Im Grunde war es bereits allgemein bekannt oder auch befürchtet, nun ist es amtlich: Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Einwilligung in Cookies ausdrücklich erfolgen muss (Opt-in) und nicht voreingestellt sein darf. Cookie-Banner, die lediglich darüber aufklären, dass Cookies gesetzt werden und nur ein „OK“ anbieten, sind damit nicht rechtens. Ebenso verhält es sich mit Lösungen, bei denen die entsprechenden Haken bereits gesetzt sind, aber vom Benutzer entfernt werden könnten (Opt-out). Die langjährige deutsche Praxis war und ist damit rechtswidrig (Urteil des EuGH vom 1. Oktober 2019, Az.: C‑673/17).
Konkret sagt der Tenor, dass „keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“
Datenschutzrechtliche Einschätzung des Urteils
Nach dem heutigen Urteil des EuGH besteht damit bei sehr vielen Anbietern von Websites akuter Handlungsbedarf! Einige Punkte müssen hervorgehoben werden:
Das Urteil gilt tatsächlich für ALLE Cookies. Es kommt nicht darauf an, ob diese personenbezogen sind oder nicht. Der Grundgedanke ist, dass ohne Einwilligung des Benutzers auf seinem Gerät gar nichts gespeichert werden darf. Dies ergibt sich nicht aus dem Originaltext der Richtlinie 2002/58/EG, aber durch dessen Änderung im Jahre 2009. Die entscheidende Vorschrift Art. 5 Abs. 3 Richtlinie 2002/58/EG hat seither diese Fassung:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Der EuGH stellt jetzt ausdrücklich klar, dass es nicht darauf ankommt, um was für Cookies es geht. Dieses Urteil hat damit auch außerhalb des Datenschutzrechts erhebliche Bedeutung!
Weiterhin zulässig dürften technisch zwingend notwendige Cookies sein. Art. 5 Abs. 3 Satz 2 Richtlinie 2002/58/EG blieb unverändert. Danach können Speicherungen erfolgen, soweit der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft diesen Dienst zur Verfügung stellen kann, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde.
Das Gericht geht ausdrücklich nicht auf eine Koppelung bzw. das Koppelungsverbot ein. Die Frage, ob die Einwilligung in bestimmten Fällen nicht als Gegenleistung vorgesehen werden kann, ist damit nicht abschließend geklärt. Modelle, in denen eine kostenfreie Leistung mit personenbezogenen Daten entlohnt wird, sind damit zumindest nicht vom Tisch. Das Prinzip „bezahle statt mit Geld mit deinen Daten“ ist ja in etlichen Fällen auch von Aufsichtsbehörden bereits für möglich gehalten worden, z.B. vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA). Die Details sind aber stets im Einzelfall zu klären.
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Fazit: Das Urteil gleicht einer Vorwegnahme der ePrivacy-Verordnung
Sobald der BGH seine Entscheidung in der Sache gefällt hat, in der er den EuGH angerufen hatte, wird sich der Markt voraussichtlich auf eine der ePrivacy-Verordnung vorweggenommene Tatsachenlage einstellen müssen. Das Setzen von Cookies jeglicher Art ist nur noch mit wirksamer vorheriger Einwilligung möglich. Dies gilt dann nicht nur für zu Werbezwecken eingesetzte Cookies, sondern auch für Komfortfunktionen, wie die Speicherung von Präferenzen (Sprache o.ä.) und selbst dann, wenn es sich um nicht personenbezogene Cookies handelt.
Grundlage dieser Einwilligung muss eine ausreichende Information sein. Im Klartext: Ähnlich, wie bereits im Bereich personenbezogener Cookies informiert werden musste, wird man dies künftig bei allen Cookies erledigen müssen.
Welche Cookies als „technisch unabdingbar“ akzeptiert werden, muss sich noch herausstellen.
Ergänzend denken Sie bitte daran, dass datenschutzrechtliche Anforderungen gegebenenfalls noch gesondert zu erfüllen sind, etwa wenn mit Unterstützung des Cookies personalisierte Profile erstellt werden sollen. Es dürfte aber nichts dagegensprechen, die Einwilligung in das Setzen des Cookies mit der datenschutzrechtlichen Einwilligung in ein personalisiertes Tracking zu verbinden.
Wie immer gilt: Fragen Sie Ihren – hoffentlich ausreichend qualifizierten – Datenschutzbeauftragten!