Der Gerichtshof (Große Kammer) hat mit Urteil vom 01.10.2019 entschieden, dass keine wirksame Einwilligung im Sinne der geltenden Bestimmungen (inklusive nach Datenschutzgrundverordnung, „DSGVO“) vorliege, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, welches der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (sog. „Opt-out“). Dabei mache es keinen Unterschied, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 („Datenschutzrichtlinie“) bzw. der Verordnung 2016/679 (DSGVO) handle oder nicht. Der Diensteanbieter hat dem Nutzer einer Website Angaben zur Funktionsdauer der Cookies mitzuteilen und dazu, ob Dritte Zugriff auf die Cookies erhalten können, (EuGH, Urteil vom 01.10.2019 – C‑673/17, „Planet49“).

Die ausführliche Darstellung des EuGH-Urteils C‑673/17 finden Sie hier.

 

Hinweise:

Der EuGH hat in dem Urteil weder angesprochen, ob eine Einwilligung des Nutzers die einzige Rechtsgrundlage für den Einsatz von Tracking-Cookies sein kann, noch die Tatsache behandelt, dass Art. 5 Abs. 3 der aktuell geltenden „ePrivacy“-Richtline (2002/58/EG) keine Einwilligungspflicht bei unbedingt erforderlichen Cookies vorsieht, welche eingesetzt werden, damit dem Nutzer eine Leistung erst ermöglicht werden kann. Hierunter fallen technisch notwendige (Session-)Cookies, wie etwa die für den Warenkorb im Online-Shop.

Die Erforderlichkeit von wirtschaftlich sinnvollen Cookies, welche für den optimalen Betrieb des jeweiligen Angebots erforderlich sind (z.B. zur Messung der (Werbe-)Empfehlungen, denen der Nutzer gefolgt ist, damit die Vergütung der Werbedienstleister berechnet werden kann), tangiert die Entscheidung daher nicht.

Der deutsche Gesetzgeber ist der EuGH-Entscheidung zufolge weiterhin in der Pflicht, die aktuelle Gesetzeslage zu ändern, weil Deutschland nicht wie andere Staaten die Vorgaben des Art. 5 Abs. 3 der ePrivacy-Richtline fast wortgleich übernommen hat.

Die Regelung in § 15 Abs. 3 Telemediengesetz (TMG) mit einer „Opt-out“-Lösung bei Pseudonymisierung, Transparenz und Widerspruchsmöglichkeit ist jedenfalls keine adäquate Umsetzung, auch wenn dies in der Vergangenheit von Rechtsprechung und Lehre anders eingeschätzt wurde. Es ist nicht absehbar, wann die sogenannte „ePrivacy- Verordnung“ in der EU als unmittelbar geltendes Recht eingeführt wird. Gegebenenfalls bessert der deutsche Gesetzgeber im Rahmen des TMG nach, um schnellstmöglich den rechtlichen Anforderungen nachzukommen.

Handlungsempfehlungen

Anlässlich der EuGH-Entscheidung sollten Sie Ihren Internetauftritt überprüfen, ob er rechtskonform gestaltet ist, wenn Sie dies in den letzten Jahren nicht mehr gemacht haben.

Sie können zum Zweck der Rechtssicherheit für Ihre Internetseiten in der Grundeinstellung lediglich den Einsatz von absolut erforderlichen Cookies einrichten und im Rahmen der Datenschutzerklärung ausführlich auf diese hinweisen – v.a. zu der Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können.

Außerdem können Sie einen ausführlichen Cookie-Hinweis (z.B. als Banner) vorhalten, der idealerweise vor dem Aufbau der Internetseite und dem Speichern der Cookies angezeigt wird, und welcher einen Hinweis samt Link zu Ihrer Datenschutzerklärung enthält. Optional kann innerhalb des Banners die Zustimmung zum Einsatz von weiteren Cookies, etwa zu den Präferenzen des Nutzers (bequemere Nutzung aufgrund von Voreinstellungen), Erfassung einer Statistik oder für Marketingzwecke durch aktives Handeln des Nutzers eingeholt werden. Zu betonen ist hierbei, dass der EuGH erklärt hat, es mache für die Pflicht des Diensteanbieters keinen Unterschied, ob von dem Einsatz der Cookies personenbezogene Daten betroffen wären oder nicht, d.h. wenn diese etwa anonymisiert würden. Falls bei dem Einsatz von Cookies keine anonymisierten personenbezogenen Daten verarbeitet werden, bestehen auch die grundsätzlichen Informationspflichten gemäß DSGVO (v.a. Artikel 13 und 14), wie etwa zur Widerspruchsmöglichkeit bezüglich der über den Cookie-Hinweis abgegebenen Einwilligung.

Abgestufte Handlungsempfehlungen:

  1. Informieren des Nutzers über Funktionsweise, Zweck und Speicherdauer der jeweiligen Cookies sowie Angaben zur Identität derjenigen, die auf die jeweiligen Cookies zugreifen und die erhobenen Daten verarbeiten (jeweils ausführlich auch in der Datenschutzerklärung) und
  2. Bereitstellen einer vom Nutzer zu aktivierenden „Opt-In“ Lösung für nicht zwingend erforderliche Cookies.

Vorsorglich sollte der Cookie-Hinweis nicht über den Links zur Anbieterkennzeichnung („Impressum“) und zur Datenschutzerklärung positioniert werden, damit diese den rechtlichen Vorgaben entsprechend leicht auffindbar sind.

Bei Fragen hierzu oder anderen datenschutzrechtlichen Fragestellungen können Sie mit uns hier Kontakt aufnehmen.