Wichtige EuGH Entscheidung für Cookie-Einsatz

Mit Urteil vom 01.10.2019 hat der EuGH eine wichtige Entscheidung für den Einsatz von Cookies auf Web-Diensten gefällt.
Wichtige EuGH Entscheidung für Cookie-Einsatz

Mit Urteil vom 01.10.2019 hat der Europäische Gerichtshof (EuGH) eine wichtige und weitreichende Entscheidung für den Cookie-Einsatz gefällt und erneut die große Bedeutung der datenschutzrechtlichen Einwilligung im Internet bekräftigt. Im Kern geht es um die aktive Einwilligung des Websitebesuchers zur Freigabe seiner Daten. Die noch nicht rechtskräftige Entscheidung sollte jedoch schon heute nicht nur von Shopbetreibern, sondern von Websitebetreibern generell umgesetzt werden. In diesem Blogartikel erläutern wir Ihnen

  • die Entscheidung des EuGH,
  • welche (datenschutz-)rechtlichen Auswirkungen zu erwarten sind,
  • warum Sie heute schon beginnen sollten,
  • wie Sie vorgehen sollten und
  • Erläutern zum Schluss noch die Vorgeschichte zum Urteil
Hintergrund:
Cookies sind kleine Textdateien, die von vielen Webseiten auf Computern oder anderen Geräten beim Surfen im Internet abgelegt werden. Sie können Informationen beinhalten, die für das Navigieren im Netz erforderlich sind, aber ebenso dafür verwendet werden, um das Nutzungsverhalten einzelner Personen nachzuverfolgen und darauf basierende Profile zu erstellen.

Die Entscheidung des EuGH vom 01.10.2019

Die erforderliche Einwilligung für die Speicherung und den Abruf von Cookies setzt ein aktives Informieren der Nutzer und die Möglichkeit der Einwilligung für den konkreten Fall voraus. Es geht also um ein sogenanntes „Opt-in“. In dem vom Gericht behandelten Fall wurde das Cookie-Banner mit einem voreingestellten Ankreuzkästchen versehenen („Opt-out“). Bei einem derartigen Banner erfolgt somit keine wirksame Einwilligung des Websitebesuchers. Hierbei ist jedoch zu beachten, dass der EuGH keine explizite Definition gesetzt hat, welche Cookies nun eine Einwilligung benötigen. Dem EuGH ging es vielmehr um eine Stärkung der Rechte des individuellen Nutzers.

Anzumerken ist außerdem, dass es für den EuGH keinen Unterschied macht, ob es sich bei den im Gerät des Internetnutzers gespeicherten Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll einen Schutz vor jede Form des Eingriffs in die Privatsphäre der Nutzer gewährleisten, insbesondere auch vor dem unbefugten Eindringen in verwendete Endgeräte.
Der EuGH stellt außerdem fest, dass der Anbieter einer Website gegenüber den Nutzern hinsichtlich der Cookies auch Angaben über deren Funktionsdauer und Zugriffsmöglichkeiten Dritter bereitstellen muss.

Praxisrelevanz – Welche Auswirkungen sind zu erwarten?

Zunächst hat das Urteil keine direkten Auswirkungen, da die Entscheidungshoheit des Verfahrens beim BGH liegt. Jetzt hören Sie aber nicht auf zu lesen! Abwarten ist keine gute Option. Denn die aktuelle Stellungnahme des EuGHs ist bereits jetzt schon bei der Anwendung des Datenschutzrechts zu berücksichtigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, geht in einer ersten Stellungnahme davon aus, dass die Verwendung der heute noch üblichen Cookie-Banner nach dem heutigen Urteil des EuGHs grundsätzlich nicht mehr als rechtskonforme Grundlage für das Setzen von Cookies herangezogen werden kann.

Es kann zudem davon ausgegangen werden, dass die durch den EuGH vorgenommene Auslegung in deutsches Recht übertragen wird. Diese Entscheidung wird zudem zu einer Änderung des Telemediengesetztes (TMG) führen und hat Einfluss auf die in Vorbereitung befindlich E-Privacy Verordnung.

Im aktuellen TMG ist lediglich eine Opt-out Lösung vorgesehen, während die vom EuGH herangezogene Cookie-Richtlinie strenger formuliert ist und eine Opt-in Lösung vorsieht. Das Bundeswirtschaftsministerium hat schon in einer ersten Stellungnahme darauf hingewiesen das TMG entsprechend anzupassen.

Es kann zudem sein, dass rechtsunwirksame Einwilligungserklärungen verstärkt durch Websitebesucher bei den Aufsichtsbehörden gemeldet werden. Wird ein Verstoß festgestellt, kann dies zu einer Untersagungsverfügung oder sogar zu einem Bußgeld führen.

Warum heute schon beginnen, wenn der Gesetzgeber noch nicht agiert hat?

Eine derart wichtige EuGH Entscheidung für den Cookie-Einsatz sollte von Unternehmen ernst genommen und proaktiv angegangen werden. Die Landesdatenschutzbehörde Bayern hat im ersten Halbjahr 2019 40 Bußgelder für nicht datenschutzkonforme Cookie-Banner verhängt. Zudem setzt auch die DSK in einer Stellungnahme den Rahmen für die Ausgestaltung. Das EuGH Urteil vom 1.10.2019 muss schon heute im Datenschutzmanagement berücksichtigt werden, auch wenn es sich im aktuellen Telemediengesetzt nicht widerspiegelt.

Websitebetreiber sollten sich auf die Einwilligung als Rechtsgrundlage für Cookies und PlugIns einstellen. Es macht daher Sinn, schon heute ein gutes Opt-in-Einwilligungsmanagement mit einem Consent-Banner aufzubauen. Die dort gesammelten Daten sind schon „sauber“ und Ihr Unternehmen kann auch nach der Umsetzung des EuGH Urteils in deutsches Recht mit den Daten arbeiten.

Praxisrelevanz – wie ist nun vorzugehen?

In der Überarbeitung des Cookie-Managements gibt es keinen Unterschied zwischen B2B und B2C. In der derzeitigen Praxis wird beim erstmaligen Besuch einer Website oft im Cookie-Banner nur informiert und es erfolgt ein automatisches Setzen der Cookies. Das Cookie-Banner ist dann häufig so konfiguriert, dass der Nutzer das Banner einfach stehen lassen kann oder alle gesetzten Cookies mit einem Klick zustimmt. Bezogen auf das Einwilligungsmanagement entsprechen somit viele verwendete Cookie- oder Consent-Banner nicht den neuen Vorgaben des EuGHs oder dem DSK Papier. Auch müssen die erforderlichen Angaben zur Funktionsdauer und den Zugriffsmöglichkeiten Dritter berücksichtigt werden.

Vorgehensweise für ein datenschutzkonformes Cookie-Management:

  1. Ist-Situation aufnehmen
    Zunächst ist zu prüfen,
    • ob und welche Cookies eingesetzt werden,
    • wann diese gesetzt werden und
    • ob sie als technisch notwendig gelten oder eine Einwilligung des Nutzers erfordern.
      Eine Einwilligung ist nötig, wenn Cookies für die Auswertung des Surf- und Nutzungsverhaltens für Werbezwecke eingesetzt werden oder Cookies von Drittanbietern (Third-Party-Cookies) gesetzt werden.

      Bei einem Cookie-Banner ist ergänzend zu prüfen, ob dieser den datenschutzrechtlichen Anforderungen entspricht.
  2. Technische Maßnahmen ergreifen
    damit ein datenschutzkonformes Setzen der Cookies erfolgt. Hierbei geht es um die freiwillige Einwilligung des Nutzers. Am Markt gibt es verschiedene Lösungen von sogenannten Consent-Bannern. Entscheidend ist, dass sie den DS-GVO Kriterien entsprechen. Im Einzelnen bedeutet dies
    • Die Einwilligung muss vorab erfolgen
      Erst wenn der Nutzer seine Einwilligung erteil hat, dürfen die Cookies geladen werden. Und es dürfen auch nur die Cookies geladen werden, für die der Nutzer seine Einwilligung erteilt hat. Durch ein Schließen des Banners darf nicht fälschlicherweise von einer Einwilligung ausgegangen werden. Es darf also kein normales Weitersurfen auf der Website erfolgen, wenn das Banner einfach stehenbleibt oder weggeklickt wird.
    • Eine aktive Handlung des Websitebesuchers ist nötig
      Der Nutzer muss eine aktive Handlung vornehmen, wie z.B. das Anklicken einer Checkbox. Nicht ausreichend sind vorangekreuzte Checkboxen.
    • Freiwilligkeit der Einwilligung
      Der Besuch der Website darf nicht von der Zustimmung zu den Cookies abhängen.
    • Granularer Aufbau – Explizite Einwilligung
      Keine Allgemeingültigkeit. Der Nutzer muss in der Lage sein individuell zu bestimmen wofür er seine Einwilligung gibt.
    • Widerrufbarkeit
      Der Nutzer muss auf Wunsch jederzeit seine Einwilligung widerrufen können. Dieser Widerruf gilt dann mit Wirkung für die Zukunft. Der Website-Betreiber muss den Nutzer im Voraus auf die Möglichkeit des Widerrufs seiner Einwilligung hinweisen. Dies geschieht am besten im Einwilligungstext auf dem Consent-Banner.
    • Dokumentierbarkeit der Einwilligung
      Für jeden Einzelfall ist der Nachweis für die tatsächlich erteilte Einwilligung zu erbringen.
  3. Datenschutzerklärung der Website anpassen
    Überprüfen Sie die auf der Website bereitgestellten Datenschutzhinweise, ob sie hinsichtlich der verwendeten Cookies alle Angaben gem. Art. 13 DS-GVO enthalten. Das betrifft speziell Angaben zur Funktionsdauer und den Zugriffsmöglichkeiten Dritter. Ohne diese Angaben kann keine wirksame Einwilligung eingeholt werden.

Erste Erfahrungen im A/B Testing zeigen, dass die geforderte aktive Einwilligung von z.B. Marketing Cookies zu einer Ablehnungsrate von rund 25% führen. Generell kann auch gesagt werden, dass große Marken eine höhere Akzeptanz in der Einwilligung erreichen. Es macht also Sinn, sich sehr genau zu überlegen, wie man die Einwilligung auf der Website vornimmt. Von daher kann davon ausgegangen werden, dass dieses Thema in den kommenden Monaten einen breiten Diskussionsraum einnehmen wird.
Eine Option ist z.B. nur die auf der Seite relevanten Einwilligungen einzuholen und somit den Nutzer Schritt für Schritt zu begleiten. Eine andere Möglichkeit kann z.B. der Einsatz von Gutscheinen sein, solange man sich hier moderat verhält und das Kopplungsverbot beachtet. Das Angebot könnte heißen: „Sie zahlen mit Ihren Daten, wir geben Ihnen einen Gutschein von 5,00 EUR“.

­­­­­­­­­­­­­­­­­­­­­Die Vorgeschichte zum Urteil

Der Europäische Gerichtshof (EuGH) ist das höchste europäische Gericht. Die wichtige EuGH Entscheidung für den Cookie-Einsatz wurde auf Basis der Frage, unter welchen Voraussetzungen Internetanbieter Cookies auf den Endgeräten Ihrer Nutzer platzieren können (Urteil vom 01.10.2019 (Az. C-673/17 „Planet 49“), getroffen.

Der EuGH hat Stellung zu einem zwischen der Planet 49 GmbH und dem Bundesverband der Verbraucherzentralen vor dem Bundesgerichtshof (BGH) geführt Verfahren bezogen.

Im Zuge der Teilnahme an einem Gewinnspiel, das die Planet GmbH auf Ihrer Website im Jahr 2013 anbot, wurde u.a. die Einwilligung des Internetnutzers in die Setzung von Cookies abgefragt. Konkret ging es um die Auswertung des Surf- und Nutzungsverhaltens für Werbezwecke auf dem verwendeten Computer. Die Einwilligungserklärung war schon mit einem bereits angekreuzten Kästchen versehen. Der Websitebesucher musste somit das gesetzte Kreuz entfernen, um seine Einwilligung im Rahmen der Gewinnspielteilnahme nicht zu erteilen.

Schon in der seit 2009 geltenden Cookie-Richtlinie ist das automatische Setzen von technisch nicht notwendigen Cookies nicht zulässig. Der Nutzer muss seine vorherige Einwilligung erteilen. Der Bundesverband der Verbraucherzentralen sah in der Gestaltung des Cookie-Banners der Planet 49 GmbH einen Verstoß gegen die einschlägigen datenschutzrechtlichen Vorgaben und klagte auf Unterlassung.

Genügt in der elektronischen Kommunikation eine mittels eines bereits angekreuzten Kästchens eingeholte Einwilligung den europäischen Anforderungen zum Schutz der Privatsphäre? Auch der BGH, bei dem der Fall nach mehreren Instanzen landete, hatte seine Zweifel und setze das Verfahren aus. Im Rahmen eines sog. Vorabentscheidungsverfahrens bat das BGH den EuGH um die Auslegung der einschlägigen unionsrechtlichen Vorschriften.

Fazit

Die wichtige EuGH Entscheidung für den Cookie-Einsatz ist weitreichend und betrifft so gut wie alle Unternehmen. Websites sind von außerhalb überprüfbar, somit können interessierte Parteien wie Aufsichtsbehörden, Nutzer oder auch Wettbewerber sehr leicht ermitteln, ob ein Seitenbetreiber die geltenden Cookie-Regeln einhält.

Das Thema ist durchaus komplex und bei den meisten Firmen in Deutschland besteht Handlungsbedarf. Neben den oben angesprochenen Maßnahmen sind gegebenenfalls technische Anpassungen und Rechtstexte zu überarbeiten, bei denen wir Sie gerne unterstützen. Unsere Leistungen im Datenschutz finden Sie hier.

Autor: Oliver Zeh