EuGH: Wie muss eine Cookie-Einwilligung gestaltet sein?

Der EuGH hat sich mit Cookies beschäftigt und wie eine Einwilligung ausgestaltet sein muss. Entgegen der meisten Berichte zu diesem Urteil hat er aber gerade nicht entschieden, dass für das Setzen von Cookies immer eine Einwilligung erforderlich ist. Die Erforderlichkeit einer Einwilligung war nicht Gegenstand des Verfahrens.

Der EuGH (Urt. v. 1.10.2019, C-673/17) hat sich mit der Frage beschäftigt, wann ein Website-Besucher wirksam in das Setzen von Cookies einwilligt.

Werbeplattform mit Gewinnspielen

Im Ausgangsverfahren veranstaltete das Unternehmen Planet49 im Jahr 2013 ein Gewinnspiel auf seiner Website.

Um daran teilnehmen zu können, mussten die Interessenten in einem Formular einige persönliche Daten eingeben. Unter diesem Eingabeformular befanden sich dann zwei Hinweistexte. Vor jedem dieser Hinweise befand sich je eine Checkbox zum Ankreuzen.

Werbeeinwilligung

Der erste Hinweistext lautete:

„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E?Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“

Die Worte „Sponsoren und Kooperationspartner“ waren verlinkt mit einer Liste der entsprechenden Partner. Hier konnte der Interessent die entsprechenden Partner auswählen, von denen er später Werbung erhalten wollte. Wählte er keine aus, übernahm Planet49 die Auswahl von höchstens 30 Sponsoren.

Cookie-Einwilligung zum Gewinnspiel

Der zweite Text lautete:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

Das Wort „hier“ war mit folgendem Text verlinkt:

„Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.

Anschließend kann [Planet49] aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E?Mail-Werbung mehr.

Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.

Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.

Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.

Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an [Planet49] [Adresse] richten. Es genügt jedoch auch eine E?Mail an unseren Kundenservice [E?Mail-Adresse].“

Die Seite war so ausgestaltet, dass die Checkbox beim zweiten Text bereits vorangekreuzt war.

Voraussetzung für Gewinnspiel-Teilnahme

Für die Teilnahme am Gewinnspiel mussten die Interessenten mindestens eine Checkbox ankreuzen.

Gegen diese Art der Ausgestaltung der Website klagte der vzbv und verlangte Unterlassung. Nach seiner Auffassung entsprachen diese Einwilligungen nicht den gesetzlichen Vorgaben.

Der Streit ging bis zum BGH, der Zweifel daran hatte, ob die durch diese Texte und vorangekreuzte Checkbox erklärte Einwilligung der Nutzer wirksam sei. Daher hat er das Verfahren ausgesetzt und dem EuGH Fragen zur Vorabentscheidung vorgelegt:

1.

a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Keine Frage, ob Einwilligung erforderlich ist

Gerade nicht Gegenstand der Entscheidung des EuGH ist die Frage, ob Planet49 überhaupt eine Einwilligung einholen musste für das Setzen von Cookies. Das geht eindeutig aus den Fragen des BGH hervor.

Es geht also nur um die Frage (in 1. a), ob eine vorangekreuzte Checkbox eine Einwilligung im Sinne des Art. 5 Abs. 3 der E-Privacy-Richtlinie darstellen kann. Frage 1. c weitet diese Frage auf die Datenschutz-Grundverordnung (DSGVO) aus.

Frage 2 fragt dann nach dem Umfang der zu erteilenden Informationen.

Keine Frage, ob Freiwilligkeit gegeben ist

Grundsätzlich ist eine Einwilligung weiter nur dann wirksam, wenn diese freiwillig erteilt wurde. Hier war der Fall so, dass mindestens eine Einwilligung erteilt werden musste. Der BGH fragte den EuGH aber nicht, ob dies gegen die Freiwilligkeit spricht, sodass das Gericht sich auch nicht damit befassen musste, worauf es ausdrücklich hingewiesen hat:

Schließlich ist hervorzuheben, dass das vorlegende Gericht den Gerichtshof nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „ohne Zwang“ (Art. 2 Buchst. h der Richtlinie 95/46) bzw. „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 der Verordnung 2016/679) erteilten Einwilligung vereinbar ist, wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt. Unter diesen Umständen braucht der Gerichtshof diese Frage nicht zu prüfen.

Wirksamkeit der vorangekreuzten Einwilligung

Zunächst beschäftigte sich der EuGH in seiner Entscheidung also mit der ersten Frage und damit, ob eine vorangekreuzte Checkbox eine Einwilligung darstellen kann.

Eine Einwilligung ist eine Willensbekundung, die ohne jeden Zwang für den konkreten Fall in Kenntnis der Sachlage erfolgt.

Das Gericht folgt dem Generalanwalt, der bereits darauf hingewiesen hatte, dass das Erfordernis der „Willensbekundung“ der betroffenen Person klar auf aktives und nicht passives Verhalten hinweist. Eine vorangekreuzte Checkbox impliziert aber gerade kein aktives Verhalten.

Außerdem müsse sichergestellt sein, dass die betroffene Person ihre Einwilligung „ohne jeden Zweifel“ erteilt habe. Auch diesem Erfordernis könne nur durch ein aktives Handeln Genüge getan werden.

Weitersurfen = Einwilligung?

Es erscheint dem EuGH praktisch unmöglich zu klären, ob ein Nutzer, der ein voreingestelltes Häkchen nicht abgewählt hat, tatsächlich seine Einwilligung zu einer Datenverarbeitung erteilt hat – zumindest bleibe unklar, ob eine solche Einwilligung in Kenntnis der Sachlage erteilt wurde. Es könne nämlich nicht ausgeschlossen werden, dass der Nutzer die beigefügten Informationen nicht gelesen hat oder dass er die Checkbox gar nicht wahrgenommen hat.

Angesichts der vorstehenden Gesichtspunkte liegt eine wirksame Einwilligung im Sinne von Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 somit nicht vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein vom Diensteanbieter voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

Dies gelte auch unter der DSGVO, da diese gerade die „aktive Einwilligung“ vorsieht und der Erwägungsgrund 32 ausdrücklich ausschließt, dass „Stellschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen könnten.

Art der verarbeiteten Daten

Mit der Frage 1. b) wollte der BGH wissen, ob die Beurteilung der Wirksamkeit der Einwilligung davon abhängt, ob personenbezogene oder andere Daten verarbeitet werden.

Dies verneint der EuGH.

Wie der Generalanwalt in Nr. 107 seiner Schlussanträge ausgeführt hat, soll diese Bestimmung damit den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind.

Diese Auslegung wird durch den 24. Erwägungsgrund der Richtlinie 2002/58 bestätigt, wonach die in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer sind, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.

 Nach alledem ist auf Buchst. b der ersten Frage zu antworten, dass Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.

Informationspflichten beim Cookie-Einsatz

Schließlich musste der EuGH auch noch die Frage beantworten, welche Informationen beim Einsatz von Cookies erforderlich sind.

Explizit fragte der BGH danach, ob die Angaben zur Funktionsdauer der Cookies dazugehören sowie der Umstand, ob Dritte Zugriff auf die Cookies erhalten.

Hier verweist der EuGH auf Art. 10 der Datenschutzrichtlinie. Demnach gehören zu den zu erteilenden Informationen

  • die Identität des für die Verarbeitung Verantwortlichen
  • Zweckbestimmung der Verarbeitung
  • Empfänger oder Kategorien der Empfänger der Daten

Die Dauer der Verarbeitung ist zwar in dem Katalog nicht mit aufgeführt, allerdings ist dieser Katalog auch nicht abschließend, stellt der EuGH fest.

Diese Auslegung der Datenschutzrichtlinie werde auch durch die Bestimmungen der DSGVO gestützt. Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche die betroffene Person über die Dauer, für die die personenbezogenen Daten gespeichert werden, informieren. Falls diese Information nicht möglich ist, muss über die Kriterien für die Festlegung der Dauer informiert werden.

Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.

Fazit

Der EuGH hat zwei wichtige Fragen entschieden:

  1. Vorausgewählte Checkboxen können keine wirksame Einwilligungen darstellen.
  2. Zu den Informationen über Cookies gehören Angaben zur Dauer der Verarbeitung und dazu, ob Dritte Zugriff auf diese Cookies haben.

Die Zeit der Cookie-Banner „Durch Weitersurfen stimmen Sie zu“ ist damit vorbei – zumindest für die Art von Cookies, für die überhaupt eine Einwilligung erforderlich ist.

Ob in Deutschland eine solche Einwilligung erforderlich ist, bleibt weiterhin hoch umstritten. Hintergrund ist: Deutschland hat die Cookie-Richtlinie nie explizit in deutsches Recht umgesetzt hat. Zu dieser Thematik hat sich der EuGH nicht geäußert. (mr)


Verpassen Sie keine Beiträge mehr

Fanden Sie diesen Beitrag hilfreich oder interessant? Melden Sie sich gleich zu unserem Newsletter an. So verpassen Sie keine Meldungen mehr von uns aus dem Bereich Recht im Versandhandel.

Ja, ich möchte per E-Mail interessante News, Tipps und Tricks mit Schwerpunkt aus dem Bereich Recht für den Handel und Informationen zu rechtlichen Beratungsangeboten erhalten. Ich kann gelegentlich zu einer weiteren oder erneuten Einwilligung gebeten werden.

Mit der Betätigung der Schaltfläche "Anmelden" erkläre ich mein Einverständnis mit der Nutzung meiner angegebenen Daten für die vorgenannten Zwecke.

Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen (Abmeldelink am Ende jeder E-Mail oder Mail an newsletter@rechtsticker.de).