Opt-In oder Opt-Out? Gegenstimmen gegen die Einwilligungspflicht für Cookies in Deutschland werden laut
Der EuGH hat mit Urteil vom 01.10.2019 (Az. C-673/17) jüngst eine generelle Einwilligungspflicht für alle Cookies bestätigt, die für den Betrieb einer Website nicht zwingend erforderlich sind. Dabei stützte sich der Gerichtshof maßgeblich auf die europäische Cookie-Richtlinie 2002/58/EG. Einzelne Verbände wie auch Kanzleien vertreten nunmehr aber die Auffassung, dass die Grundsatzentscheidung sich auf die Rechtslage in Deutschland nicht auswirke und eine generelle Cookie-Einwilligungspflicht im Inland nicht angenommen werden könne. Im nachfolgenden Beitrag informiert die IT-Recht Kanzlei über diese Gegenstimmen und nimmt rechtlich Stellung.
Inhaltsverzeichnis
I. Wesentliche Argumente von Kritikern einer Cookie-Einwilligungspflicht in Deutschland
Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.
Der EuGH nimmt in seiner Entscheidung vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Das Grundsatzurteil des EuGH vom 01.10.2019 zur Cookie-Einwilligungspflicht hat die IT-Recht Kanzlei in diesem Beitrag aufbereitet.
Vereinzelt vertreten Verbände (so etwa der Bundesverband Digitale Wirtschaft (BVDW) e.V. in dieser Stellungnahme) wie auch Juristen nunmehr aber die Auffassung, dass das Cookie-Urteil des EuGH für Deutschland keine unmittelbare rechtliche Wirkung entfalte.
Angeführt wird vor allem das Argument, dass sich Deutschland in Umsetzung der benannten Cookie-Richtlinie bewusst für weniger strenge Anbieterpflichten entschieden und so keine Opt-In-, sondern vielmehr nur eine Opt-Out-Voraussetzung geschaffen habe. Dies ergebe sich eindeutig aus § 15 Abs. 3 TMG, der in Deutschland die maßgeblichen Voraussetzungen für den Einsatz technisch nicht notwendiger Cookies regle.
§ 15 Abs. 3 TMG lautet wie folgt:
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Auf Linie dieses Argumentationsstrangs sind Vertreter der Ansicht nun der Meinung, der EuGH habe nur zur EU-Cookie-Richtlinie, aber gerade nicht darüber entschieden, inwiefern diese in Deutschland durch § 15 Abs. 3 TMG auch ordnungsgemäß umgesetzt worden sei.
Mithin gelte in Deutschland bis auf Weiteres der § 15 Abs. 3 TMG fort, der für technisch nicht notwendige Cookies nur ein Opt-Out vorschreibe. Diese Opt-Out-Lösung sei immerhin noch so lange aufrecht zu erhalten, bis der BGH nach der Zurückverweisung im zugrundeliegenden Fall auf Basis der EuGH-Vorlageentscheidung ein endgültiges Urteil fälle.
Im Übrigen sei insofern auch zu beachten, dass eine generelle und allgemeinverbindliche Cookie-Einwilligungspflicht erst im Zuge der geplanten ePrivacy-Verordnung eingeführt werden solle. Diese Verordnung, deren Inhalte Gegenstand eines bislang andauernden Konsolidierungsverfahrens sind, allein könne für alle Mitgliedsstaaten verbindlich eine Cookie-Einwilligungspflicht vorschreiben.
II. Rechtsauffassung der IT-Recht Kanzlei
Die IT-Recht Kanzlei vermag die dargestellte Ansicht nicht zu teilen.
Dies folgt zum einen daraus, dass der EuGH sich bei der Bestätigung einer generellen Einwilligungspflicht für technisch nicht notwendige Cookies gerade zu einem deutschen Sachverhalt positioniert und seine Rechtsausführungen mithin gerade auch auf die Rechtslage in Deutschland spezifiziert hat.
Zum anderen ist aber die Behauptung einer Fortgeltung des § 15 Abs. 3 TMG im Angesicht des eindeutigen Cookie-Einwilligungserfordernisses nach Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG mehr als fraglich.
Weil feststeht, dass der deutsche Gesetzgeber die Vorgabe einer Einwilligungspflicht für technisch notwendige Cookies aus der Richtlinie nicht hinreichend umgesetzt hat, sondern vielmehr weiterhin gesetzlich nur eine Widerspruchsmöglichkeit vorschreibt, ist von einer unzulänglichen nationalen Umsetzung der Richtlinie auszugehen.
Insofern erlaubt das EU-Recht Mitgliedsstaaten zwar grundsätzlich eine überschießende Richtlinienumsetzung, d.h. die Einführung eines strengeren Rechtsrahmen als von einer EU-Richtlinie vorgegeben. Nicht aber dürfen anders herum die Maßstäbe einer EU-Richtlinie lockerer umgesetzt oder die bindenden Regelungsvorgaben einer Richtlinie unterlaufen werden.
Kommt es, wie in Bezug auf die Umsetzung der Cookie-Einwilligung in deutsches Recht, bei einzelnen Richtlinienbestimmungen zu einer unzureichenden Umsetzung, ist nach Ablauf der Umsetzungsfrist grundsätzlich von einer sog. “unmittelbaren Anwendbarkeit“ der betroffenen Richtlinienbestimmung auszugehen. Dies gebietet der europarechtliche Grundsatz des „effet utile“, nach dem EU-Recht möglichst effektiv und rasch umgesetzt werden soll.
Für Deutschland bedeutet dies nach weit verbreiteter Ansicht, dass aufgrund der bislang gesetzlich verankerten bloßen Opt-Out-Voraussetzung für Cookies die Einwilligungspflicht der Richtlinie 2002/58/EG unmittelbar gilt. Einer Umsetzung dieser Vorschrift bedarf es also nicht (mehr), vielmehr wird der unzureichende § 15 Abs. 3 TMG rechtlich durch das europäische Einwilligungserfordernis unmittelbar überschrieben.
Dies hat aber zur Folge, dass die Pflicht zur Einholung von Einwilligung für technisch nicht notwendige Cookies trotz der mangelnden Kodifizierung auch in Deutschland bereits dem geltenden Recht so entspricht, dass das EuGH-Urteil unmittelbare Wirkung für deutsche Seitenbetreiber entfaltet.
III. Handlungsempfehlung der IT-Recht Kanzlei
Ausgehend von der oben geäußerten Rechtsaufassung rät die IT-Recht Kanzlei dazu, dem Grundsatzurteil des EuGH zur Cookie-Einwilligungspflicht unbedingt Beachtung zu schenken und so davon auszugehen, dass technisch nicht notwendige Cookies auch in Deutschland nur dann gesetzt werden dürfen, wenn der jeweilige Nutzer hierin zuvor ausdrücklich eingewilligt hat.
Welche Handlungsoptionen Händler im Angesicht der Einwilligungspflicht nun haben, zeigen wir hier auf.
FAQ zu den Anforderungen an ein wirksames Cookie-Einwilligungsmanagement finden sich hier.
Welche Cookies auf Webseiten technisch notwendig sind und welche nicht, haben wir schließlich hier zusammengetragen.
Tipp: Kostenloses und unbeschränktes Cookie-Consent-Tool: für Mandanten
Die IT-Recht Kanzlei stellt ihren Mandanten hier im Mandantenportal ein kostenloses Cookie-Consent-Tool zur Einbindung in Shops und auf Webseiten zur Verfügung - dies in Kooperation mit dem Datenschutz-Komplettdienst PRIVE.
Dieses Cookie-Consent-Tool bringt folgende Vorteile mit sich:
- Bis zu 20.000 Seitenaufrufe pro Monat kostenfrei.
- Vollständig datenschutzkonformes Cookie-Einwilligungsmanagement nach dem aktuellen Stand der Technik
- Basierend auf der Technologie von Usercentrics, einem Marktführer im Bereich der Consent-Tools
- Einfache Konfiguration und Integrierbarkeit auch für Laien
- Plattformunabhängige Nutzbarkeit
- Unterstützung der deutschen und englischen Sprache (wird noch erweitert)
- Unterstützung aller gängigen Tacking- und Analysedienste
- Laufende Pflege und steter Ausbau des Tools
- Kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
weitere News
2 Kommentare
Es soll laut Aussage eine Möglichkeit geboten werden, die gemachte Zustimmung zu widerrufen. (Beim Anbieter Prive vermisse ich diese. Andere Anbieter haben sowas drin). Aber was muss auf der Seite technisch passieren, wenn der Nutzer widerruft?
Das Problem an der Sache:
Wenn der Nutzer erst zustimmt, dann aber widerruft, werden keine Cookies gelöscht. Der Nutzer widerspricht also dem Einsatz von Cookies, hat diese aber bereits auf dem Rechner. Was nun?
In allen Beiträgen auf dieser Seite wird erwähnt, dass der Nutzer jederzeit widerrufen darf, aber nirgendwo wird gesagt, was dann passieren soll.
Müssen also Cookies bei Widerruf vom Seitenbetreiber entfernt werden? Oder widerruft der Nutzer nur das zukünftige Neu-Setzen von Cookies? Keine am Markt befindliche Lösung löscht nachträglich Cookies.
Meines Erachtens eine sehr große Lücke.