Der Europäische Gerichtshof (EuGH) hat in der Rechtssache Planet49 entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Dies gilt unabhängig davon, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht. In den Erwägungsgründen folgt der Gerichtshof den Schlussanträgen des Generalanwalts.
Der Inhalt im Überblick
Was ist passiert?
Der Verbraucherzentrale Bundesverband (vzbv) hat gegen Planet 49, ein Adresshändler und Gewinnspielbetreiber, auf Unterlassung geklagt. Um an einem Gewinnspiel teilzunehmen, sollten die Teilnehmer weitgehenden Nutzungsbedingungen zustimmen. So sollten die Nutzer einer Liste von insgesamt 57 Unternehmen erlauben, sie telefonisch, per E-Mail oder per Post zu kontaktieren. Diese Klausel wurde bereits 2014 vom Landgericht Frankfurt für unzulässig erklärt, da der Verbraucher bei einer so weitgehenden Einschränkung wie der Telefonwerbung eine explizitere Zustimmung geben müsste.
Im konkreten Verfahren vor dem EuGH ging es aber vor allem darum, dass sich der Betreiber der Website in Form von Hinweistexten das Recht einräumen ließ, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das entsprechende Auswahlkästchen war bereits vorangekreuzt. Erst mit einem zusätzlichen Klick konnten Nutzer die Zustimmung widerrufen.
Strenge Ansicht des Generalanwalts
Bereits im März hat der Generalanwalt Maciej Szpunar in dieser Rechtssache seinen Schlussantrag veröffentlicht. Nach Auffassung des Juristen entsprechen die deutschen Gesetze zum Cookie-Einverständnis nicht dem europäischen Recht. Für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analyse zwecken), sei eine Einwilligung des Nutzers erforderlich.
Nach Ansicht des Generalanwalts ist die zitierte zweite, „vorangekreuzte“ Einwilligung sowohl nach alter wie auch nach neuer Rechtslage aus drei Gründen unwirksam (Rz. 84-93):
- Die Einwilligung sei nicht aktiv erteilt, da – anders als etwa bei dem Setzen eines Häkchens – objektiv nicht nachvollzogen werden könne, dass der Nutzer aktiv zugestimmt habe.
- Sie sei zudem nicht gesondert erteilt, weil die Einwilligung einen Teil der Handlung „Teilnahme am Gewinnspiel“ darstelle. Das Setzen oder Entfernen des Häkchens sei lediglich als vorbereitende Handlung für die eigentlich bindende Handlung (die Gewinnspielteilnahme) zu verstehen.
- Auch mangele es an der Informiertheit der Einwilligung. Zwar sei die Teilnahme am Gewinnspiel auch ohne Ankreuzen der zweiten Einwilligung möglich gewesen – darüber sei aber nicht ausreichend informiert worden.
Einwilligung erfordert aktive Zustimmung des Nutzers
Bislang handelte es sich hierbei „nur“ um eine Empfehlung, wobei man jedoch schon vermutete, dass der Gerichtshof dieser folgen wird. Und siehe da – in den Erwägungsgründen schließt sich der EuGH der Auffassung des Generalanwalts an:
Das Erfordernis einer „Willensbekundung“ der betroffenen Person deute auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziere aber kein aktives Verhalten eines Nutzers einer Website (Rn. 52).
Personenbezug unerheblich
Auch ließ der EuGH die Begründung nicht gelten, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsste die explizite Zustimmung zur Datenverarbeitung erteilt werden.
„Das Unionsrecht soll Nutzer vor jedem Eingriff in ihre Privatsphäre schützen, insbesondere gegen „Hidden Identifiers“ oder ähnliche Instrumente.“
so heißt es in der Pressemitteilung des Gerichtshofs.
Der Gerichtshof stellt ferner klar, dass Webseitenbetreiber gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen müssen.
Klare Anforderungen an Cookie-Banner
Um die vom EuGH formulierten Anforderungen zukünftig umsetzen zu können, werden einfache Cookie-Banner, die man einfach wegklickt oder stehen lässt, als Einwilligung nicht ausreichen. Kurioserweise ist auch das Cookie-Banner auf der Website des EuGH ein Beispiel für eine solche, mangelhafte Umsetzung.
Rechtspolitischer Ausblick
Deutschland hätte die seit 2009 geltende Cookie-Richtlinie längst umsetzen müssen. Die Richtlinie sah prinzipiell ein sog. Opt-In-Verfahren vor, bei dem Nutzer für den Einsatz von Cookies ihre Einwilligung geben müssen. Die Bundesregierung war dabei aber der Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz (§ 15 TMG) bereits EU-rechtskonform umgesetzt seien. Diese Interpretation war äußerst „sportlich“, da das TMG im Gegensatz zur Forderung der EU-Cookie-Richtlinie eine Opt-Out-Lösung ausreichen ließ. Das Urteil kann (auch) als klare Ansage an den deutschen Gesetzgeber verstanden werden, das deutsche Recht an die EU-Regeln anzupassen. Das Bundeswirtschaftsministerium kündigte bereits eine Änderung des Telemediengesetzes an.
Alternativ könnte auch der europäische Gesetzgeber zuvorkommen, indem es doch zu einer baldigen Verabschiedung der ePrivacy-Verordnung kommt. Gerade weil der EuGH in seinem heutigen Urteil einen relativ harten Kurs fährt, dürften nun deutlich mehr Parteien an einer Regelung in der ePrivacy-Verordnung interessiert sein. Jedenfalls im Interesse der Rechtsklarheit wäre eine solche Lösung wünschenswert.
Hallo,
hätten Sie eventuell ein Beispiel für eine gute Lösung im Sinne dieses Urteils?
Es gibt ja doch recht viele Varianten im Internet.
Vielen Dank im Voraus.
Mit freundlichen Grüßen
Es ist bereits abzusehen, dass die jetzt häufig eingesetzten Cookie-Banner mit wenig Text und 1-2 Klickmöglichkeiten durch komplexere Cookie Consent Panels ersetzt werden, um den Ansprüchen des EuGHs zu genügen. Um zu sagen wie diese konkret aussehen müssen, dafür ist es am Tag danach noch zu früh. Dies wird in den nächsten Monaten austariert werden.
Ich habe den Eindruck, dass das Urteil, auch hier, nicht richtig verstanden wird. Der EuGH hat überhaupt nicht geurteilt, ob für Cookies Einwilligungen erforderlich sind. Er hat lediglich geurteilt, dass für das Einholen einer Einwilligung eine vorausgefüllte Checkbox nicht ausreichend ist.
Dass keine wirksame Einwilligung vorliegt, wenn dies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, war die Antwort des Gerichts auf die erste Vorlagefrage des BGH. Sie bezieht sich mithin auf den konkreten Sachverhalt im Rechtsstreit zwischen Planet 49 und der vzbv.
Um zu diesem Ergebnis zu kommen, legt der EuGH aber in den Rn. 49 ff. den Art. 5 Abs. 3 der Richtlinie 2002/58 verbindlich dahingehend aus, dass der Nutzer zur Speicherung und zum Abruf von Cookies auf seinem Endgerät seine Einwilligung durch ein aktives Verhalten (Rn. 52) ohne jeden Zweifel (Rn. 54) gegeben haben muss.
Bisher knüpfte der wacklige deutsche Sonderweg am Wortlaut der Richtlinie insbesondere „seine Einwilligung gegeben“. Denn wie auch der EuGH anmerkt (Rn. 49), enthält die Norm keine Angaben dazu, wie die Einwilligung zu geben ist. Die Einwilligungsvoraussetzung des Art. 5 Abs. 3 der Richtlinie wurde dahingehend ausgelegt, dass auch ein Opt-Out in Fällen der pseudonymen Nutzungsprofilerstellung diese erfüllen würde.
Dem hat der EuGH eine deutliche Absage erteilt, denn Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, müssen in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten. (Rn. 47)
Ich stimme Barristan vollkommen zu. Dem Urteil lassen sich nur zwei Aussagen entnehmen, die eigentlich alte Hüte sind: Cookie Banner sind keine Einwilligungen und ich muss Informationen zur Cookie-Laufzeit und möglichen Empfängern erteilen.
Der EuGH hat sich nur damit beschäftigt, WIE eine Einwilligung einzuholen ist. OB es einer solchen bedarf war überhaupt nicht Gegenstand der Vorlagefrage. Zur Frage, ob die Verwendung solcher Cookies auch auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, finde ich in dem Urteil nichts.
Abgesehen davon, wie haben Sie das Urteil denn verstanden?
Das es einer Einwilligung für nicht unbedingt erforderlich Cookies bedürfen soll, ergibt sich direkt aus dem Gesetz, nämlich Art. 5 Abs. 3 der Richtlinie 2002/58/EG. Demnach haben die Mitgliedstaaten sicherzustellen, „dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Aufgrund der angeblichen Umsetzung dieser Richtlinien durch § 15 Abs. 3 TMG und dem Umstand, dass die ePrivacy-Verordnung nicht zusammen mit der DSGVO in Kraft getreten ist, ergeben sich durch die im Rahmen des Urteils getroffenen Ausführungen zu Art. 5 Abs. 3 der ePrivacy-Verordnung für Deutschland, dass eine aktive Einwilligung erforderlich ist. Wieso genau, hatten wir in einem Gedankenspiel vor Anwendbarkeit der DSGVO einmal ausgebreitet.
§ 15 Abs. 3 TMG stellt keine Einwilligung nach Art. 5 Abs. 3 der RL dar. Damit ist die Vorschrift nicht anzuwenden. Soweit so gut.
Art. 5 Abs. 3 RL wurde damit aber insgesamt nicht umgesetzt und ist auf den Webseitenbetreiber schlicht nicht anwendbar. Es gilt daher allein Art. 6 DSGVO.
In der DSGVO sind alle Rechtfertigungstatbestände von der Einwilligung bis zur Interessenabwägung gleichwertig. Die Frage ist, wie fällt bei der Verwendung von Cookies die Interessenabwägung aus? Und kommt hier am Ende die ePrivacyVO doch noch durch die Hintertür der Interessenabwägung ins Spiel?
Diese Fragen und der Klassiker, ob eine unwirksame Einwilligung die berechtigten Interessen sperrt, muss nun der BGH beantworten. Für beides wäre wohl eine erneute Vorlag an den EuGH erforderlich.
Die Kommentatoren von Dr. Datenschutz sind sich in der Auslegung des Urteils nicht immer einig. Der hier Kommentierende allerdings stimmt Ihren Ausführungen vollkommen zu. Dies wäre Option 1, siehe auch die Antwort auf lacrosse.
Cookie-Banner sind nichts als eine sinnlose Nerverei, da sowieso kaum jemand auf die Sichtung einer Seite verzichtet, weil das Management der dort erhobenen, pseudonymisierten Daten im Detail nicht gefällt.
Wer keine Werbung sehen will und Tracking ablehnt, surft mit entsprechenden Einstellungen im Browser oder anderen Adblockern. Und nimmt in Kauf, dass einige Seiten so nicht betretbar sind.
Die Richtlinie 2002/58 ist eine Richtlinie und keine EU-Verordnung und entfaltet keine unmittelbare Wirkung – das tat sie bisher auch nicht. Die RL wurde mangelhaft in nationales Recht umgesetzt. Es macht doch nun Sinn auf das neue TMG zu warten, bevor wir alle losrennen. Oder die Eprivacy-VO beantwortet die Frage(n), wann immer sie auch kommen mag.
Dem ersten Satz stimmen wir zu. Der zweite Satz spiegelt die Ansicht der Datenschutzaufsichtsbehörde wider, wie sie in der Orientierungshilfe der Aufsichtsbehörden für Telemedienanbieter vertreten wird (Option 1). Demnach ergäben sich aber nur keine Änderungen für Cookies ohne Personenbezug. Für Cookies mit Personenbezug würde die DSGVO gelten. Dabei würde ein berechtigtes Interesse am Setzen nicht unbedingt erforderlicher Cookies wohl in der Regel ausscheiden, da dies gegen geltendes (wenn auch nicht umgesetztes) Recht verstößt.
Daneben gibt es noch die Möglichkeit, dass der BGH, wie in seiner Vorlage in Rn. 31 angedeutet, die Vorschriften des TMG richtlinienkonform auslegt (Option 2). In beiden Fällen ist jedoch klar, dass nicht unbedingt erforderliche, personenbezogene Cookies zukünftig nur noch mit der aktiven Einwilligung des Nutzers gesetzt werden dürfen. Interessant wird jetzt vor allem die Debatte um die Frage, was denn unbedingt erforderlich ist.
Das bedeutet, dass ich für ein session-cookie ohne Nutzerdatenspeicherung überhaupt keinen Cookie-Hinweis und/oder Einwilligungsfeld bereitstellen muss? Das cookie ist lt. meinem Seitenbetreiber „notwendig“….
Zu dem Umgang Session-Identifiers haben sich die Aufsichtsbehörden in ihrem Papier für Telemedienanbieter und im Working Paper 194 geäußert.
Für alle WordPress Nutzer welche Opt-In nutzen möchten, stelle ich die besten Plugins in meinem neuen Beitrag vor (+ Installationsanleitung)
holgerfreier.de/wordpress-cookie-plugin
Kann das Erfassen von Daten über Google Analytics nicht auch als Reichweitenmessung (wofür ein Opt-Out meines Wissens nach ausreicht) gelten? Solange es nur für eigene Zwecke, ohne Übertragung an andere Stellen, genutzt wird, gilt es nicht zwangsweise als Tracking, oder?
Was m.E. nicht geklärt ist:
Ist man als Betreiber einer Webseite verpflichtet, die Webseite auch nutzbar zu machen, auch wenn der Besucher sich gegen das Setzen von Werbe- und Trackingcookies ausgesprochen hat?
Im Speziellen geht es darum, dass man z.B. einen Layer vor die Webseite schaltet, dort einen entsprechenden Text verfasst und das Einverständnis des Nutzers einholt, Werbe- und Trackingcookies setzen zu dürfen. Erklärt er sich einverstanden (Klick auf „Einverstanden“, werden die Cookies gesetzt und die Webseite geladen.
Unsere Lösung sieht aber hier kein „Nein“ vor, so dass der Besucher nur die Wahl hat und sein Einverständnis erklären muss um die Webseite zu nutzen.
Einfacher Vergleich: Wenn ich einen Besucher nicht in mein Haus lassen möchte, bin ich auch nicht verpflichtet, ihm Zugang zu gewähren.
Richtig, das hängt von der höchst umstrittenen Frage ab, ob Art. 7 Absatz 4 DSGVO ein absolutes Koppelungsverbot statuiert oder nur ein Abwägungsgebot vorschreibt. Der Generalanwalt hatte sich zu der Frage noch geäußert. Der EuGH lässt die Frage (wohl bewusst) offen (Rn. 64):
„Schließlich ist hervorzuheben, dass das vorlegende Gericht den Gerichtshof nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „ohne Zwang“ (Art. 2 Buchst. h der Richtlinie 95/46) bzw. „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 der Verordnung 2016/679) erteilten Einwilligung vereinbar ist, wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt. Unter diesen Umständen braucht der Gerichtshof diese Frage nicht zu prüfen.“
Wir hatten das Thema im Beitrag Geld oder Daten – Wie weit geht das Kopplungsverbot der DSGVO? am Beispiel Standard.at angeschnitten. Die Aufsichtsbehörden gehen jedoch von einem absoluten Koppelungsverbot aus und würden wohl Einwilligungen, durch die von Ihnen angesprochene Lösung, als unfreiwillig und somit unwirksam ansehen.
Wie ist es eigentlich mit Webseiten die eine Anmeldung benötigen und nur für den internen Gebrauch bestimmt sind ? Muss dort dieser Schwach… mit getragen werden ?
Für mich ist diese Verordnung ein weiteres Mittel um den armen Abmahnanwälten unter die Arme zu greifen.
Das Ganze ist mittlerweile so kompliziert und verworren das man im EU Bereich für jeden Schmarren einen Anwalt brauch.
Aber Unterstützung kommt von seitens der EU keine. Typisch Politik.
Ob die Vorgaben des § 25 TTDSG im Beschäftigtenverhältnis anzuwenden sind ist ebenso wie die Frage, ob das Fernmeldegeheimnis greift, umstritten und bisher nicht abschließend geklärt. Da ein Verstoß gegen die Vorgaben von § 25 TTDSG mit Bußgeldern von bis zu 300.000 EUR belegt werden kann, macht es aus Compliance-Sicht Sinn, von einer Anwendbarkeit auszugehen.