Was die Entscheidung bedeutet, warum nicht jeder Cookie einer Einwilligung bedarf und was Webseitenbetreiber jetzt zu beachten haben, lesen Sie in dem folgenden Beitrag.
- 1. Zusammenspiel von ePrivacy-Richtlinie und Datenschutzgrundverordnung
- 2. Deutscher Sonderweg: „Opt-Out“
- 3. Brauche ich für Cookies immer eine Einwilligung?
- 4. Was bedeutet die Entscheidung des EuGH?
- 5. Ein „Verstanden“ reicht nicht mehr
- 6. Was ist mit Cookies ohne Personenbezug?
- 7. Welche Informationen müssen Webseitenbetreiber zur Verfügung stellen?
- 8. Was sollten Webseitenbetreiber jetzt tun?
Frühere Rechtslage
Der Beitrag bezieht sich auf den Rechtszustand vor Inkrafttreten des TTDSG.
Zusammenspiel von
ePrivacy-Richtlinie und Datenschutzgrundverordnung
In der Entscheidung
des EuGH ging es um einen Cookie, der im Zusammenhang mit der
Anmeldung zu einem Gewinnspiel des Anbieters Planet24 gesetzt werden
sollte. Zweck war, die Aktivitäten des Nutzers zu Werbezwecken
nachverfolgen zu können. Für ein solches Tracking ist eine
Einwilligung erforderlich.
Dies ergibt sich aus Art. 5 Abs. 3 der Richtlinie 2002/58/EG, die auch unter der Bezeichnung „ePrivacy-Richtlinie“ oder „Cookie-Richtlinie“ bekannt ist.
Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Art. 5 Abs. 3 Richtlinie 2002/58/EG
Die Richtlinie wurde in Deutschland nicht in nationales Recht umgesetzt.
Deutscher Sonderweg: „Opt-Out“
Entgegen der ePrivacy-Richtlinie ist nach deutschem Recht ein sogenanntes „Opt-Out“ zulässig. Dabei kann zunächst ein Cookie gesetzt werden, der Nutzer kann dem widersprechen. Ein „Opt-In“, also eine aktive Einwilligung des Nutzers, ist nicht erforderlich. Dies bestimmt § 15 Abs. 3 TMG, wonach ein Diensteanbieter
für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen [darf], sofern der Nutzer dem nicht widerspricht.
§ 15 Abs. 3 TMG
Diese Regelung führte dazu, dass ein „Opt-Out“ vielfach praktiziert wurde, auch wenn dies nach Inkrafttreten der DSGVO zumindest in Bezug auf Tracking-Cookies wie Google Analytics zweifelhaft war. Denn nach der DSGVO ist eine Einwilligung erforderlich, wenn personenbezogene Daten über Cookies verarbeitet werden sollen und sich der Verantwortliche nicht auf berechtigte Interessen berufen kann. Dabei ist davon auszugehen, dass berechtigte Interessen dann nicht mehr vorliegen, wenn das Verhalten des Nutzers nachverfolgt wird. Anders als die Richtlinie, die alle technisch nicht notwendigen Cookies nur mit einer Einwilligung zulässt, ist die DSGVO also eher flexibel – trotzdem ist ein „Opt-Out“ nicht unbegrenzt zulässig.
Um den Unterschied zu verdeutlichen: Eine Reichweitenmessung mittels Matomo, dem früheren Piwik, auf dem eigenen Server erfordert nach der ePrivacy-Richtlinie eine Einwilligung, während nach der DSGVO hingegen auf berechtigte Interessen zurückgegriffen werden kann.
In der Konstellation, die der Entscheidung des EuGH zugrunde lag, war daher naheliegend, dass der gesetzte Werbecookie einer aktiven Einwilligung („Opt-In“) bedurfte. Die fehlende Umsetzung der ePrivcy-Richtlinie in deutsches Recht spielte daher keine Rolle. Allerdings hat der Bundesgerichtshof in seinem Vorlagebeschluss zum EuGH bereits deutlich gemacht, dass § 15 Abs. 3 TMG im Lichte der ePrivacy-Richtlinie auszulegen ist. Damit wäre das in Deutschland vielfach praktizierte „Opt-Out“ trotz fehlender Umsetzung der Richtlinie nicht mehr möglich.
Brauche ich für Cookies immer eine Einwilligung?
Für technisch notwendige Cookies, wird man sagen können: Nein. Darüber hinaus ist zu fragen, ob der Cookie unbedingt erforderlich ist, um dem Nutzer den gewünschten Dienst zur Verfügung zu stellen. Hier kann man diskutieren, wann dies der Fall ist. Da die Richtlinie 2002/58/EG aber nicht umgesetzt wurde, besteht eine gesetzliche Verpflichtung derzeit nicht.
Die Entscheidung des EuGH hat an der gesetzlichen Regelung des § 15 Abs. 3 TMG freilich nichts geändert. Allerdings deutet der Vorlagebeschluss des BGH darauf hin, dass sich Webseitenbetreiber auf eine Änderung einstellen müssen. Denn wie eine richtlinienkonforme Auslegung aussehen wird, dürfte das oberste deutsche Zivilgericht bald entscheiden.
Was bedeutet die
Entscheidung des EuGH?
Die Entscheidung des EuGH hat eine weitere wichtige Auswirkung: Sie stellt klar, wie eine Einwilligung auszusehen hat.
Bislang haben Webseitenbetreiber zumeist die Auffassung vertreten, eine „Einwilligung“ könne durch die Anzeige eines Cookie-Banners eingeholt werden. Cookies werden bereits mit dem Aufrufen der Seite gesetzt und der Nutzer wird durch den Banner hierauf hingewiesen.
Diese Praxis war dies schon lange fragwürdig, mit der Entscheidung des EuGH ist sie nicht zu vereinbaren. Denn das Gericht sieht eine Einwilligung als nicht wirksam an, wenn der Nutzer nicht aktiv einwilligt. Erforderlich ist hiernach eine eindeutige bestätigende Handlung.
Insoweit erscheint es praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat; unklar bleibt jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde. Es kann nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.
EuGH, Urteil vom 01.10.2019 – C‑673/17
Damit sind Banner,
bei denen ein Cookie bereits mit dem Laden der Seite gesetzt wird,
nicht mehr ausreichend, wenn sie es denn je waren.
Ein „Verstanden“
reicht nicht mehr
Auch Banner, bei
denen ein Cookie gesetzt wird, wenn der Nutzer einen Button klickt,
dürfte den Anforderungen des EuGH nicht genügen. Denn es besteht
kein Unterschied darin, ob ein Kästchen bereits vorausgewählt ist
oder gar kein Kästchen angezeigt wird. In beiden Fällen fehlt es an
einer eindeutigen bestätigenden Handlung.
Auch die vielfach
anzutreffenden Banner, bei denen Cookies erst mit Anklicken eines
Buttons gesetzt werden, die aber so eingestellt sind, dass Marketing-
und Werbecookies zugelassen werden, sind unzulässig.
In der Konsequenz
werden Cookie-Banner daher folgende Anforderungen erfüllen müssen:
-
Ein Cookie,
der eine Einwilligung erfordert, darf nicht bereits mit dem Laden
der Webseite gesetzt werden. -
Der Banner
muss dem Nutzer die Möglichkeit geben, in die Speicherung von
Cookies aktiv einzuwilligen oder sie abzulehnen. -
Keine
Voreinstellungen, nach denen Cookies gesetzt werden.
Was ist mit Cookies
ohne Personenbezug?
Überraschend an der Entscheidung des EuGH ist, dass eine Einwilligung auch dann erforderlich sein soll, wenn mithilfe des Cookies keine personenbezogenen Daten verarbeitet werden.
[Der] Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – Hidden Identifiers oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.
EuGH, Urteil vom 01.10.2019 – C‑673/17
Das bedeutet in der
Konsequenz, dass sämtliche Cookies einer aktiven Einwilligung des
Nutzers bedürfen, wenn sie nicht technisch notwendig sind.
Welche Informationen
müssen Webseitenbetreiber zur Verfügung stellen?
Nutzer einer Webseite müssen nach Art. 13 DSGVO in der Datenschutzerklärung transparent über die Verarbeitung ihrer Daten informiert werden.
Der EuGH ist der
Auffassung, dass im Falle von Cookies vor allem Angaben zur
Funktionsdauer gegeben werden müssen. Webseitenbetreiber müssen
daher angeben, wann ein Cookie abläuft. Darüber hinaus müssen sie
darlegen, ob Dritte einen Zugriff auf die Cookies erhalten können.
Was sollten
Webseitenbetreiber jetzt tun?
Überprüfen Sie, ob
Ihre Webseite mit der aktuellen Rechtslage vereinbar ist:
- Werden technisch nicht notwendige Cookies gespeichert?
- Wenn ja: Sind die Cookies unbedingt erforderlich, um die Seite zur Verfügung zu stellen?
- Werden die nicht unbedingt erforderlichen Cookies erst gespeichert, wenn der Nutzer eingewilligt hat?
- Wenn nein: Muss der Nutzer aktiv einwilligen (z.B. durch Anklicken eines Kästchens)?
- Informieren Sie über die Lebensdauer des Cookies und über die Übermittlung von Daten an Dritte?
Schreiben Sie einen Kommentar