EuGH: Opt-in-Pflicht für Cookies - Was Online-Händler jetzt wissen müssen

Der EuGH hat am 01.10.2019 in der Rechtssache C-673/17 entschieden, dass für das Setzen von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Dem ging ein Vorabentscheidungsersuchen des BGH (Beschl. v. 5.10.2017 – I ZR 7/16) zur Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation voraus.

Das Urteil hat eine bedeutende Signalwirkung für die zukünftige Ausgestaltung des Einsatzes von Cookies und anderen Tools, die nicht unbedingt für den Betrieb des Online-Auftrittes erforderlich sind. Gleichwohl ändert sich kurzfristig wenig an der bisherigen Rechtslage, da nun zunächst wieder der BGH bzw. der deutsche Gesetzgeber am Zug sind.

Auslegung der ePrivacy-Richtlinie

Der EuGH beschäftigte sich maßgeblich mit der Auslegung der sog. ePrivacy-Richtlinie - Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), insbesondere von Art. 5 Abs. 3 RL 2002/58.

Dabei äußerte sich das Gericht zu den Fragen, welche Voraussetzungen für die Einholung einer Einwilligung bei der Speicherung von Informationen oder dem Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, gelten und ob sich aus der RL 2002/58 weitere Informationspflichten sowie Zugangsbedingungen für Online-Seiten ergeben.

Das Gericht folgte in seiner Entscheidung der strengen
Rechtsauffassung
des Generalanwalts beim EuGH M. Szpunar.

Einwilligungserfordernis

Laut dem zur Vorabentscheidung vorgelegten Sachverhalt wollte ein Adress-/Gewinnspielbetreiber mittels eines vorangekreuzten Kästchens die Erlaubnis der Teilnehmer einholen, um nach der Gewinnspielregistrierung Cookies zu Analysezwecken des Surf- und Nutzungsverhaltens auf deren Endgeräten zu speichern.

Der EuGH entschied dabei, dass eine Einwilligung gemäß Art. 5 Abs. 3 RL 2002/58 ein aktives Verhalten der Nutzer zur Speicherung und zum Abruf von Informationen auf seinem Endgerät voraussetzt. Dies kann nach Ansicht des Gerichts nicht durch eine voreingestellte Opt-out-Funktion ermöglicht werden.

„Insoweit erscheint es praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat; unklar bleibt jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde. Es kann nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.“

Auch ausführliche und transparente Informationen an einer
vorausgewählten Checkbox, welche die vorzunehmende Datenverarbeitung konkret
erläutern, ändern nichts an der Tatsache, dass kein aktives Tun des Nutzers vorliegt.

Kein Opt-In, wenn "unbedingt erforderlich"

Der EuGH bestätigt damit die gängige Rechtspraxis bei der Ausgestaltung von Einwilligungen unter Geltung der DSGVO (siehe dazu auch Erwägungsgrund 32 der DSGVO) und erweitert diese Vorgaben auch auf den Bereich zum Schutz der Vertraulichkeit innerhalb der elektronischen Kommunikation.

Von dem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der RL
2002/58 ausgenommen sind jedoch der Vorgang zur Speicherung  von Informationen
oder der Zugriff auf Informationen,[…]

wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Für den Online-Shop fallen demnach beispielsweise Warenkorb- und Sessions-Cookies nicht unter die strengen Vorgaben, da diese Informationen für die Bereitstellung und Nutzung des Online-Shops notwendige Cookies darstellen.

Personenbezug ja oder nein?

Nach Ansicht des EuGH spielt es bei der Auslegung der
anzuwendenden RL 2002/58 keine Rolle, ob es sich bei den Cookies, die auf dem
Endgerät des Kunden abgelegt werden, um personenbezogene Informationen handelt
oder nicht:

„Nach dieser Klarstellung ist jedenfalls festzustellen, dass in Art. 5 Abs. 3 der Richtlinie 2002/58 von der „Speicherung von Informationen“ und vom „Zugriff auf Informationen, die bereits … gespeichert sind“, die Rede ist, ohne diese Informationen näher zu bestimmen oder zu präzisieren, dass es sich bei ihnen um personenbezogene Daten handeln muss.“

Wie bereits durch den EuGH Generalanwalt erläutert, weist der Begriff „Information“ eine neutrale Bedeutung auf. Neben personenbezogenen Cookies fallen auch  vergleichbare Technologien darunter, die keinen Personenbezug aufweisen.

Hintergrund ist der Schutzzweck der RL 2002/58. Basierend auf dem grundrechtlichen Schutz der EU-Charta gilt der Schutz der Privatsphäre auch für Informationen, die sich auf den Endgeräten von Nutzern befinden:

„So genannte "Spyware", "Web-Bugs", "Hidden Identifiers" und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückzuverfolgen und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.“ (Erwägungsgrund 24 der RL 2002/58).

Somit fallen auch Analyse-Tools, welche nur pseudonymisierte
Daten verarbeiten unter den Anwendungsbereich der RL 2002/58 und dürfen nach
der Ansicht des EuGH erst im Browser des Nutzers aktiviert werden, wenn dieser
seine aktive Einwilligung erteilt hat.

Neue Informationspflichten?

Neben der Einwilligungserfordernis beschäftigte sich der
EuGH mit der Frage, welche Informationen gemäß Art. 5 Abs. 3 der RL 2002/58,
insbesondere zur Funktionsdauer der Cookies und möglichen Zugriffen von
Dritten, gegenüber dem Nutzer zu erteilen sind.

Der Nutzer muss nach Ansicht des Gerichts in die Lage
versetzt werden, das genaue Ausmaß seiner erteilten Einwilligung zu bestimmen.
Dazu gehören klare und leicht verständliche Informationen, um beispielsweise
die Funktionsweise von Cookies zu verstehen.

Dies deckt sich mit den einzuhaltenden Informationspflichten
gemäß der DSGVO, die der Verantwortliche zum Zeitpunkt der Erhebung der Daten
der betroffenen Person mitteilen muss. So sind insbesondere die Empfänger oder
Kategorien von Empfängern zu nennen, sofern Dritte Zugriff auf Cookies erhalten
können (Art. 13 Abs. 1 lit. e DSGVO). Des Weiteren ist aus Transparenzgründen
über die Dauer, für die die personenbezogenen Daten gespeichert werden, oder
falls dies nicht möglich ist, über die Kriterien zur Festlegung dieser Dauer zu
informieren (Art. 13 Abs. 2 lit. a DSGVO).

Nach Ansicht des EuGH sind Informationen u.a. zur
Funktionsdauer und möglicher Zugriffe durch Dritte zukünftig nicht nur für
personenbezogene Cookies zu erteilen, sondern erstrecken sich auch auf die
Verarbeitung von Informationen durch Cookies ohne Personenbezug.

BGH-Entscheidung bleibt abzuwarten

Die Erweiterung der verpflichtenden Regelung auf
„Informationen“, unabhängig ob das Cookie personenbezogenen Daten aufweist oder
nicht, wird daher empfindliche Auswirkungen auf die Nutzereinstellungen von
Webseiten und Online-Shops haben.

Es obliegt daher nun dem BGH, nach dem Ergebnis der Vorabentscheidung des EuGH ein entsprechendes Ergebnis bei der Auslegung der deutschen Normen zu finden. Jedoch hat das deutsche „Pendant“ in § 15 Abs. 3 TMG wenig mit der europäischen Vorgabe gemeinsam und geht von einer Widerspruchsmöglichkeit, anstatt von der vorherigen Einwilligung des Nutzers aus:

„Nach § 15 Abs. 3 TMG darf der Diensteanbieter für Zwecke der Werbung oder der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der auf sein Widerspruchsrecht hingewiesene Nutzer dem nicht widerspricht.

Der deutsche Gesetzgeber hätte die Anforderungen der
Richtlinie bereits 2009 vollends umsetzen müssen. Dieser ging jedoch davon aus,
dass die Vorgaben bereits durch das Telemediengesetz (TMG) erfüllt werden.

Eine direkte Anwendung der RL 2002/58 und somit des Art. 5 Abs. 3 jener Richtlinie ist nicht möglich, da EU- Richtlinien in das jeweilige nationale Recht des Mitgliedstaats transformiert werden müssen (Art. 288 Abs. 3 AEUV).

Dieser Ansicht folgen auch die deutschen Datenschutzaufsichtsbehörden:
„Eine Richtlinie kann jedoch nicht selbst Verpflichtungen für Private begründen“
(siehe Orientierungshilfe
der Aufsichtsbehörden für Anbieter von Telemedien
).

Cookie-Einwilligung – Was ist nun im Online-Shop zu tun?

Der EuGH hat dem deutschen Sonderweg bei der Verarbeitung
von Cookies zwar eine Absage erteilt, jedoch bleibt es bis zur Entscheidung des
BGH beim „Status Quo“. Dem kann der deutsche Gesetzgeber mit der Anpassung des
TMG zuvor kommen, da das Wirtschaftsministerium eine entsprechende Gesetzesänderung
vorbereitet.

Mit Geltung der DSGVO sollte die e-Privacy Verordnung die RL
2002/58 ersetzen und zu mehr Rechtsklarheit verhelfen. Ihr Inkrafttreten ist
jedoch auch weiterhin aufgrund der umstrittenen Inhalte noch ungewiss.

Online-Händler sollten jedoch jetzt schon damit beginnen,
ihren „Cookie-Werkzeugkasten“ zu ordnen und zu strukturieren. Folgende
allgemeine Fragen können dabei helfen:

  • Welche Cookies/ Informationen werden im Online-Shop gesetzt?
  • Jegliche Informationen u.a. in Form von Cookies sind mittels vorheriger Zustimmung bei Betreten des Online-Shops aktiv zu schalten.

  • Welche Cookies/ Informationen beinhalten personenbezogenen Daten?
  • Hierfür gelten unter Umständen die weiteren Vorgaben der DSGVO.

  • Welche Cookies/ Informationen sind unbedingt erforderlich, um den Nutzer den Aufruf der Webseite/ Online-Shop zu ermöglichen?
  • Unter diesen Ausnahmetatbestand fallen bspw. Cookies, die für die Anzeige des Online-Shops erforderlich sind (z.B. Warenkorb- und Session-Cookies).

  • Sind die Informationen innerhalb der Datenschutzerklärung vollständig? Werden Einwilligungen vollständig und transparent erteilt?
  • Für die Erteilung einer Einwilligung kommt im Online-Bereich daher nur der Einsatz eines „funktionellen Cookie-Banners“ in Form eines Consent-Managers in Betracht. Ein Cookie-Banner, welches der „Friss oder Stirb- Devise“ folgen, hat der EuGH nun eine vernichtende Absage erteilt. Es muss je nach Cookie eine differenzierte Einwilligung vor dem Ablegen oder dem Zugriff auf dem Browser des Nutzers erfolgen.

Fazit und Ausblick

Der EuGH verdeutlicht in seinem Urteil das Zusammenspiel zwischen der RL 2002/58 und der DSGVO. Online-Händler müssen zukünftig für das Setzen von Cookies oder  vergleichbare Technologien Informationstechniken die vorherige Einwilligung Ihrer Nutzer einholen, sofern die eingesetzten Instrumente nicht für den Zugriff und die Anzeige des Online-Auftrittes notwendig sind.

Die Anwendung der strengen Auslegung des EuGH und der Richtlinie 2002/58 ist jedoch von dem noch anhängigen Ausgang des Urteils vor dem BGH oder einer entsprechenden Gesetzesänderung des TMG abhängig.

Die bisher strenge Ansicht
der Datenschutzbehörden
ist nach dem Urteil des EuGH nun als eher
anwendungsfreundlich zu betrachten: Analyse-Tools, welche selbst auf dem Server
des Verantwortlichen gehostet werden, können derzeit nach Ansicht der
Aufsichtsbehörden auf die Rechtsgrundlage des überwiegenden berechtigten
Interesses gestützt werden. Diese Möglichkeit dürfte zukünftig entfallen,
sodass  nur noch mittels vorheriger
Einwilligung des Nutzers aktiv geschaltete Analyse-Tools zu empfehlen sind.

Händler sind somit schon jetzt gefragt, ihre Marketingstrategien zu überdenken und eine saubere Lösung für die Einwilligung in ihrem Online-Shop zu erarbeiten.

Marian Weyo/Shutterstock.com

09.10.19
Konstantin Schröter

Konstantin Schröter