EuGH-Urteil zu Cookies: Nur noch mit Opt-in
Mit seinem Urteil vom 1. Oktober 2019 in der Rechtssache C-673/17 – Planet49 hat der Europäische Gerichtshof (EuGH) eine Frage geklärt, die in Deutschland seit Jahren umstritten war: Genügt es, wenn der Besucher einer Website dem Einsatz von Cookies widersprechen kann („Opt-out“)? Oder muss der Besucher aktiv zustimmen („Opt-in“)?
Der EuGH hat nun klar entschieden: Bereits nach dem bisherigen Datenschutzrecht war nur ein Opt-in eine wirksame Einwilligung. Dies gilt erst recht nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO). Cookie-Banner müssen daher so gestaltet sein, dass der Nutzer seine aktive Zustimmung erteilt, bevor Cookies gesetzt werden.
Der Hintergrund
Cookies sind Textdateien, die von einer Website im Speicher des Endgerätes eines Internetnutzers abgelegt werden, der die Website besucht. Der Inhalt des Cookies kann später wieder ausgelesen werden. Gegebenfalls wird in einem Cookie im Laufe der Zeit eine Fülle von Informationen erfasst.
Bis Mai 2011 hätte der deutsche Gesetzgeber eine Änderung der Datenschutzrichtlinie für elektronische Kommunikation („E-Privacy-Richtlinie“) der EU umsetzen müssen. Nach Artikel 5 Absatz 3 der E-Privacy-Richtlinie dürfen Cookies nur mit Einwilligung des Nutzers verwendet werden.
Der deutsche Gesetzgeber unternahm damals nichts. Er vertrat die Auffassung, die deutsche Regelung in § 15 Absatz 3 des Telemediengesetzes (TMG) entspreche bereits den europäischen Vorgaben.
§ 15 Absatz 3 TMG fordert allerdings nur, dass die Datenschutzerklärung über Cookies informiert und aufzeigt, wie man Cookies widersprechen kann (etwa durch eine Browser-Einstellung). Es muss also ein Opt-out möglich sein. Ein Cookie-Banner als zusätzlicher Hinweis wäre danach gar nicht notwendig.
Der Sachverhalt
Der Verbraucherzentrale Bundesverband e. V. (vzbv) klagte gegen das Unternehmen Planet49 GmbH, das auf seiner Website ein Gewinnspiel veranstaltete. Die Besucher der Website sahen ein Cookie-Banner, das wie folgt gestaltet war:
- Eine erste Checkbox war nicht vorangekreuzt. Mit dieser konnte der Besucher seine Einwilligung für den Erhalt von Werbung erklären. Diese Einwilligung war Voraussetzung für die Teilnahme am Gewinnspiel.
- Die zweite Checkbox war hingegen vorangekreuzt. Im Text daneben hieß es, dass die Website den Webanalyse-Dienst „Remintrex“ verwende. Durch diesen würden im Falle der Teilnahme am Gewinnspiel Cookies gesetzt, wie in der Datenschutzerklärung näher beschrieben. Ein Besucher der Website konnte das Kreuzchen zwar entfernen. Wenn er jedoch nichts unternahm, wurden die Cookies gesetzt.
Der vzbv war der Ansicht, dass ein solches Opt-out nicht den europarechtlichen Vorgaben genüge. Mit seiner Klage wollte er Planet49 verbieten lassen, in dieser Form eine Cookie-Einwilligung einzuholen.
Da es auf die Auslegung europäischer Vorschriften ankam, legte der Bundesgerichtshof dem EuGH mehrere Fragen zu Form und Inhalt der Cookie-Einwilligung zur Vorabentscheidung vor.
Das Urteil
Der EuGH kommt zu dem Ergebnis, dass nur ein Opt-in eine wirksame Einwilligung darstellt: Der Nutzer muss seine Zustimmung durch eine aktive Handlung erklären. Das gilt bereits nach der E-Privacy-Richtlinie und erst recht nach der DSGVO. In Erwägungsgrund 32 der DSGVO heißt es sogar ausdrücklich: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“
Der Nutzer muss über die Funktionsweise des Cookies informiert werden. Dazu gehören die Angabe, wie lange das Cookie gespeichert bleibt, und die Angabe, ob auch Dritte das Cookie auslesen können. Letzteres ist bei Tracking-Cookies der Fall. Solche Cookies erfassen über zahlreiche Websites hinweg, welche Inhalte ein Nutzer betrachtet.
Wie der EuGH klarstellt, spielt es keine Rolle, ob ein Cookie einem bestimmten Nutzer zugeordnet werden kann oder nicht. Es kommt nach Artikel 5 Absatz 3 der E-Privacy-Richtlinie nur darauf an, dass Daten auf dem Endgerät des Nutzers gespeichert und später wieder ausgelesen werden. Auch wenn diese Daten nicht personenbezogen sind, ist ein Opt-in erforderlich.
Konsequenzen für die Praxis
Geklärt ist nun, wie eine Einwilligung per Cookie-Banner aussehen muss: Tabu sind Cookie-Banner, auf denen die Checkbox für die Einwilligung bereits angekreuzt ist, aber auch Cookie-Banner, die sinngemäß besagen, dass der Besucher der Website durch die Nutzung der Website dem Einsatz von Cookies zustimmt. Auch Letzteres ist keine aktive Zustimmung.
Offen sind dagegen weitere Fragen, die sich daraus ergeben: Kann man verschiedene Cookies für Webanalyse und personalisierte Werbung in Gruppen zusammenfassen? Oder muss man für jedes Webanalyse-Tool und jedes Werbenetzwerk eine gesonderte Einwilligung abfragen?
Auch musste sich der EuGH nicht zu der Frage äußeren, wann Cookies ausnahmsweise ohne Einwilligung eingesetzt werden dürfen. Nach Artikel 5 Abs. 3 der E-Privacy-Richtlinie ist das der Fall, „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Über die Reichweite dieser Ausnahme wird man sicherlich noch streiten können.
Bei Cookies für Webanalyse und personalisierte Werbung gilt dagegen:
Websitebetreiber sollten überprüfen,
- ob sie sich in der Datenschutzerklärung auf die Wahrung berechtigter Interessen berufen ‒ das ist jetzt nicht mehr möglich;
- ob das Cookie-Banner die Anforderungen an eine aktive Einwilligung erfüllt; und
- ob sichergestellt ist, dass Cookies erst nach erteilter Einwilligung gesetzt werden.
Es ist anzunehmen, dass die Aufsichtsbehörden auf Grundlage ihrer Befugnisse nach der DSGVO und Verbände auf Grundlage des Wettbewerbsrechts nunmehr gegen den Einsatz von Cookies vorgehen werden, der diesen Vorgaben nicht entspricht.