Das heutige Urteil des Europäischen Gerichtshofs (EuGH) könnte eine lange währende Unsicherheit beenden: Website-Betreiber müssen bei der Einholung von Einwilligungen ihrer Nutzer zur Datenverarbeitung (zum Beispiel im Rahmen von Cookies, Tracking oder Werbung) zukünftig immer das sogenannte Opt-In-Verfahren beachten.
Das bedeutet insbesondere, dass eine Einwilligung aktiv erfolgen muss, indem der Nutzer eine Schaltfläche anklickt oder ein Häkchen zur Bestätigung setzt. Dies gilt nicht nur für die Verarbeitung personenbezogener Daten, sondern auch für sonstige Informationen. Bisher war es umstritten, ob nicht auch eine vorausgefüllte, aber abwählbare Zustimmung ausreicht - das sogenannte Opt-Out-Verfahren. Darüber hinaus hat der EuGH auch die Anforderungen an die Information des Nutzers bei der Einholung einer Einwilligung konkretisiert. Website-Betreiber sind nun angehalten, diese Vorgaben umsetzen.
Cookie-Verfahren im Einklang mit DSGVO?
Nahezu jedes Unternehmen holt Einwilligungen der Nutzer zur Datenverarbeitung auf seiner Website ein. Vom Anbieten von nützlichen Funktionen (zum Beispiel Warenkörben beim Online Shopping) über statistische Analyse bis hin zum Marketing (zum Beispiel individualisierte Werbung) werden Einwilligungen für eine Vielzahl von Funktionen genutzt. Mal sind sogenannte Cookie-Banner, die zur Einholung von Einwilligungen eingesetzt werden, dezent am Bildschirmrand platziert, mal füllen sie (häufig unzulässig) den halben oder gar den ganzen Bildschirm aus. Immer häufiger werden auch Consent-Manager genutzt, die eine datenschutzkonforme Einholung und Dokumentation von Einwilligungen sicherstellen sollen. In vielen Fällen ist die Einwilligung jedoch "vorausgefüllt" und muss vom Nutzer abgewählt werden, wenn er eine Verarbeitung seiner Daten vermeiden möchte.
Ob diese Einwilligung tatsächlich aktiv und freiwillig erfolgt und somit den Anforderungen der DSGVO genügt, war bisher umstritten: die eher strengen deutschen Aufsichtsbehörden verneinten dies in der Regel, Unternehmen und Wirtschaftsanwälte waren eher der Meinung, dass diese Opt-Out-Lösung (zumindest in bestimmten Fällen) ausreichend sei. Eine klarstellende höchstrichterliche Entscheidung existierte bisher nicht. Der nun vom EuGH entschiedene Fall basiert auf einer Anfrage des deutschen Bundesgerichtshofs (BGH) und richtet sich teilweise nach altem Datenschutzrecht. Der BGH stellte in seinen Fragen jedoch stets auch auf die DSGVO ab, sodass die Entscheidung des EuGH auf die Lage nach der DSGVO übertragbar sein dürfte. Der BGH wollte vom EuGH unter anderem wissen, ob:
eine wirksame Einwilligung vorliegt, wenn ein vorhandenes Kästchen zur Cookie-Setzung bereits angekreuzt ist und
inwiefern der Nutzer durch den Seitenbetreiber bezüglich der Verwendung von Cookies aufzuklären ist und ob hierzu auch die Zugriffsmöglichkeit von Dritten auf die Cookies sowie die Funktionsdauer gehört.
Diesen Fragen liegt ein Streit zwischen dem Gewinnspielbetreiber Planet49 und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbz) zugrunde. Letzterer hatte gegen die Vorgehensweise von Planet49 im Rahmen der Teilnahme an einem Online-Gewinnspiel geklagt, bei welcher ebenfalls Cookie-Banner eingesetzt wurden. Neben der - nicht vorausgefüllten - Einwilligung zum Erhalt von Werbung fand sich auf der Website eine bereits vorausgefüllte, abwählbare Formulierung zur Zustimmung des Setzens von Cookies. In der damit lediglich gegebenen Opt-Out-Möglichkeit sah der vzbz einen Verstoß gegen datenschutzrechtliche Vorschriften, insbesondere gegen Regelungen der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG, auch ePrivacy-Richtlinie), deren relevante Vorgaben in Deutschland insbesondere im Telemediengesetz (TMG) zu finden sind.
Die EuGH-Cookie-Entscheidung
Am 1. Oktober 2019 entschied der EuGH (C 673/17), dass die Opt-Out-Lösung nicht den Anforderungen an eine wirksame Einwilligung genügt. Im Ergebnis schloss sich der EuGH mit seiner Entscheidung den Empfehlungen des Generalanwalts Maciej Szpunar in dessen Schlussanträgen vom 21. März 2019 an.
Von einer aktiven Einwilligung, wie es die ePrivacy-Richtlinie vorsehe, könne bei einem vorausgefüllten Einwilligungsfeld nicht die Rede sein. Anders als etwa das Setzen eines Hakens handle es sich hierbei nicht um eine aktive Handlung, sondern vielmehr um eine Duldung. Hierdurch könne nicht nachvollzogen werden, dass der Nutzer aktiv zugestimmt habe. Darüber hinaus fehle es der Einwilligung an der notwendigen Informiertheit. Zur Teilnahme am Gewinnspiel war die Einwilligung zu Cookies/Werbung zwar nicht Voraussetzung - der Nutzer wurde hierüber jedoch nicht explizit informiert, sodass die Annahme einer Verknüpfung nahe lag. Eine solche Einwilligung müsse nach der ePrivacy-Richtlinie zudem nicht nur bei personenbezogenen, sondern auch bei sonstigen Daten eingeholt werden.
Zur zweiten Frage stellt der EuGH fest, dass den Website-Betreiber die Pflicht treffe, den Nutzer auch über die Dauer der Cookies sowie über die Zugriffsmöglichkeiten Dritter auf diese zu informieren. Dies folge aus dem Erfordernis, den Nutzer "klar und umfassend zu informieren". Anderenfalls könne dieser nicht, wie erforderlich, in "Kenntnis der Sachlage" in die Datenverarbeitung einwilligen. Hierbei dürfe man von einem "normal informierten, verständigen Nutzer" ausgehen. Von diesem dürfe jedoch wegen der technischen Komplexität hinsichtlich der Funktionsweise von Cookies kein höherer Kenntnisstand erwartet werden.
Bemerkenswert an der Entscheidung ist, dass der EuGH auf die Zulässigkeit der Cookies insbesondere im Lichte der ePrivacy-Richtlinie eingeht, Art. 6 DSGVO als mögliche Rechtsgrundlage jedoch kaum heranzieht. Denn die Richtlinie ist in Deutschland nicht unmittelbar anwendbar. Vielmehr wurde sie (allerdings nur unzureichend) in nationales Recht umgesetzt. Nach deutschem Recht wäre das Setzen von Cookies erlaubt und dem Nutzer stünde bloß ein Widerspruchsrecht zu.
Die deutschen Datenschutzaufsichtsbehörden sind jedoch bisher davon ausgegangen, dass allein die DSGVO Anwendung findet. Die einschlägigen, nationalen Vorschriften des Telemediengesetzes (TMG), durch welche die ePrivacy-Richtlinie umgesetzt werden sollte, seien durch Einführung der DSGVO nicht mehr anwendbar. Daher müsse sich die Rechtslage allein nach der DSGVO beurteilen, sodass hiernach auch das "berechtigte Interesse" als Rechtsgrundlage in Frage käme. Die Richtlinie verlangt hingegen eine ausdrückliche Einwilligung.
Wäre tatsächlich die ePrivacy-Richtlinie als speziellere Regelung vorrangig, könnten sich Unternehmen künftig bei der Datenverarbeitung nur noch auf eine Einwilligung berufen, die den Anforderungen des EuGH entspricht. Das "berechtigte Interesse" im Sinne von Art. 6 Abs. 1 lit. f) DSGVO wäre dann nicht mehr als Legitimation denkbar. Zum Verhältnis der verschiedenen Normen hat sich der EuGH jedoch nicht explizit geäußert.
Was Website-Betreiber jetzt tun sollten
Die Entscheidung des EuGH macht deutlich, dass bei dem Betrieb einer Website der Schutz personenbezogener Daten sowie eine transparente Datenverarbeitung von großer Bedeutung sind. Website-Betreiber müssen nun darauf achten, die Einholung von Einwilligungen datenschutzkonform auszugestalten - ein Opt-Out-Verfahren reicht nicht mehr aus. Auch die Annahme einer "stillschweigenden" Einwilligung durch Weiternutzung einer Website ist nicht mehr zulässig. Vielmehr müssen Einwilligungen durch den Nutzer aktiv und informiert erteilt werden. Dies gilt sogar dann, wenn keine personenbezogenen Daten gesammelt werden.
Eine Möglichkeit, um diesen Anforderungen gerecht zu werden, ist der Einsatz von Consent-Managern. Über diese werden alle verwendeten Cookies erfasst und häufig kategorisiert zusammengeführt (funktionale Cookies, Marketing-Cookies, Analyse-Cookies, etc.), um eine übersichtliche und vereinfachte Verwaltung zu erreichen. Für Website-Betreiber besteht der Vorteil, dass Einwilligungen datenschutzkonform eingeholt und dokumentiert werden können. Zudem müssen sie keine eigene Lösung entwickeln. Nutzer der Website hingegen können unmittelbar und transparent erkennen, welche Cookies beziehungsweise welche Kategorien eingesetzt werden und dann aktiv in diese einwilligen. Vor dem Einsatz dieser Tools sollte jedoch stets eine genaue datenschutzrechtliche Prüfung der Umsetzung durchgeführt werden. So müssen unter anderem entsprechende Auftragsverarbeitungsverträge mit dem Anbieter des Consent-Managers abgeschlossen werden. Ebenso muss sowohl über Cookies als auch den Einsatz eines Consent-Managers in der Datenschutzerklärung informiert werden.
Es bleibt zudem abzuwarten, ob und wie die Frage eines generellen Einwilligungserfordernisses bei der Verwendung von Cookies von den Gerichten und den Aufsichtsbehörden beantwortet wird. Bis dahin wäre es sogar vertretbar, auch weiterhin in eng umgrenzten Fällen (zum Beispiel bei sehr datenschutzfreundlich einsetzbaren Analyse-Tools) den Einsatz von Cookies auf überwiegende berechtigte Interessen zu stützen. Mit der ePrivacy-Verordnung könnte sich diese Frage jedoch erledigen. Diese hat insbesondere den Einsatz von Cookies im Blick und wird derzeit von der EU verhandelt, jedoch voraussichtlich 2020 oder sogar erst 2021 verabschiedet. Wer zwischenzeitlich in jedem Fall datenschutzkonform agieren möchte, sollte für alle Cookies, die nicht technisch erforderlich sind, Einwilligungen einholen. (fm)
- Bessere Dienste
So oder so ähnlich kennen wir es von vielen Websites - hier die deutsche Page des Security-Anbieters F-Secure. Kurze Information, warum man Cookies einsetzt, ein Link zu einer Infoseite und ein Akzeptieren-Button. Ein Ablehnen-Button fehlt und so bleibt dem Nicht-Einverstandendem nur das Ignorieren der Meldung oder das Verlassen der Seite. - So nicht
Autohersteller Opel zeigt ebenfalls, wie man es nicht machen sollte: Nur ein unscheinbares Fenster am rechten unteren Bildrand, das nach kurzer Zeit automatisch verschwindet und keine Möglichkeit für den Nutzer zur aktiven Zustimmung, geschweige denn Ablehnung. - Kommandozeile
Dass Jet Brains eine Developer-Seite ist, merkt man schon am Cookie-Hinweisfenster. Es ist in Form einer Root-Shell angelegt, in das der Nutzer selbst etwas per Kommandozeile eingeben kann. Mittels "man cookies" (manual cookies) gelangt man zur ausführlichen Cookie-Hinweisseite (im Bild). - Gähn
Chemieriese BASF hält sich an die Mindestvorgabe von Google und bringt nur den Standardhinweis - nicht gerade kreativ, aber völlig ausreichend. - Überall Oompa Loompas
Die offene Projekt-Management-Plattform Taiga verweist auf ihren kekssüchtigen, gleichwohl simpel gestrickten Anwalt (der wohl gerade aus einer ganz bestimmten Schokoladenfabrik ausgebrochen sein muss). - Ausführlich und informativ
BMW informiert seine Besucher bereits auf der Startseite etwas ausführlicher über die Cookie-Nutzung. - Absolut vorbildlich ...
... ist der Cookie-Hinweis auf der Seite der IBM. Nicht nur, dass er beim Aufruf der Startseite nicht zu übersehen und ausführlich angezeigt wird - in einem zweiten Fenster darf der Nutzer granular festlegen, welche Arten von Cookies verwendet werden dürfen. So sollte es sein!