EuGH: kein Einsatz von Cookies ohne aktive Einwilligung

Sachverhalt – kurz zusammengefasst

Ein deutscher Werbedienstleister bietet zu Werbezwecken Online-Gewinnspiele an. Um an diesen Gewinnspielen teilzunehmen, müssen die Teilnehmer ihre Postleitzahl und sodann ihren Namen und ihre Adresse eingeben.

Weiterhin müssen die Teilnehmer weitgehenden Nutzungsbedingungen zustimmen. Zu diesem Zwecke befinden sich unter den Eingabefeldern Hinweistexte, die jeweils mit einem Ankreuzkästchen versehen sind. Rechtlich relevant ist insbesondere der Hinweistext, der  das Recht des Websitebetreibers (d.h. des Werbedienstleisters) beinhaltet, Cookies im Browser des Nutzers zu setzen, damit der Dienstleister Werbung platzieren kann, die zu den Interessen des Nutzers passt. Das Auswahlkästchen neben dieser Einwilligung ist bereits vorangekreuzt und kann seitens des Nutzers erst durch einen zusätzlichen Klick widerrufen werden.

Die ePrivacy/Cookie-Richtlinie sowie die Datenschutzgrundverordnung^[1] sieht vor, dass der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, und deren Verarbeitung nur dann rechtmäßig ist, wenn der Nutzer dazu eine Einwilligung gegeben hat. Diese Einwilligung hat auf Grundlage von klaren und umfassenden Informationen zu erfolgen.

Die Frage, die sich die Gerichte stellten, war, ob das voreingestellte Häkchen im Ankreuzkästchen den Anforderungen an den Begriff der „Einwilligung“ gerecht wird, wie sie die ePrivacy/Cookie-Richtlinie^[2], die frühere Datenschutzrichtlinie^[3] und die neue Datenschutzgrundverordnung^[4] verlangt.

Relevanz für Unternehmen

Das Urteil hat wegen der weiten Verbreitung des Einsatzes von Werbecookies auf Websites große Bedeutung. Sobald ein Unternehmen Cookies einsetzen möchte, um das Surf- und Nutzungsverhalten der Kunden zu erforschen, geht dies nicht ohne eine vorherige informierte und vor allem aktive Einwilligung der Nutzer.

Nicht ausreichend ist nach dem EuGH-Urteil eine vorangekreuzte Einverständniserklärung oder ein sog. Cookie-Banner, das man einfach wegklicken kann. Dies gilt unabhängig davon, ob es sich bei den gespeicherten und durch Cookies abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Zudem stellt der EuGH klar, dass der Websitebetreiber dem Nutzer mitteilen muss, wie lange die Cookies installiert bleiben und ob/welche Dritte zugreifen können.

Entscheidungsgründe

Der EuGH hat durch das Urteil klargestellt, dass eine Einwilligung in das Setzen von Trackingcookies nicht wirksam durch ein vorangekreuztes Auswahlkästchen erfolgen kann.

Weder die ePrivacy/Cookie-Richtlinie, noch die Datenschutzgrundverordnung beinhalten Angaben dazu, wie die Einwilligung abzugeben ist. Der EuGH stellte daher fest, dass der Wortlaut „seine Einwilligung geben“ nahe lege, dass der Nutzer aktiv tätig werden muss, um seine Einwilligung zum Ausdruck zu bringen. Dieses Verständnis geht mit den Erwägungsgründen zu den Rechtsakten einher, in denen vom „Anklicken eines Kästchens“ bzw. vom „Markieren eines Feldes“ die Rede ist.

Bei einem vorangekreuzten Auswahlkästchen ist es unmöglich, objektiv zu klären, ob der Nutzer einer Website durch das Nichtabwählen des Häkchens seine Einwilligung zur Verarbeitung seiner Daten gegeben hat. Es ist jedenfalls unklar, ob er eine entsprechende Einwilligung in Kenntnis der Sachlage (d.h. auf informierter Basis) erteilt hat. Es ist durchaus auch möglich, dass der Nutzer das Kästchen deshalb nicht abgewählt hat, da er dieses gar nicht zur Kenntnis genommen hat.

Da die ePrivacy/Cookie-Richtlinie allgemein von „Informationen“ spricht und diese nicht auf personenbezogene Informationen beschränkt, gilt das Einwilligungserfordernis unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Die in den Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen sind Teil der Privatsphäre des Einzelnen und unterliegen daher rechtlichem Schutz.

Zum Zweck der informierten Entscheidung muss der Dienstanbieter den Nutzer in die Lage versetzten, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung zu bestimmen und so sicherstellen, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Er muss dem Nutzer somit Informationen an die Hand geben, die klar und verständlich und detailliert genug sind, um es dem Nutzer zu ermöglichen, die Funktionsweise der Cookies nachvollziehen zu können. Dazu gehören die Identität des für die Verarbeitung Verantwortlichen, die Zweckbestimmung der Verarbeitung sowie die Empfänger der Daten. Für den Nutzer relevant ist auch die Information über die Dauer der Speicherung von Daten und ob auch Dritte Zugriff auf die Cookies erhalten.

Hinweis: Das Urteil des EuGH wird gemeinsam mit weiteren relevanten Entscheidungen von Prof. Dr. Dagmar Gesmann-Nuissl ausführlich in der Zeitschrift für Innovations-und Technikrecht (InTeR), Heft 04/2019, Seiten 190-213, besprochen.

[1] Art. 5 Abs. 3 Richtlinie 2002/58/EG bzw. Art. 6 Verordnung (EU) 2016/679.

[2] Richtlinie 2002/58/EG.

[3] Richtlinie 95/46/EG.

[4] Verordnung (EU) 2016/679.

Autor: Stefanie Meyer | Januar 2020