die wenigsten dieser Banner von den Nutzern eine aktive Bestätigung, wie etwa durch das Setzen eines Häkchens. So kann auch ein Cookie Banner mit dem Hinweis „Wer diese Webseite benutzt, stimmt implizit der Nutzung von Cookies zu“ nicht mehr als gültige Einwilligungserklärung interpretiert werden. Darüber hinaus fehlt es häufig an ausreichenden Informationen zu den Cookies, ihren Funktionen und ihrer Funktionsdauer. Zu beachten ist außerdem, dass Cookies auch wirklich erst dann gesetzt werden, wenn vorab durch ein Cookie-Banner oder ein Präferenzcenter aktiv zugestimmt wurde.
Die Vorgaben des EuGH entsprechen im Wesentlichen den von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) entwickelten Grundsätzen. Die DSK hatte Anfang des Jahres in einer rechtlich nicht bindenden, teils heftig kritisierten Orientierungshilfe erklärt, die datenschutzrechtlichen Vorschriften des nationalen Rechts seien unter der DSGVO nicht mehr anwendbar.
Keine Aussage des EuGH zur Möglichkeit von Cookies und Tracking auf Basis von Art 6 Abs. 1 DSGVO
Es bleibt anzumerken, dass der EuGH in seinem Urteil vorwiegend die alte ePrivacy-RL in der Fassung 2009/136 („Cookie-RL“) ausgelegt hat, die keine Aussage zur Rechtmäßigkeit einer Datenverarbeitung an sich trifft. Ob für bestimmte Formen von Cookies, des Trackings und des Onlinemarketings, wie von den deutschen Datenschutzaufsichtsbehörden tendenziell gefordert, eine Einwilligungserklärung erforderlich ist oder ob die Datenverarbeitung, wie in der Literatur vielfach vertreten, auch auf Basis des berechtigten Interesses gemäß Art 6 Abs. 1 lit. f DSGVO gerechtfertigt wird, hat der EuGH nicht entschieden. In der Praxis sollte man sich nun dennoch fragen, ob - neben einer ggf. erforderlichen Einwilligungserklärung für Cookies - nicht auch gleich eine Einwilligungserklärung für die verwendeten Tracking- und Marketingtools, sozusagen „in einem Aufschlag“, eingeholt werden sollte.
Welche Schritte sollten Webseitenbetreiber jetzt unternehmen?
Zunächst sollten Webseitenbetreiber feststellen, ob im Browser überhaupt Cookies beim Aufruf ihrer Webseite gesetzt werden. Sollte dies der Fall sein, ist in einem zweiten Schritt zu prüfen, welche Art von Cookies verwendet werden. Nur solche Cookies, die für die Nutzung der Website unbedingt erforderlich sind, um eine vollumfängliche Funktionalität der Webseite zu gewährleisten, und solche Cookies, die noch auf Basis von Art 6 Abs. 1 lit. f DSGVO gerechtfertigt werden können, bedürfen keiner Einwilligung durch den Nutzer.
Im Zusammenhang mit einwilligungspflichtigen Cookies muss sichergestellt werden, dass das jeweilige Cookie erst gesetzt wird, wenn der Nutzer in dessen Verwendung aktiv eingewilligt hat. Eine vorherige Speicherung der Daten auf dem Endgerät des Nutzers ist unzulässig.
Bloße Hinweise auf die Verwendung von Cookies erfüllen die Anforderungen an eine wirksame Einwilligung nicht. Daher müssen Webseitenbetreiber dem Nutzer eine aktive Einwilligungsmöglichkeit bieten. Hierfür empfiehlt es sich, die verwendeten Cookies in Kategorien hinsichtlich ihres Zweckes zu unterteilen (beispielsweise in „Analyse-Cookies“ und „Marketing-Cookies“ oder “Komfort“-Cookies, „Statistik“-Cookies und „Personalisierungs“-Cookies) und diese Kategorien näher zu beschreiben, wie dies häufiger in sogenannten „Präferenzcentern“ vor Beginn der Nutzung einer Webseite erfolgt. Dem Nutzer muss dann ermöglicht werden, in verschiedene Cookies ihrer Funktionsweise nach einwilligen zu können. Es besteht außerdem die Möglichkeit der Verwendung eines benutzerfreundlichen „Select All“-Buttons, durch den in alle angezeigten Cookie-Kategorien gleichzeitig eingewilligt werden kann. Damit würde der Gefahr entgegen gewirkt werden, dass „einwilligungsmüde“ Internetnutzer den Cookie-Hinweis ohne einzeln abgegebene Einwilligungen schließen, um sich häufiges Klicken zu ersparen.
Fraglich bleibt, ob eine Datenschutzaufsichtsbehörde ein Bußgeld erlassen könnte, falls eine deutsche Webseite keine wirksame Cookie-Einwilligung einholt. Weder die Cookie-RL noch das alte TMG sehen jedenfalls die Millionenbußgelder der DSGVO vor. Die Aufsichtsbehörden haben geäußert, das TMG sei ihrer Ansicht nicht mehr anwendbar. Ein höheres Bußgeld droht also nur, sollte die auf Basis eines Cookies durchgeführte Datenverarbeitung gegen die DSGVO verstoßen. Es bleibt zu betonen, dass der EuGH zu dieser wichtigen Streitfrage keine Aussage getroffen hat.