von RA Phil Salewski

EuGH: Cookie-basierte Anwendungen weitgehend einwilligungspflichtig

News vom 01.10.2019, 11:43 Uhr | 9 Kommentare 

Handlungsalternativen bei der Verwendung von Cookies zu Werbe-, Tracking- und Webanalysezwecken Hinweis: Interessante weiterführende Informationen zum Thema hat die IT-Recht Kanzlei in ihrem Beitrag "Handlungsalternativen bei der Verwendung von Cookies zu Werbe-, Tracking- und Webanalysezwecken" veröffentlicht.

Die Frage, ob der Einsatz von Cookies auf Webseiten zwingend eine wirksame Einwilligung betroffener Nutzer voraussetzt und mit welchen technischen Ausgestaltungen diese gegebenenfalls eingeholt werden muss, beschäftigt deutsche Gerichte schon seit langem. Mir Urteil vom 01.10.2019 (Az. C-673/17) hat sich auf Vorlagefragen des BGH hin nun der EuGH eindeutig positioniert und eine Einwilligungspflicht für alle technisch nicht notwendigen Cookies bestätigt. Gleichzeitig hat das oberste europäische Gericht wesentliche Leitsätze für die technischen Erfordernisse zur Einholung von Cookie-Einwilligungen aufgestellt. Lesen Sie im Folgenden mehr zur aktuellen Entscheidung und zu deren erheblichen Auswirkungen auf den Online-Handel.

Über die aktuelle Entscheidung des EuGH zur Einwilligungspflicht für technisch nicht notwendige Cookies und zu den Modalitäten der Einholung können Sie gerne mit uns in unserer Facebook-Unternehmergruppe diskutieren.

I. Die Cookie-Richtlinie und die (fehlende) Umsetzung in Deutschland

Bereits im Jahr 2002 sah der europäische Gesetzgeber mit der Richtlinie 2002/58/EG Anlass, Grundsätze für den Datenschutz bei der elektronischen Kommunikation aufzustellen und hierbei insbesondere die Zulässigkeitsanforderungen für den Einsatz sogenannter Cookies zu regeln. Unter Cookies werden kleine Textdateien verstanden, die auf dem Endgerät eines Nutzers gespeichert werden und hierdurch das Auslesen bzw. die Übermittlung bestimmter Informationen ermöglichen.

In Artikel 5 Abs. 3 der ursprünglichen Richtlinie wurde der Einsatz von Cookies für zulässig erklärt, soweit der Nutzer umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhielt und die Möglichkeit erhielt, per Opt-Out dem Einsatz von Cookies zu widersprechen:

Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Diese Vorschrift wurde in Deutschland mit § 15 Abs. 3 TMG umgesetzt, der insofern eine Opt-Out-Lösung für Cookies vorgibt.

Technologische Entwicklungen und Big Data ließen in den Folgejahren aber Zweifel daran aufkommen, ob mit bloßen informatorischen Anforderungen dem angestrebten Datenschutzniveau beim Einsatz von Cookies hinreichend Rechnung getragen wurde.
Diese Zweifel bewegten den europäischen Gesetzgeber schließlich zum Erlass der Änderungsrichtlinie 2009/136/EG, der nunmehr für cookie-basierte Verarbeitungen immer dann eine ausdrückliche Nutzereinwilligung forderte, wenn diese für den Betrieb einer Website nicht technisch notwendig sind:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Die hierdurch aufgestellte Einwilligungspflicht für Cookies wurde in Deutschland bislang nicht in einem entsprechenden nationalen Gesetz verankert. Vielmehr blieb der § 15 Abs. 3 TMG unverändert bestehen.

Dies bot in den Folgejahren immer wieder Zündstoff für Diskussionen rund um die Einwilligungspflicht von Cookies, die Ihren Höhepunkt schließlich mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) fanden.

Diese trifft über den Einsatz von Cookies keine konkrete Aussage, etabliert aber für personenbezogene Datenverarbeitungen neben der Einwilligung vor allem auch berechtigte Interessen als hinreichende Rechtfertigungsgrundlage.

Mit der DSGVO entstanden ist in Bezug auf die Anforderungen an den zulässigen Einsatz von Cookies mithin ein Spannungsverhältnis zur Änderungsrichtlinie 2009/136/EG. Vielerorts wurde argumentiert, dass cookie-basierte Verarbeitungen von Informationen nicht zwingend auch personenbezogene Daten betreffen müssen. Wenn aber nach der DSGVO schon die Verarbeitung von viel schützenswerteren personenbezogenen Daten auch über berechtigte Interessen gerechtfertigt werden könnte, müsse dies für Informationsverarbeitungen durch Cookies erst recht gelten und könne keine generelle Einwilligung vorausgesetzt werden.

1

II. Das Machtwort des EuGH

Mit Urteil vom 01.10.2019 (Az. C-673/17) hat sich nunmehr der EuGH eindeutig zur streitigen Cookie-Einwilligung positioniert und auf Vorlagefragen des BGH hin zum einen Antwort zu den gestalterischen und informatorischen Anforderungen für deren Einholung gegeben. Zum anderen aber hat sich der EuGH zum verpflichtenden Informationsprogramm geäußert, das im Kontext von Cookie-Einwilligungen zu erfüllen ist.

1.) Der Sachverhalt

Anlass der Entscheidung des EuGH war eine Klage der Verbraucherzentrale Bundesverband (vzbv) gegen einen Online-Anbieter von Gewinnspielen, der auf der Teilnahmeseite eine vorformulierte Cookie-Einwilligungserklärung mit folgendem Inhalt vorhielt:

Ich bin einverstanden, dass der Webanalysedienst … bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die ….GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches …. eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch … ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.

Diese Einwilligungserklärung war zwar mit einem Ankreuzfeld („Tickbox“) versehen, dieses war aber bereits vorausgefüllt.

Der Bundesverband der Verbraucherzentralen hatte die Formulierung und die Umstände der Einwilligungsabfrage beanstandet und verfolgte die Unterlassung der Verwendung in der beschriebenen Form klageweise.

Nachdem beide Vorinstanzen zu jeweils unterschiedlichen Entscheidungen gekommen waren, sah sich der BGH als Revisionsinstanz gehalten, das Verfahren auszusetzen und dem EuGH mit Beschluss vom 05.Oktober 2017 (Az. I ZR 7/16) maßgebliche Fragen zur Auslegung des Einwilligungserfordernisses für Cookies vorzulegen.

Folgende Auslegungsfragen wurden dem EuGH zur Beantwortung übermittelt:

1.a.) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG (1) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG (2), wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
1.b.) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
1.c.) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 (3) vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

2.) Die Entscheidung des EuGH

In seiner Entscheidung äußerte sich der EuGH unter Bezugnahme auf die Vorlagefragen zum einen zu der Frage, inwieweit der Einsatz von Cookies von einer Nutzereinwilligung abhängen muss, welche Anforderung an deren Einholung umzusetzen ist und ob eine Einwilligungspflicht maßgeblich vom „Ob“ eines Personenbezugs der durch Cookies verarbeiteten Informationen abhängt.

In einem zweiten Schritt beschäftigte sich der EuGH mit den notwendigen Informationspflichten, die im Rahmen der Einwilligungseinholung gegenüber Nutzern umzusetzen sind.

Welche Anforderungen in technischer und gestalterischer Hinsicht für die Einholung wirksamer Einwilligungen bei cookie-basierten Verarbeitungen zu beachten sind, hat die IT-Recht Kanzlei in diesen FAQ zusammengefasst.

a) Pflicht zur Einholung ausdrücklicher Einwilligungen für technisch nicht notwendige Cookies unabhängig vom Personenbezug der verarbeiteten Daten

Der EuGH bekräftigte in seinem Grundsatzurteil zunächst, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG (in Form der Änderungsrichtlinie 2009/136/EG) für das Setzen von (technisch nicht notwendigen) Cookies grundsätzlich die vorherige Einwilligung des Nutzers erforderlich ist.

Welche Cookies im Online-Shop technisch notwendig sind und welche nicht, haben wir hier dargestellt.

Zwar enthalte die Richtlinie im entsprechenden Abschnitt keine eindeutige Vorgabe an die Modalitäten der Einwilligungserteilung. Allerdings gehe aus dem 17. Erwägungsgrund der Richtlinie 2002/58 hervor, dass für die Zwecke dieser Richtlinie die Einwilligung des Nutzers in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolge. Hierzu zähle auch „das Markieren eines Feldes auf einer Internet-Website“.

Nicht nur aus diesem Erwägungsgrund, sondern vor allem auch mit Blick auf die strengen Anforderungen der seit dem 25.05.2018 geltenden DSGVO sei zu folgern, dass eine wirksame Cookie-Einwilligung stets nur durch ein aktives Verhalten des Nutzers erteilt werden könne, mit er seinen Willen unzweideutig bekunde. Insofern werde nach der DSGVO einerseits eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Einwilligung gefordert. Andererseits schlössen nach Erwägungsgrund 32 Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit das Wirksamwerden von Einwilligungen explizit aus.

Dem EuGH zufolge erfordert jegliches Setzen von technisch nicht notwendigen Cookies demnach die vorher über ein aktives Nutzerverhalten ausdrücklich erklärte Einwilligung. Vorangekreuzte Einwilligungskästchen genügen diesem Erfordernis nicht.
Sodann positionierte sich der EuGH zu der Frage, ob die Einwilligungspflichtigkeit davon abhängig gemacht werde, ob infolge des Einsatzes von Cookies gerade personenbezogene Daten oder nur nicht personenbezogene Informationen verarbeitet würden.

Nach Auffassung des Gerichts gelte die Einwilligungspflicht für Cookies unabhängig vom Personenbezug der hierdurch verarbeiteten Informationen. Der mit dem Einwilligungserfordernis bezweckte Schutz erstrecke sich vielmehr auf alle in Endgeräten in Form von Cookies gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasse insbesondere „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.

b) Informationen über Cookie-Funktionsdauer und mögliche Datendrittzugriffe bedingen Wirksamkeit von Cookie-Einwilligungen

Abschließend urteilte der EuGH über die Frage, ob zu den nach Art. 5 Abs. 3 der Richtlinie bereitzustellenden Informationen auch solche über die Funktionsdauer der Cookies und über mögliche Drittzugriffe auf die hierbei verarbeiteten Daten zählen.

Zunächst stellte das Gericht klar, dass die Wirksamkeit von Cookie-Einwilligungen maßgeblich davon abhänge, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer vom Umfang her in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt werde. Insofern müssten Sie insbesondere über die Funktionsweise des jeweiligen Cookies aufklären.

Um nun dem Nutzer eine fundierte Entscheidung über die Tragweite seiner Einwilligung zu ermöglichen, stellten sich Informationen über die Funktionsdauer und eine genaue Bezeichnung der Empfänger von mittels Cookies gesammelten Informationen als elementare Bestandteile des verpflichtenden Informationsprogramms dar.

III. Konsequenzen der Entscheidung für Online-Händler

Laut EuGH setzt der Einsatz von Cookies, die für den Betrieb einer Website nicht zwingend technisch erforderlich sind, stets eine ausdrückliche Nutzereinwilligung für jedes einzelne Cookie voraus. Das Einwilligungserfordernis gilt unabhängig davon, ob durch das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht.

Weil Urteile des EuGH grundsätzlich unmittelbare rechtsauslegende Wirkung für sämtliche Mitgliedsstaaten enthalten, sind Online-Händler nunmehr verpflichtet, für alle cookie-basierten und technisch nicht notwendigen Anwendungen stets vor deren Einsatz ausdrückliche Einwilligungen von jedem Seitenbesucher einzuholen.

Betroffen von der Einwilligungspflicht sind insbesondere alle cookie-basierten Tracking- und Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins.

Im Zuge der Einwilligungspflicht haben Online-Händler zudem durch technische Vorkehrungen sicherzustellen, dass Cookie-Einwilligungen aktiv für jedes Cookie erteilt werden können. Zusätzlich muss für jedes Cookie umfangreich über die Funktionsweise, die Funktionsdauer und über Drittempfänger von Cookie-Daten belehrt werden.

IV. Auswirkungen auf die Datenschutzerklärung im Online-Handel

Die vom EuGH aufgestellte generelle Einwilligungspflicht für Cookies hat (ungeachtet der notwendigen technischen Implementierungsschritten) maßgebliche Auswirkungen auf die Inhalte der Datenschutzerklärung. Betroffen sind alle Klauseln über Anwendungen, die Informationen auf Cookie-Basis erheben, speichern, auslesen, auswerten oder übermitteln.

Warum Sie mit den Datenschutzerklärungen der IT-Recht Kanzlei bereits bestens aufgehoben sind, erfahren Sie hier.

V. Fazit

Das Urteil des EuGH vom 01.10.2019 (Az. C-673/17) dürfte alle Zweifel ausräumen, die in Deutschland bisher in Bezug auf eine generelle Einwilligungspflicht für Cookies geäußert wurden.

Nach Auffassung des höchsten europäischen Gerichts setzt der Einsatz eines jeden Cookies, das zum Betrieb einer Website nicht zwingend erforderlich ist, eine ausdrückliche Nutzereinwilligung voraus. Dies gilt unabhängig davon, ob über das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht.

Um wirksam zu sein, muss die Cookie-Einwilligung nicht nur ausdrücklich (etwa durch das aktive Setzen eines Häkchens) erteilt werden, sondern auch und vor allem auf Basis umfangreicher Informationen zur Funktionsweise des Cookies ergehen. Zu diesen Informationen zählen insbesondere die Funktionsdauer und die Empfänger der durch das Cookie verarbeiteten Daten.

Online-Händler, die cookie-basierte Anwendungen auf ihren Webseiten einbinden, sind nunmehr zum schnellen Handeln angehalten. Ab sofort sind Einwilligungslösungen zwingend zu implementieren und auch entsprechende Klauseln in der Datenschutzerklärung mit dem Einwilligungs- und Informationserfordernis in Einklang zu bringen.

Die gute Nachricht: im Zuge eines Generalupdates stellt die IT-Recht Kanzlei Ihren Mandanten schon jetzt rechtskonforme Klauseln für alle gängigen cookie-basierten Anwendungen und Dienste bereit.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Keine techn. Möglichkeit der Umsetzung - Termin?

09.11.2019, 13:19 Uhr

Kommentar von Ralf Schneten

Guten Tag , wir haben keine Möglichkeit auf das techn.Backend unseres Shops zuzugreifen da der Programmierer unseres Shops nicht mehr findbar ist.Wir setzen zur Zeit einen neuen Shop auf. Was mach...

Sind die Richtlinien denn in Deutschland anzuwenden?

03.11.2019, 20:48 Uhr

Kommentar von Ulrich W.

Nicht verstanden habe ich, wieso das EUGH-Urteil auch für Cookies relevant sein soll, die keinen Bezug zu personenbezogenen Daten haben. Die Richtlinien wurden doch nicht umgesetzt, und dem Urteil...

Woher kommt die Differenzierung in "technisch nicht notwendig" und "technisch notwendig"?

14.10.2019, 12:07 Uhr

Kommentar von Larablana

Hallo, vielen Dank für die Erklärung und Folgendarstellung aus dem Urteil. Soweit ist mir alles klar- jedoch bleibt eine Frage offen: Woher kommt die Unterscheidung, dass für technisch nicht...

Herr

09.10.2019, 06:53 Uhr

Kommentar von Christian

Hi IT-Recht-Kanzlei-Team, in erster Linie möchte ich mich für den sehr schön geschriebenen und informativen Beitrag bedanken. Es ist wirklich schön, dass Sie sich die Mühe machen und uns kostenlos...

Inhaber

04.10.2019, 14:40 Uhr

Kommentar von Peter Dexheimer

Frage zu: Technisch notwendige Cookies und Zugangssperren bei fehlender Einwilligung ... Wie kann das sein, dass ich eine Dienstleistung erbringe, für die der User nichts bezahlen muss, wenn ich...

Technisch notwendige Cookies und Zugangssperren bei fehlender Einwilligung

02.10.2019, 16:33 Uhr

Kommentar von IT-Recht Kanzlei

Sehr geehrte Damen und Herren, vielen Dank für Ihre Kommentare. Für technisch notwendige Cookies, die zum Betrieb einer Website oder zur Bereitstellung deren Funktionen zwingend erforderlich sind,...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller