Die Verwendung von Cookies auf Homepages ist hoch umstritten und viel diskutiert. Was muss beim Setzen von Cookies beachtet werden? Ist eine Einwilligung des Users notwendig? Welche Voraussetzungen werden an eine wirksame Einwilligung gestellt? – Alles Fragen, für die es bisher nur unterschiedliche Ansichten und sehr strenge Leitlinien von Seiten der Aufsichtsbehörden gibt. Mit seinem heutigen Urteil hat der EuGH zur Gestaltung von Einwilligungserklärungen zum Setzen von Cookies klar Stellung bezogen:

  • Auf Informationen, die im Endgerät eines Nutzers gespeichert sind, darf nur zugegriffen werden, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, seine Einwilligung gegeben hat
  • Es spielt keine Rolle ob es sich bei den gespeicherten Informationen um personenbezogene Daten handelt, oder nicht
  • Der Nutzer muss vor Erteilung seiner Einwilligung umfassend über das gesetzte Cookie, seine Funktionsweise, seine Funktionsdauer und Zugriffsmöglichkeiten von Dritten aufgeklärt werden
  • Ohne aktive Zustimmung liegt keine Einwilligung des Nutzers vor

Der Sachverhalt

Das verklagte Unternehmen veranstaltete eine Reihe von Gewinnspielen, bei denen die Teilnahme an die Zustimmung zum Erhalt von Werbung gekoppelt war. Der User konnte zwei Haken setzen bzw. entfernen – einen, um der Kontaktaufnahme verschiedener Firmen zu Werbezwecken zuzustimmen und einen für die Einwilligung zur Nutzung von Tracking-Cookies. Die Teilnahme an einem Gewinnspiel davon abhängig zu machen, ob dem Erhalt von Werbung zugestimmt wird, steht der Wirksamkeit dieser Einwilligung nicht zwingend entgegen.

Darf die Teilnahme an einem Gewinnspiel von der Einwilligung für Werbung abhängig gemacht werden?

Mit dieser Fragestellung hat sich kürzlich auch das Oberlandesgericht (OLG) Frankfurt beschäftigt. Es bestätigte in seinem Urteil vom 27.06.2019 (Az.: 6 U 6/19), dass die DS-GVO kein absolutes Koppelungsverbot statuiert hat und der Deal „Werbung gegen Gewinnchance“ grundsätzlich zulässig ist. Unternehmen müssen aber bei der Gestaltung einige Punkte beachten. Mehr dazu lesen Sie in unserem Artikel „Absolutes Koppelungsverbot durch die DS-GVO – oder doch nicht?“

Problematisch im vorliegenden Fall des EuGH war vielmehr die Zustimmung zum Setzen des Tracking-Cookies, da hier der Haken bereits voreingestellt war. Der User musste den Haken also aktiv entfernen, um das Setzen des Cookies zu verhindern. Dies wird als sog. Opt-Out-Verfahren bezeichnet: die Einwilligung des Users wird grundsätzlich angenommen und muss widerrufen werden. Dieses Vorgehen basierte auf der Regelung des deutschen Telemediengesetzes (TMG). Danach gilt, dass Website-Betreiber Tracking-Cookies setzen dürfen, insofern der User ausreichend informiert ist und nicht aktiv widerspricht (§ 15 Abs. 3 TMG).

Ob diese Regelung mit den europäischen Vorgaben zum Datenschutz vereinbar ist, ist seit Jahren umstritten. Der Fall durchlief alle Instanzen bis zum Bundesgerichtshof (BGH) und kam schließlich vor den EuGH, da der Sachverhalt grundlegende Fragen des europäischen Datenschutzrechts in Bezug auf die Anforderungen an eine wirksame Einwilligung, deren Notwendigkeit sowie der Anwendbarkeit von Rechtsvorschriften beinhaltet. Konkret wollte der BGH wissen:

  • Liegt eine wirksame Einwilligung vor, wenn ein voreingestelltes Ankreuzkästchen vom Nutzer zur Verweigerung seiner Einwilligung abgewählt werden muss?
  • Spielt es für die Notwendigkeit einer vorherigen Einwilligung eine Rolle, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  • Welche Informationen muss der Nutzer vor seiner Einwilligung über das Cookie erhalten?

Die Entscheidung des EuGH

Der EuGH hat die an ihn gestellten Fragen sowohl nach der alten Datenschutzrichtlinie als auch nach der seit 25.05.2018 geltenden Datenschutzgrundverordnung (DS-GVO) beurteilt. Der Hauptunterschied beider Gesetze ist, dass nur die DS-GVO direkt geltendes Recht in Deutschland ist. Die Richtlinie hingegen verpflichtet den deutschen Gesetzgeber ein entsprechendes deutsches Gesetz zu erlassen. Die Antwort auf die jeweiligen Fragen sind im Ergebnis bei beiden Vorschriften gleich, sodass es gar keine Rolle spielt ob aufgrund des Alters des Sachverhalts noch die Richtlinie heranzuziehen ist oder schon die DS-GVO.

Voreingestellte Ankreuzkästchen reichen für eine Einwilligung nicht aus

Muss es unbedingt Opt-In sein oder reicht nicht auch das einfachere Opt-Out Verfahren aus? Sowohl nach der Datenschutzrichtlinie als auch nach der DS-GVO ist es dem EuGH zufolge nicht möglich eine informierte Einwilligung zu erteilen, ohne dabei selbst aktiv zu werden. Schließlich ist es bei einem voreingestellten Ankreuzkästchen durchaus möglich, dass der Nutzer die Information gar nicht wahrnimmt oder übersieht. Es ist deshalb praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner Daten gegeben hat. Das nach dem deutschen Telemediengesetz mögliche Opt-Out Verfahren ist deshalb mit den Vorgaben der europäischen Richtlinie nicht zu vereinbaren.

Seit dem 25.05.2018 sind Einwilligungserklärungen unmittelbar nach der DS-GVO zu beurteilen, die den Begriff der Einwilligung eindeutig als eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ definiert. Die DS-GVO schreibt damit das Opt-In Verfahren explizit vor, wobei in den Erwägungsgründen noch einmal klargestellt wird, dass Stillschweigen, vorangekreuzte Kästchen und Untätigkeit der betroffenen Person keine Einwilligung darstellen.

Personenbezug der Daten spielt für die Notwendigkeit der Einwilligung keine Rolle

Ziel der datenschutzrechtlichen Vorgaben ist es, die Privatsphäre des Nutzers zu schützen. Im Bereich der Cookies kann dieser Schutz effektiv nur gewährleistet werden, wenn es für die Einwilligung keine Rolle spielt, ob die im Endgerät des Nutzers gespeicherten Daten personenbezogen sind oder nicht. Deshalb sprechen die relevanten Normen an dieser Stelle auch nur von der „Speicherung von Informationen“ bzw. dem „Zugriff auf Informationen“.
Informationen, die Nutzer elektronischer Kommunikationsnetze in ihren Endgeräten speichern, sind Teil der Privatsphäre der Nutzer. Diese wird durch die Europäische Konvention zum Schutze der Menschenrechte und die Grundfreiheiten umfassend geschützt. Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere den Schutz vor sog. „Hidden Identifiers“ oder ähnlichen Instrumenten, die ohne das Wissen der Nutzer in deren Endgeräte eindringen. Daher ist stets eine Einwilligung des Nutzers erforderlich, wenn ein Cookie auf Daten zugreift, die im Endgerät eines Nutzers gespeichert sind.

Ausführliche Information des Nutzers notwendig

Die Einwilligung des Nutzers ist nur dann wirksam, wenn er vorher umfassend über die Datenverarbeitung der betreffenden Cookies informiert wurde. In seiner Entscheidung hat der EuGH explizit aufgeführt, dass folgende Inhalte zwingend Teil der Nutzerinformation sein müssen:

  • Identität der verantwortlichen Stelle
  • Zweckbestimmungen der Verarbeitung
  • Empfänger oder Kategorien der Empfänger der Daten
  • Funktionsdauer der Cookies

Dem Nutzer muss es ermöglicht werden, die Funktionsweise der verwendeten Cookies zu verstehen und zu wissen, welche Informationen wie lange gespeichert und an wen weitergegeben werden. Hierzu gehörten bei dem betroffenen Tracking-Cookie auch genaue Angaben zur Sammlung zahlreicher Informationen über die Nutzungsgewohnheiten und die Häufigkeit etwaiger Besuche des Nutzers auf den Websites der Werbepartner.

Auswirkungen der Entscheidung

Die Entscheidung des EuGH stellt klar, dass viele Cookiebanner einer gerichtlichen Prüfung nicht standhalten werden. Bisher haben viele Unternehmen auf ihrer Seite lediglich ein einfaches informatives Cookiebanner angebracht und die weitere Entwicklung – insbesondere die noch ausstehende E-Privacy-Verordnung – abgewartet. Nach dem Urteil des EuGH müssen sich Unternehmen nun eingehender mit den Cookies auseinandersetzen, die sie auf ihrer Firmenhomepage verwenden.

Immer dann, wenn ein Cookie auf Informationen zugreift, die im Endgerät des Nutzers gespeichert sind, muss der Nutzer vorher aktiv einwilligen und umfassend informiert werden. Einfache generalisierende Hinweise auf die Verwendung von Cookies sind nicht ausreichend. Unternehmen sind daher verpflichtet:

  • Die auf ihrer Homepage eingesetzten Cookies genau zu analysieren
  • Sich vor dem Einsatz von Cookies, die auf Daten zugreifen, die im Endgerät des Nutzers gespeichert sind, eine aktive Einwilligung geben zu lassen
  • Die Funktionsweise und Funktionsdauer jedes einwilligungspflichtigen Cookies in der Datenschutzerklärung klar und verständlich zu beschreiben

Update: BGH fällt abschließendes Urteil

Auf Basis der Entescheidung der europäischen Richter hat der BGH den Fall mit seinem Urteil vom 28.05.2020 abgeschlossen. Er gab dem Kläger Recht und bestätige, dass er keine wirksame Einwilligung zum Setzen von Tracking-Cookies gegeben hat. Ausführliche Informationen zur Entscheidung des BGH finden Sie in unserem Blogartikel Datenschutz-Urteile des BGH: Cookies & Abmahnungen.