"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Newsletter

Einführung

Anfang Oktober hat der Europäische Gerichtshof (EuGH) entschieden, dass das Setzen von Cookies die aktive Einwilligung des Internetnutzers erfordert (Rechtssache C-673/17). Die Einwilligung wird durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zwecks Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt. Dabei macht es keinen Unterschied, ob über die gesetzten Cookies personenbezogene Daten erhoben werden oder nicht.

Das Urteil des EuGH erging im Rahmen eines Verfahrens, in dem der Bundesgerichtshof (BGH) aus Karlsruhe die Luxemburger Richter um die Auslegung von EU-Recht über den Schutz der Privatsphäre in der elektronischen Kommunikation ersucht hatte. Nach Beantwortung der Vorlagefragen ist nun der BGH wieder dran, den Rechtsstreit final zu entscheiden. Diese Entscheidung steht noch aus – sie wird im Einklang mit den Rechtseinschätzungen des angerufenen EuGH erfolgen.

Sachverhalt und Entscheidung

Ausgangspunkt des Rechtsstreits war eine Klage des Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Deutschland) gegen die Planet49 GmbH, eine Gesellschaft, die Online-Gewinnspiele anbietet. Der Bundesverband beanstandete zwei vorformulierte Einverständniserklärungen, die Planet49 im Rahmen eines Gewinnspiels im September 2013 verwendet hatte. Dabei ging es um den Einsatz von Cookies, mit denen Informationen aus Endgeräten der Website-Besucher zu Werbezwecken für Produkte der Partner von Planet49 gesammelt werden sollten. Gegenstand des Verfahrens vor dem EuGH war nur noch die zweite Einwilligungserklärung mit folgendem Wortlaut:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie bitte Näheres hier.“

Das Auswählkästchen für die Abgabe der Einwilligung war vorangekreuzt. Über den Begriff „hier“ konnte der Nutzer – neben Hinweisen zum Löschen der Cookies und dem Widerrufsrecht – folgende Informationen abrufen:

„Bei den gesetzten Cookies mit den Namen … handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.

 

Anschließend kann [Planet49] aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E Mail-Werbung mehr. Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.“

Zu der Einwilligungserklärung und den Informationen formulierte der BGH drei Fragen an den EuGH, nämlich:

  • Wird über die vorformulierte Erklärung eine wirksame Einwilligung eingeholt?
  • Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen auf dem Endgerät des Betroffenen, auf die mithilfe der Cookies zugegriffen wird, um personenbezogene Daten handelt?
  • Welche Informationen sind dem Nutzer zu erteilen, gehören hierzu auch die Funktionsdauer der Cookies und Zugriffsmöglichkeiten durch Dritte?

1. Wirksame Einwilligung?

Der EuGH stellte fest, dass eine wirksame Einwilligung über die vorangekreuzte Erklärung nicht eingeholt wird. Eine Reihe von Anforderungen etwa aus der Datenschutzrichtlinie (Richtlinie 95/46/EG), der E-Privacy-Richtlinie (Richtlinie 2002/58/EG) und schließlich der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ließen sich, so die Richter, nur dahingehend interpretieren, dass eine wirksame Einwilligung ein aktives Verhalten des Betroffenen voraussetze. Bei einem voreingestellten Ankreuzkästchen sei es praktisch unmöglich zu klären, ob der Nutzer durch das unterlassene Abwählen tatsächlich sein Einverständnis habe erteilen wollen. Es könne in dieser Konstellation nicht ausgeschlossen werden, dass der Nutzer das Kästchen/die Erklärung gar nicht wahrgenommen oder jedenfalls die dazugehörigen Informationen nicht gelesen habe. Es fehle damit an der gesetzliche geforderten Einwilligung „in Kenntnis der Sachlage“.

2. Gilt das nur für Cookies, die personenbezogene Daten verarbeiten?

Es ist nach Auffassung des EuGH irrelevant, ob die Cookies auf personenbezogene Daten zugreifen oder nicht. Die hier einschlägige E-Privacy-Richtlinie verlange ganz allgemein eine Einwilligung für die „Speicherung von Informationen“ und den „Zugriff auf Informationen“, die bereits im Endgerät einer betroffenen Personen gespeichert sind. Der Begriff der „Informationen“ werde dabei nicht näher definiert oder dahingehend präzisiert, dass es sich um personenbezogene Daten handeln müsse. Auch nach den Erwägungsgründen zu der Richtlinie diene die Bestimmung dem Schutz von Nutzern elektronischer Kommunikationsnetze vor jedem Eingriff in seine Privatsphäre. Dieser Schutz erstrecke sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handele, und erfasse insbesondere auch „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.

3. Wie weit müssen Nutzer aufgeklärt werden?

Gemäß dem EuGH ist die E-Privacy-Richtlinie dahingehend auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die dem Nutzer einer Website zwingend zu erteilen sind. Die klaren und umfassenden Informationen müssen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.

Konsequenzen für die Praxis

Für zahlreiche Website-Betreiber dürfte nach der EuGH-Entscheidung Handlungsbedarf bestehen.

Bereits in unserem Newsletter Datenschutzrecht Nr. 1 aus Mai 2018 haben wir darauf hingewiesen, dass der Einsatz von Cookies ab Inkrafttreten der Datenschutz-Grundverordnung nur noch mit vorheriger Einwilligung zulässig sein wird. Insofern hat der EuGH die Auffassung vieler Datenschützer bestätigt und letztlich das vorweggenommen, was aller Wahrscheinlichkeit nach die seit langem erwartete E-Privacy-Verordnung endgültig und verbindlich regeln wird.

Spätestens nach dem aktuellen Urteil des EuGH lässt sich nicht mehr davon ausgehen, dass die auf deutschen Websites weit verbreiteten Cookie-Banner, die über die Verwendung von Cookies aufklären und eine Schaltfläche mit „OK“ oder „Einverstanden“ anbieten, als wirksame Einwilligung beurteilt werden können. Ebenso bestätigt hat sich die Auffassung, dass auch für Dienste wie Google Analytics, die mit anonymisierten Daten (d.h. mit Daten ohne Personenbezug) arbeiten, eine Einwilligung eingeholt werden muss. Schließlich hat die Entscheidung des EuGH einmal mehr verdeutlicht, dass auf das sorgfältige Erstellen umfassender Informationen über den Einsatz von Cookies besonderes Augenmerk zu legen ist. Die von Planet49 erteilten Informationen waren im Vergleich zu dem, was zum Teil im Netz über den Einsatz von Cookies zu lesen ist, schon recht detailliert, reichten gleichwohl aber nicht aus.

Gleichzeitig bleiben nach dem Urteil allerdings auch einige Fragen offen, die sich im Zusammenhang mit der Auseinandersetzung hätten stellen können, jedoch nicht Gegenstand des Vorabentscheidungsverfahrens in Luxemburg waren. So haben die Richter keine Ausführungen zum Umgang mit technisch notwendigen Cookies gemacht. Die in dem Urteil mehrfach zitierte E-Privacy-Richtlinie enthält dazu Vorgaben, die allerdings in ihrer konkreten Auslegung (auch) nicht ganz klar zu lesen sind. Schließlich hat sich der EuGH auch nicht mit der Reichweite des Kopplungsverbots auseinandersetzen müssen. Es bleibt damit weiterhin ungeklärt, ob eine Einwilligung, etwa in die Datenverarbeitung mithilfe von Cookies, nicht in bestimmten Fällen als Gegenleistung etwa für die Teilnahme an einem Gewinnspiel vorgesehen werden kann. Deutsche Aufsichtsbehörden hatten solche Modelle („Bezahlung“ eines kostenlosen Dienstes/Angebots mit Daten) in der Vergangenheit durchaus als möglich erachtet. Eine höchstrichterliche Klärung dieser Frage steht aber weiterhin aus.

Gerne unterstützen wir Sie auch weiterhin bei ihren datenschutzrechtlichen Fragen. Wir freuen uns auf die Zusammenarbeit mit Ihnen.


Sollten Sie bezüglich dieses Newsletters Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Verena Hechenblaikner, LL.M.
Dr. Katrin Stadler
Stephanie G. Hartung
Mona Heck

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.