Der Europäischen Gerichtshof (EuGH) ist dem Schlussantrag des Generalanwalts gefolgt und hat mit seinem Urteil vom 01.10.2019 hohe Anforderungen an den rechtmäßigen Einsatz von Cookies aufgestellt. Damit kann die in Deutschland weit verbreitete opt-out-Lösung nicht mehr aufrechterhalten werden. Nach dieser Bestätigung durch den EuGH rechnen wir damit, dass die datenschutzrechtlichen Aufsichtsbehörden beim rechtsfehlerhaften Einsatz von Cookies verstärkt durchgreifen werden. Unternehmen sollten daher unbedingt prüfen, ob ihre Cookie-Praxis den neuen Anforderungen genügt, um drohende Bußgelder zu verhindern.

Hintergrund

In dem bereits mehrere Jahre andauernden Rechtsstreit hat der Verbraucherzentrale Bundesverband e.V. eine Internetseite mit einem Gewinnspiel verklagt. Auf dieser Internetseite war folgender Hinweistext mit voreingestelltem Haken eingestellt:

„Ich bin einverstanden, dass der Webanalysedienst [...] bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [...] GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches [...] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch [...] ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

In den weiterführenden Informationen konnte der Nutzer mehr über die gesetzten Cookies und über die personalisierte Werbung erfahren. Der Bundesgerichtshof hat das Verfahren dem EuGH zur Vorabentscheidung vorgelegt und insbesondere um Beantwortung der Frage gebeten, ob ein solches voreingestelltes Ankreuzkästchen eine wirksame Einwilligung darstellen kann.

Keine wirksame Einwilligung durch opt-out

Der EuGH hat entschieden, dass hierin keine wirksame Einwilligung liegt.

Zunächst betonte der EuGH, dass die im konkreten Fall vorgenommene Sammlung von Nutzerdaten durch Cookies eine Verarbeitung personenbezogener Daten war. Somit stellt der EuGH zumindest für die im konkreten Fall eingesetzten Cookies die sachliche Anwendbarkeit der datenschutzrechtlichen Anforderungen klar.

Für die rechtmäßige Speicherung und das spätere Auslesen von Cookies auf dem PC oder sonstigen Gerät des Besuchers einer Website ist nach den EU-Richtern eine vorherige aktive Einwilligung erforderlich. Hierfür genügt es nicht, wenn ein Einwilligungstext bereits vorab angekreuzt ist, da der Nutzer in solchen Fällen eine Einwilligung nicht aktiv erteilt. Nach der Auffassung des EuGH besteht bei dieser Praxis zudem das Risiko, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht liest oder dass er das gesamte Kästchen gar nicht wahrnimmt, während er die Website besucht.

Einwilligungserklärung muss konkret sein

Der Gerichtshof hat des Weiteren klargestellt, dass eine wirksame Einwilligungserklärung jeweils für den konkreten Fall erteilt werden muss. Das heißt, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann. Daher konnte die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel keine wirksame Einwilligungserklärung des Nutzers darstellen.

Bemerkenswert ist, dass es dabei nach ausdrücklichem Hinweis des EuGH keinen Unterschied macht, ob es sich bei den auf dem PC oder sonstigen Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen.

„Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere [...] „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.“ (Rn. 70)

Umfangreiche Informationen notwendig

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.

Die Pflicht zur Mitteilung der Funktionsdauer leitet der EuGH aus dem Erfordernis der Verarbeitung nach Treu und Glauben der Datenschutzrichtlinie, bzw. aus Art. 13 Abs. 2 lit. a) EU Datenschutz-Grundverordnung (DSGVO) ab. Falls eine Angabe der Funktionsdauer des Cookies nicht möglich ist, müssen Diensteanbieter zumindest die Kriterien für die Festlegung dieser Dauer zur Verfügung stellen.

Die Angabe zum möglichen Zugriff von Dritten auf die Informationen leitet der EuGH aus Art. 10 der Datenschutzrichtlinie, bzw. aus Art. 13 Abs. 1 lit. e) DSGVO her. Danach muss der Verantwortliche die betroffenen Personen ausdrücklich über Empfänger oder die Kategorien von Empfängern personenbezogener Daten informieren.

Fazit und Handlungsempfehlungen

Das Urteil des EuGH bezieht sich nicht nur auf die zum Zeitpunkt des Ausgangsverfahrens geltende, bereits abgelaufene EU-Datenschutzrichtlinie, sondern ausdrücklich auch auf die Anforderungen der EU-DSGVO. Damit setzt der EuGH für Aufsichtsbehörden und nationale Gerichte klar fest, wie die hohen Datenschutzanforderungen der EU an den rechtmäßigen Einsatz von Cookies in der Praxis zu verstehen sind.

Unternehmen sollten die Anforderungen des EuGH unverzüglich umsetzen, ansonsten drohen Bußgelder, Abmahnungen und ggf. auch Schadensersatzklagen. Insbesondere rechnen wir damit, dass die datenschutzrechtlichen Aufsichtsbehörden nach diesem Urteil einen verstärkten Fokus auf die Prüfung des rechtmäßigen Einsatzes von Cookies legen werden. Gerade weil eine solche Prüfung mittels technischer Hilfsmittel für Aufsichtsbehörden mit vergleichsweise geringem personellen und finanziellen Einsatz möglich ist, sollten Unternehmen möglichst zeitnah reagieren.

Zusätzlich sollten Unternehmen auch die aktuell beim EU-Gesetzgeber verhandelte E-Privacy Verordnung im Blick behalten. Es ist zwar nach wie vor unklar, wann und ob diese Verordnung in Kraft tritt. Diese Verordnung kann jedoch neue, ggf. wieder abweichende Anforderungen für den rechtmäßigen Einsatz von Cookies mit sich bringen.