01.10.2019

Das endgültige Aus für „Opt-Out“ bei Cookies – EuGH schafft Klarheit (EuGH, Urt. v. vom 01.10.2019, C 673/17)

Das heutige Urteil des Europäischen Gerichtshofs (EuGH) könnte eine lange währende Unsicherheit beenden: Website-Betreiber müssen bei der Einholung von Einwilligungen ihrer Nutzer zur Datenverarbeitung (z. B. im Rahmen von Cookies, Tracking oder Werbung) zukünftig immer das sog. „Opt-In“-Verfahren beachten. Das bedeutet insbesondere, dass eine Einwilligung aktiv erfolgen muss, indem der Nutzer eine Schaltfläche anklickt oder ein Häkchen zur Bestätigung setzt. Dies gilt nicht nur für die Verarbeitung personenbezogener Daten, sondern auch für sonstige Informationen. Bisher war es umstritten, ob nicht auch eine vorausgefüllte, aber abwählbare Zustimmung ausreicht, das sog. „Opt-Out“. Darüber hinaus hat der EuGH auch die Anforderungen an die Information des Nutzers bei der Einholung einer Einwilligung konkretisiert. Website-Betreiber sind nun angehalten, diese Vorgaben umsetzen.

Hintergrund

Nahezu jedes Unternehmen holt Einwilligungen der Nutzer zur Datenverarbeitung auf seiner Website ein. Vom Anbieten von nützlichen Funktionen (z. B. Warenkörben beim Online-Shopping) über statistische Analyse bis hin zum Marketing (z. B. individualisierte Werbung) werden Einwilligungen für eine Vielzahl von Funktionen genutzt. Mal sind sog. „Cookie-Banner“, die zur Einholung von Einwilligungen eingesetzt werden, dezent am Bildschirmrand platziert, mal füllen sie (häufig unzulässig) den halben oder gar den ganzen Bildschirm aus. Immer häufiger werden auch Consent Manager genutzt, die eine datenschutzkonforme Einholung und Dokumentation von Einwilligungen sicherstellen sollen. In vielen Fällen ist die Einwilligung jedoch „vorausgefüllt“ und muss vom Nutzer abgewählt werden, wenn er eine Verarbeitung seiner Daten vermeiden möchte.

Vorlage beim EuGH

Ob diese Einwilligung tatsächlich aktiv und freiwillig erfolgt und somit den Anforderungen der DSGVO genügt, war bisher umstritten: die eher strengen deutschen Aufsichtsbehörden verneinten dies in der Regel, Unternehmen und Wirtschaftsanwälte waren eher der Meinung, dass (zumindest in bestimmten Fällen) diese „Opt-Out“-Lösung ausreichend sei. Eine klarstellende höchstrichterliche Entscheidung existierte bisher nicht. Der nun vom EuGH entschiedene Fall basiert auf einer Anfrage des deutschen Bundesgerichtshofs (BGH) und richtet sich teilweise nach altem Recht zum Datenschutz. Der BGH stellte in seinen Fragen jedoch bereits stets auch auf die DSGVO ab, sodass die Entscheidung des EuGH auf die Lage nach der DSGVO übertragbar sein dürfte. Der BGH wollte vom EuGH unter anderem wissen, ob

  • eine wirksame Einwilligung vorliegt, wenn ein vorhandenes Kästchen zur Cookie-Setzung bereits angekreuzt ist und
  • inwiefern der Nutzer durch den Seitenbetreiber bezüglich der Verwendung von Cookies aufzuklären ist und ob hierzu auch die Zugriffsmöglichkeit von Dritten auf die Cookies sowie die Funktionsdauer gehört.

Klage der Verbraucherzentrale gegen Gewinnspielbetreiber

Diesen Fragen liegt ein Streit zwischen dem Gewinnspielbetreiber Planet49 und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbz) zugrunde. Letzterer hatte gegen die Vorgehensweise von Planet49 im Rahmen der Teilnahme an einem Online-Gewinnspiel geklagt, bei welcher ebenfalls Cookie-Banner eingesetzt wurden. Neben der – nicht vorausgefüllten – Einwilligung zum Erhalt von Werbung fand sich auf der Website eine bereits vorausgefüllte, abwählbare Formulierung zur Zustimmung des Setzens von Cookies. In der damit lediglich gegebenen „Opt-Out“-Möglichkeit sah der vzbz einen Verstoß gegen datenschutzrechtliche Vorschriften, insbesondere gegen Regelungen der  Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG, auch „ePrivacy-Richtlinie“), deren relevante Vorgaben in Deutschland insbesondere im Telemediengesetz (TMG) zu finden sind.

Die Entscheidung

Am 01. Oktober 2019 entschied der EuGH (C 673/17), dass die „Opt-Out“-Lösung nicht den Anforderungen an eine wirksamen Einwilligung genügt. Im Ergebnis schloss sich der EuGH mit seiner Entscheidung den Empfehlungen des Generalanwalts Maciej Szpunar in dessen Schlussanträgen vom 21. März 2019 an.

Von einer aktiven Einwilligung, wie es die ePrivacy-Richtlinie vorsehe, könne bei einem vorausgefüllten Einwilligungsfeld nicht die Rede sein. Anders als etwa das Setzen eines Hakens handle es sich hierbei nicht um eine aktive Handlung, sondern vielmehr um eine Duldung. Hierdurch könne nicht nachvollzogen werden, dass der Nutzer aktiv zugestimmt habe. Darüber hinaus fehle es der Einwilligung an der notwendigen Informiertheit. Zur Teilnahme am Gewinnspiel war die Einwilligung zu Cookies/Werbung zwar nicht Voraussetzung – der Nutzer wurde hierüber jedoch nicht explizit informiert, sodass die Annahme einer Verknüpfung nahe lag. Eine solche Einwilligung müsse nach der ePrivacy-Richtlinie zudem nicht nur bei personenbezogenen, sondern auch sonstigen Daten eingeholt werden.

Zur zweiten Frage stellt der EuGH fest, dass den Website-Betreiber die Pflicht treffe, den Nutzer auch über die Dauer der Cookies sowie über die Zugriffsmöglichkeiten Dritter auf diese zu informieren. Dies folge aus dem Erfordernis, den Nutzer „klar und umfassend zu informieren“. Anderenfalls könne dieser nicht, wie erforderlich, in „Kenntnis der Sachlage“ in die Datenverarbeitung einwilligen. Hierbei dürfe man von einem „normal informierten, verständigen Nutzer“ ausgehen. Von diesem dürfe jedoch wegen der technischen Komplexität hinsichtlich der Funktionsweise von Cookies kein höherer Kenntnisstand erwartet werden.

Cookies nur noch mit Einwilligung?

Bemerkenswert an der Entscheidung ist, dass der EuGH auf die Zulässigkeit der Cookies insbesondere im Lichte der ePrivacy-Richtlinie eingeht, Art. 6 DSGVO als mögliche Rechtsgrundlage jedoch kaum heranzieht. Denn die Richtlinie ist in Deutschland nicht unmittelbar anwendbar. Vielmehr wurde sie (allerdings nur unzureichend) in nationales Recht umgesetzt. Nach deutschem Recht wäre das Setzen von Cookies erlaubt und dem Nutzer stünde bloß ein Widerspruchsrecht zu.

Die deutschen Datenschutzaufsichtsbehörden sind jedoch bisher davon ausgegangen, dass allein die DSGVO Anwendung findet (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf). Die einschlägigen nationalen Vorschriften des Telemediengesetzes (TMG), durch welche die ePrivacy-Richtlinie umgesetzt werden sollte, seien durch Einführung der DSGVO nicht mehr anwendbar. Daher müsse sich die Rechtslage allein nach der DSGVO beurteilen, sodass hiernach auch das „berechtigte Interesse“ als Rechtsgrundlage in Frage käme. Die Richtlinie verlangt hingegen eine ausdrückliche Einwilligung.

Wäre tatsächlich die ePrivacy-Richtlinie als speziellere Regelung vorrangig, könnten sich Unternehmen künftig bei der Datenverarbeitung nur noch auf eine Einwilligung berufen, die den Anforderungen des EuGH entsprechen. Das „berechtigte Interesse“ im Sinne von Art. 6 Abs. 1 lit. f) DSGVO wäre dann nicht mehr als Legitimation denkbar. Zum Verhältnis der verschiedenen Normen hat sich der EuGH jedoch nicht explizit geäußert.

Unser Kommentar

Die Entscheidung des EuGH macht deutlich, dass bei dem Betrieb einer Website der Schutz personenbezogener Daten sowie eine transparente Datenverarbeitung von großer Bedeutung sind. Website-Betreiber müssen nun darauf achten, die Einholung von Einwilligungen datenschutzkonform auszugestalten. Ein „Opt-Out“-Verfahren reicht nicht mehr aus. Auch die Annahme einer „stillschweigenden“ Einwilligung durch Weiternutzen der Website ist nicht mehr zulässig. Vielmehr müssen Einwilligungen durch den Nutzer aktiv und informiert erteilt werden. Dies gilt sogar dann, wenn keine personenbezogenen Daten gesammelt werden.

Eine Möglichkeit, um diesen Anforderungen gerecht zu werden, ist der Einsatz von Consent-Managern. Über diese werden alle verwendeten Cookies erfasst und häufig kategorisiert zusammengeführt (funktionale Cookies, Marketing-Cookies, Analyse-Cookies, etc.), um eine übersichtliche und vereinfachte Verwaltung zu erreichen. Für Website-Betreiber besteht der Vorteil, dass Einwilligungen datenschutzkonform eingeholt und dokumentiert werden können sowie dass keine eigene Lösung entwickelt werden muss. Nutzer der Website hingegen können unmittelbar und transparent erkennen, welche Cookies bzw. welche Kategorien eingesetzt werden und dann aktiv in diese einwilligen. Vor dem Einsatz dieser Tools sollte jedoch stets eine genaue datenschutzrechtliche Prüfung der Umsetzung durchgeführt werden. So müssen unter anderem entsprechende Auftragsverarbeitungsverträge mit dem Anbieter des Consent-Managers abgeschlossen werden. Ebenso muss sowohl über Cookies als auch den Einsatz eines Consent-Managers in der Datenschutzerklärung informiert werden.

Es bleibt zudem abzuwarten, ob und wie die Frage eines generelles Einwilligungserfordernisses bei der Verwendung von Cookies von den Gerichten und den Aufsichtsbehörden beantwortet wird. Bis dahin wäre es sogar vertretbar, auch weiterhin in eng umgrenzten Fällen (z.B. bei sehr datenschutzfreundlich einsetzbaren Analysetools wie Matomo) den Einsatz von Cookies auf überwiegende berechtigte Interessen zu stützen. Mit der ePrivacy-Verordnung könnte sich diese Frage jedoch erledigen. Diese hat insbesondere den Einsatz von Cookies im Blick und wird derzeit von der EU verhandelt, jedoch voraussichtlich 2020 oder sogar erst 2021 verabschiedet. Wer zwischenzeitlich in jedem Fall datenschutzkonform agieren möchte, sollte für alle Cookies, die nicht technisch erforderlich sind, Einwilligungen einholen.

Weiterlesen

Lesen Sie hierzu auch unseren Artikel in der COMPUTERWOCHE.de

 

Dr. Michael Rath
Rechtsanwältin
Partner
Luther Rechtsanwaltsgesellschaft mbH
Köln
Telefon +49 221 9937 25795
michael.rath(at)luther-lawfirm.com

Gerrit Feuerherdt
Rechtsanwalt
Associate
Luther Rechtsanwaltsgesellschaft mbH
Köln
Telefon +49 30 52133 27059
gerrit.feuerherdt(at)luther-lawfirm.com