Wird der Entwurf der ePrivacy-Verordnung nach dem EUGH-Urteil zum Einsatz von Cookies überflüssig?

Der Entwurf einer Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung) soll die Datenschutzgrundverordnung (DSGVO) hinsichtlich elektronischer Kommunikationsdaten ergänzen und präzisieren. Die Verordnung soll u.a. regeln, ob beim Einsatz von Cookies die vorherige Einwilligung des Nutzers einer Website vorliegen muss (sog. Opt-In Regelung). Bisher war umstritten, ob der Einsatz von technisch nicht notwendigen Cookies nach deutschem Recht erlaubt ist, solange der Nutzer dem nicht nachträglich widerspricht (Opt-Out). Nun hat der EUGH entschieden, dass der Nutzer in die Verwendung von technisch nicht notwendigen Cookies zuvor einwilligen muss. Wird mit diesem Urteil der Entwurf der ePrivacy-Verordnung überflüssig?

Wenn Sie diese Frage interessiert, dann lesen Sie den folgenden Beitrag.

1. Entscheidung des EuGH zur Einwilligungspflicht für Cookies)

Der EuGH hat mit Urteil vom 1.10.2019, Az. C-673/17 eine generelle Einwilligungspflicht für technisch nicht zwingend erforderliche Cookies bestätigt. Die IT-Recht Kanzlei hatte hierzu berichtet. Damit ist nach Ansicht der IT-Recht Kanzlei auch für Deutschland geklärt, dass Website-Betreiber bei Einsatz von technisch nicht notwendigen Cookies die vorherige ausdrückliche und informierte Einwilligung des Nutzers einholen müssen. Eine vorangehakte Einwilligung reicht nicht aus. Es reicht auch kein Einwilligungsbanner mehr dahingehend aus, dass von der Einwilligung des Nutzers zur Verwendung von Cookies ausgegangen wird, wenn der Nutzer die Webseite weiterhin nutzt. Der Nutzer muss zudem vor der Einwilligung zum Einsatz von Cookies über die Funktionsdauer und die genaue Bezeichnung der Anbieter von Cookies informiert werden.

2. Offene Fragen

Die EuGH-Entscheidung lässt allerdings wichtige Fragen beim Einsatz von Cookies offen. Als Beispielsfälle wären zu nennen (s. hierzu auch Beitrag der IT-Recht Kanzlei (https://www.it-recht-kanzlei.de/cookie-consent-bedarf-huerden.html):

• Besteht ein Verbot, die Nutzung der Website eines Anbieters von der Einwilligung in die Verwendung von Cookies abhängig zu machen (sog. Kopplungsverbot oder „cookie walls“). Wenn ja, was wären die genauen Kriterien für die Ausgestaltung eines solchen Kopplungsverbots. Hier besteht bei den nationalen Datenschutzbehörden der EU-Mitgliedsstaaten keine einheitliche Position.
• Wie genau ist ein Banner zur Einwilligung in die Verwendung von Cookies auszugestalten. Muss der Nutzer in den Einsatz jedes einzelnen Cookies eines Dienstes einwilligen oder dürfen Gruppen von einwilligungspflichtigen Cookies gebildet werden (z.B. Online-Marketing, Webanalyse-Dienste, Bestellabwicklung)
• Was genau sind technisch erforderliche Cookies, wo liegen die Grenzen der Erforderlichkeit

Fazit: Auch wenn die nach deutschem Recht bisher strittige Frage der verpflichtenden vorherigen Einwilligung zur Verwendung von technisch nicht zwingend erforderlichen Cookies jetzt grundsätzlich geklärt ist, bleiben viele Fragen offen, die unter anderem von einer künftigen ePrivacy- Verordnung geregelt werden sollten.

3. Schutzzweck der ePrivacy-Verordnung

Schon auf Grund des weiten Anwendungsbereichs der geplanten Verordnung, die sich nicht nur mit der Frage des Einsatzes von Cookies beschäftigt, wird auf Grund des oben zitierten EuGH-Urteils die geplante ePrivacy-Verordnung keinesfalls überflüssig.

Der Anwendungsbereich der Verordnung ist weit gespannt und soll allgemein alle elektronischen Kommunikationsdaten abdecken und nicht nur den engen Anwendungsbereich von Cookies. Bei elektronischen Kommunikationsdaten ist an Daten zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts eines Kommunikationsvorgangs gedacht, unabhängig davon, ob solche Signale über Kabel, Funk, optische oder elektromagnetische Medien, einschließlich Satellitennetze, Kabelnetze, Festnetze (leitungs- und paketvermittelte, einschließlich Internet) und terrestrische Mobilfunknetze oder Stromleitungssysteme übertragen werden (s. Entwurf der EU-Kommission).

Allerdings hatte im Laufe des Gesetzgebungsverfahrens die Frage der Einwilligung zum Einsatz von Tracking-Cookies EU eine dominante Rolle gespielt und waren die Verhandlungen zwischen EU-Parlament und dem EU-Ministerrat vor allem wegen dieser Frage festgefahren. In der Vergangenheit hatten die früheren österreichischen und rumänischen Ratspräsidentschaften strittige Verordnungsentwürfe eingebracht, die das vom EU-Parlament angestrebte Schutzniveau der ePrivacy-Verordnung erheblich absenken.

Immerhin hatte das EU-Parlament zum Einsatz von Cookies einige Punkte thematisiert, die jetzt nach dem Urteil des EuGH im weiteren Gesetzgebungsverfahren neue Beachtung finden könnten. Zu nennen wären etwa folgende Punkte:

• Die Verordnung soll den Einsatz von sog. „cookie walls“ (Cookie Mauern) verhindern. Damit soll verhindert werden, dass der Betreiber generell den Besuch seiner Webseite von der Zustimmung des Nutzers in die Verwendung von Cookies abhängig macht.
• Durch entsprechende Standardvoreinstellungen seines Browsers soll dem Nutzer die Möglichkeit eingeräumt werden, seine Einwilligung zum Einsatz von Tracking-Cookies gezielt und abgestuft zu formulieren. Der Betreiber einer Webseite muss den Einsatz seiner Tracking-Technologien daher für die Standardeinstellung so konfigurieren, dass Tracking-Cookies ohne Einwilligung nicht auf dem Computer des Nutzers gespeichert werden und die Speicherung von personenbezogenen Daten durch Dritte ohne Einwilligung des Nutzers unmöglich ist. Der Nutzer muss bei erstem Besuch der Webseite des Betreibers über die Möglichkeit informiert werden, die datenschutzfreundliche Standardvoreinstellung zu ändern und andere Voreinstellungen nach seinen Präferenzen zu wählen. Entwickler von Software sollen angehalten werden, benutzerfreundliche Mittel zu entwickeln, wie solche Voreinstellungen bei entsprechender Information des Nutzers geändert werden können.
• Die vom Nutzer gewünschte Voreinstellung seines Browsers soll auch für Dritte verbindlich sein.

4. Letzter Stand des Gesetzgebungsverfahrens zur ePrivacy-Verordnung

Die finnische EU-Ratspräsidentschaft hat jetzt im Oktober 2019 einen neuen Vorschlag (englischsprachige Fassung) einer ePrivacy-Verordnung veröffentlicht, der der Arbeitsgruppe „Telekommunikation und Informationsgesellschaft“ des Rates der EU als Diskussionsgrundlage dienen soll. Wichtige vorgeschlagene Änderungen:

• Dieser Entwurf definiert Online-Marketing wesentlich weiter und schließt jetzt Online-Werbung mit ein.
• Elektronische Kommunikations-Metadaten, die durch den Endnutzer oder durch einen von dem Endnutzer beauftragten Dritten bearbeitet werden, sind vom Anwendungsbereich der Verordnung ausgeschlossen.
• Es bleibt bei der Regel, dass Online-Marketing der vorherigen Einwilligung des Verbrauchers als Endnutzer bedarf. Bei der (einwilligungspflichtigen) Erhebung von Kundendaten im Rahmen des Online-Vertriebs von Waren und Dienstleistungen genügt eine weiche Form der Einwilligung in die weitere Nutzung dieser Daten für Marketingzwecke (soft opt-in). In diesen Fällen muss der Online-Händler keine weitere vorherige Einwilligung des Kunden einholen, wenn diese Kontaktdaten für das eigene Marketing des Online-Händlers (first-party marketing) für ähnliche Produkte genutzt werden und wenn dem Kunden eine klare Möglichkeit des Widerspruchs gegeben wird (provided customers are "clearly and distinctly given the opportunity to object, free of charge and in an easy manner, to such use“). Auf dieses Widerspruchsrecht muss bei Einholung der Kundendaten hingewiesen werden. Die EU-Mitgliedsstaaten werden im Verordnungsentwurf aufgefordert, diese opt-out Option zeitlich zu befristen.
• Die oben zitierte EuGH-Entscheidung zur Einwilligung in die Verwendung von Cookies wird im finnischen Verordnungsentwurf berücksichtigt. Grundsätzlich sollen die Regeln der DSGVO zur Einwilligung beim Einsatz von Cookies Anwendung finden. Weiterhin nicht gelöst ist allerdings im neuen Verordnungsentwurf die Frage des Einsatzes von sogenannten „cookie walls“ und die Möglichkeit des Einsatzes von nutzerfreundlichen Browser-Voreinstellungen.

5. Ausblick

Immerhin scheint durch das Urteil des EuGH zum Einsatz von Cookies wieder Bewegung in das Gesetzgebungsverfahren gekommen zu sein. Das Urteil des EuGH kann möglicherweise dazu beitragen, die jetzige Blockade im Gesetzgebungsverfahren zur ePrivacy-Verordnung aufzulösen. Der jetzt vorgelegte Entwurf der finnischen Ratspräsidentschaft ist nur ein erster Schritt. Es ist aber noch nicht abzusehen, wann die Verhandlungen zur ePrivacy-Verordnung vom neuen EU-Parlament im sog. Trilog mit der EU-Kommission und dem EU-Ministerrat wieder aufgenommen werden. Die neue EU-Kommission ist nach wie vor nicht im Amt. Die IT-Recht Kanzlei wird hierzu berichten.

Tipp: Kostenloses und unbeschränktes Cookie-Consent-Tool: für Mandanten

Die IT-Recht Kanzlei stellt ihren Mandanten hier im Mandantenportal ein kostenloses Cookie-Consent-Tool zur Einbindung in Shops und auf Webseiten zur Verfügung - dies in Kooperation mit dem Datenschutz-Komplettdienst PRIVE.

Dieses Cookie-Consent-Tool bringt folgende Vorteile mit sich:

• Bis zu 20.000 Seitenaufrufe pro Monat kostenfrei.
• Vollständig datenschutzkonformes Cookie-Einwilligungsmanagement nach dem aktuellen Stand der Technik
• Basierend auf der Technologie von Usercentrics, einem Marktführer im Bereich der Consent-Tools
• Einfache Konfiguration und Integrierbarkeit auch für Laien
• Plattformunabhängige Nutzbarkeit
• Unterstützung der deutschen und englischen Sprache (wird noch erweitert)
• Unterstützung aller gängigen Tacking- und Analysedienste
• Laufende Pflege und steter Ausbau des Tools
• Kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.