11.12.2019

Das Cookie-Urteil des EuGH - Offene Fragen rund um den Praxis-Einsatz von Cookies (Nachtrag zu EuGH, Urt. v. 01. Oktober 2019, Az. C-673/17)

Auch nach der jüngsten europäischen Rechtsprechung zum Einsatz von Cookie-basierten Diensten auf Webseiten verbleiben rechtliche Fragezeichen im Hinblick darauf, welche Anforderungen an die Gestaltung eines rechtskonformen Consent-Mechanismus zu stellen sind. In der Praxis sehen sich Website-Betreiber mit der Frage konfrontiert, wie sie das nunmehr von dem Europäischen Gerichtshof (EuGH) vertretene Einwilligungserfordernis mit einer möglichst hohen Conversion-Rate betreffend den Einsatz von Cookie-basierten Marketingtools vereinbaren können. Dabei verbleibt nach der Entscheidung des EuGH ein erheblicher Spielraum, der die Website-Betreiber vor neue rechtliche und kommerzielle Herausforderungen stellt.

Hintergrund

Der EuGH hat mit Urteil vom 1. Oktober 2019 (Az. C-673/17) entschieden, dass der Einsatz von Cookies, die nicht zwingend für den Betrieb einer Webseite erforderlich sind, im Anwendungsbereich der ePrivacy-Richtlinie ein sog. „Opt-In“ erfordert, d.h. eine aktive und informierte Einwilligung jedes betroffenen Besuchers (siehe dazu unsere ausführliche Urteilsbesprechung).

Mit seiner richtungsweisenden Entscheidung hat der EuGH zwar einen wesentlichen Beitrag zur Beseitigung von Rechtsunsicherheiten im Zusammenhang mit dem seit langem heftig umstrittenen Einsatz von Cookies und darauf beruhenden Marketingtools geleistet. Jedoch bleiben indes viele Einzelfragen im Hinblick auf die konkrete Gestaltung eines Consent-Managements, das den gesetzlichen Vorgaben genügt, weitestgehend unbeantwortet.

Unser Kommentar

Bei der Bewertung des Urteils ist zu beachten, dass dieses sich nicht direkt mit den Anforderungen befasst, die an ein Cookie-Banner oder einen ähnlichen Consent-Mechanismus zu stellen sind. Vielmehr bewertet der EuGH unmittelbar lediglich den spezifischen Fall, in dem die Einwilligung in den Einsatz eines Analysecookies gemeinsam mit einer übergeordneten Erklärung, nämlich der Anmeldung zu einem Gewinnspiel, durch ein vorangekreuztes Kästchen und mithin „en passant“, d.h. beiläufig, erfolgt.

Offen bleiben somit diverse Rechtsfragen im Zusammenhang mit der Gestaltung eines „aktiven“ und „informierten“ Consent-Mechanismus, der bei Aufruf einer Seite ausschließlich die Einwilligung in den Einsatz von Cookies und keine sonstigen Erklärungen behandelt. Die konkrete Gestaltung eines Cookie-Banners kann indes für die Bereitschaft der Nutzer, ihre Einwilligung in den Einsatz von Trackingtools zu erteilen oder zu verweigern, von grundlegender Bedeutung sein.

Nicht entschieden hat der EuGH beispielsweise,

  • ob es Website-Betreibern gestattet ist, den Nutzern eine pauschale Einwilligung in den Einsatz sämtlicher Cookies zu ermöglichen.
  • ob die Nutzung der Website von einer Erteilung einer Einwilligung in den Einsatz gewisser Cookies abhängig gemacht werden kann (sog. Kopplung).  
  • ob Gestaltungen, die den nur flüchtig agierenden Besucher intuitiv zu einer Einwilligung verleiten sollen (bspw. grafische Hervorhebung eines Buttons „Sämtliche Cookies akzeptieren“) rechtmäßig sind (sog. „Nudging“ bzw. „Dark Pattern“).
  • ob es ausreichend ist, eine Ablehnung von Cookies ausschließlich über Cookie-Detaileinstellungen zu ermöglichen.
  • ob vorangekreuzte Kästchen im Rahmen von Cookie-Detaileinstellungen rechtmäßig sind.
  • welche konkreten Kriterien zur Bestimmung eines sog. „erforderlichen Cookies“, das auch ohne ausdrücklich Einwilligung des Nutzers zum Einsatz kommen kann, heranzuziehen sind.
  • ob neben dem Erfordernis einer Einwilligung gemäß der sog. ePrivacy-Richtlinie auch eine datenschutzrechtliche Einwilligung gemäß der DSGVO erforderlich und damit im Falle eines Verstoßes der erhebliche Bußgeldrahmen der DSGVO eröffnet ist.

Die Datenschutzaufsichtsbehörden vertreten in diesen Punkten in der Regel eher restriktive Ansichten. So lehnen sie bisher unter anderem die Kopplung der Nutzung einer Website (oder von anderen Diensten) mit der Erteilung einer Einwilligung sowie vorangekreuzte Kästchen grundsätzlich ab. Auch sind die Aufsichtsbehörden der Meinung, dass es bei Cookies stets einer datenschutzrechtlichen Einwilligung nach der DSGVO bedarf.

Die deutsche Rechtsprechung weicht jedoch teilweise von den Ansichten der Aufsichtsbehörden ab: so hat das OLG Frankfurt (Urt. v. 27.06.2019, Az. 6 U 6/19) entschieden, dass eine Kopplung erlaubt sei. Der Tausch von „Daten gegen Leistung“ sei demnach zulässig, sofern der Einwilligende nur ausreichend und transparent über die Datenverarbeitungen informiert werde.

Dies zeigt, dass es sich lohnen kann, gegen Entscheidungen der Aufsichtsbehörden gerichtlich vorzugehen. Um langwierige und gegebenenfalls kostspielige Auseinandersetzungen mit den Behörden zu vermeiden, ist jedoch stets eine genaue datenschutzrechtliche Prüfung der eingesetzten Cookies zu empfehlen. Website-Betreiber sollten dabei im Rahmen der konkreten Gestaltung des Einwilligungs-Mechanismus die bestehenden Risiken und Spielräume beachten, um eine rechtlich vertretbare und gleichzeitig kommerziell möglichst vorteilhafte Lösung umzusetzen.

Zu beachten bleibt schließlich weiterhin, dass sich die Entscheidung des EuGH maßgeblich auf Regelungen der ePrivacy-Richtlinie bezieht, die nicht (zureichend) in deutsches Recht umgesetzt sind - eine unmittelbare Anwendung der Richtlinie zulasten von Unternehmen dürfte ausgeschlossen sein. Ferner ist die Anwendbarkeit der ePrivacy-Richtlinie im Anwendungsbereich der DSGVO weiter nicht abschließend geklärt. Die weitere Entwicklung sollte daher aufmerksam beobachtet werden.

 

Dominik Menhaj
Associate
Hamburg

Autor/in
Dominik Menhaj

Dominik Menhaj
Senior Associate
Hamburg
dominik.menhaj@luther-lawfirm.com
+49 40 180 67 16356