EuGH-Urteil – benötigen Sie für jedes Cookie eine Einwilligung?

Das EuGH-Urteil C-673-17 gegen die Planet49 GmbH vom 01.10.2019 hat zu vielen undifferenzierten Meldungen geführt, die den Eindruck erweckten, dass Cookies nur noch mit aktiver Einwilligung des Nutzers gesetzt werden dürfen.

Ist dem wirklich so, dass Sie nun für jedes Cookie eine Einwilligung benötigen?

Wir konzentrieren uns in diesem Beitrag lediglich auf die Kernfragen und -aussagen des Urteils und stellen fest, dass der EuGH lediglich zu folgenden Themen Stellung bezogen hat:

1. Ist beim Einsatz von Web-Technologien (Cookies, Tracker, Identifier), für die eine Einwilligung des Betroffenen erforderlich ist, ein Opt-out – also die Deaktivierung einer standardmäßig voreingestellten Einwilligung (vorangehaktes oder -angekreuztes Kästchen (Checkbox)) erlaubt?
   1. Also, darf bis zur Deaktivierung der Checkbox eine Speicherung oder ein Zugriff auf Endgerät-Daten des Nutzers erfolgen?
   2. Handelt es sich bei einem solchen Vorgehen überhaupt um eine wirksame Einwilligung des Nutzers?

Zu 1.1. führt der EuGH u.a. an, dass

„[…] in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer sind, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt […] unabhängig davon, ob es sich um personenbezogene Daten handelt, […]“

„[…] Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein […]“

• Das heißt:
  • Grundsätzlich sind erst einmal alle Endgerät-Informationen schutzbedürftig und dürfen nicht einfach von Ihnen als Anbieter oder von Dritten ausgelesen oder gespeichert werden.
  • Wenn es jedoch erforderlich ist, z.B. entsprechende Session-Cookies/IDs (Identifikatoren, Identifier) in den Endgeräten der Nutzer zu setzen, damit beispielsweise in einem Onlineshop der Warenkorb von den Nutzern gefüllt werden kann, dann ist das rechtmäßig und bedarf keiner Einwilligung. Ein Ausschalten dieser Identifikatoren durch den Nutzer kann nicht erfolgen, so dass diese von Ihnen standardmäßig und von den Nutzern unveränderbar voreingestellt sein müssen. Eine entsprechende Aufklärung, die i.d.R. im Rahmen der Datenschutzerklärung bzw. einer gesonderten Cookie-Hinweis-Seite der Website erfolgt, ist obligatorisch.

Die große Frage, die sich daraus jedoch ableitet, ist:

Welche Technologien sind auf Ihrer Website „erforderlich“ und damit nicht einwilligungspflichtig?

Hier bedarf es regelmäßig einer entsprechenden Interessenabwägung Ihrerseits, in der Sie nachweislich (dokumentiert) abwägen müssen, ob Ihre Interessen wirklich gegenüber denen der Nutzer überwiegen, so dass Sie keine Einwilligung benötigen. Beispiele:

• Ist eine statistische Webanalyse Ihrer Website erforderlich? Hier könnte man argumentieren, dass eine (selbstgehostete) anonymisierte Webanalyse aus Ihrer Sicht erforderlich ist, damit Sie Ihren Webauftritt den Erwartungen der Nutzer entsprechend kontinuierlich optimieren können. Den Interessen der Betroffenen wird durch die (selbstgehostete) anonymisierte Form der Datenerhebung Rechnung getragen. Die Rechtmäßigkeit dieser statistischen Analyse wäre aufgrund Ihres „berechtigten Interesses“ im Sinne der DSGVO nach Art. 6 (1) f gegeben, sprich: Sie haben hierfür eine gesetzliche Grundlage und bräuchten keine Einwilligung des Nutzers.
• Ist ein Retargeting, also ein Nachverfolgen Ihrer Nutzer für Werbezwecke, erforderlich? Hier wird es mit der Argumentation schwierig. Zwar soll auch immer die Erwartungshaltung des Betroffenen in Ihre Interessenabwägung mit einbezogen werden, aber können Sie wirklich davon ausgehen, dass – nur weil es inzwischen Usus ist, dass man im Netz regelmäßig „verfolgt“ wird – die Interessen des Betroffenen an einer Nichtverfolgung, also an einem anonymen Surfen, hinter Ihren wirtschaftlichen Interessen zurücktreten? Eher nicht. Hier sehen wir ein entsprechendes Einwilligungserfordernis bevor die Trackingtechnologie per Cookie o.ä. Ihrerseits zum Einsatz kommt.

Vertiefende und ergänzende Informationen – inkl. einer Muster-Interessenabwägung – finden Sie hier in der aktuellen Orientierungshilfe der deutschen Datenschutz-Aufsichtsbehörden:  https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

Zu 1.2., der Frage, wann eine Einwilligung wirksam ist, geht der EuGH u.a. wie folgt nach:

Der EuGH wirft hierzu u.a. einen Blick in den Erwägungsgrund 32 der DSGVO:

„¹Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.

²Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

³Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.

⁴Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen.

⁵Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.

⁶Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“

und argumentiert dann entsprechend:

„[…] das Erfordernis einer „Willensbekundung“ der betroffenen Person [deutet] klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website. […] Diesem Erfordernis kann aber nur ein aktives Verhalten, mit dem die betroffene Person ihre Einwilligung bekundet, genügen. Insoweit erscheint es praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat; unklar bleibt jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde. Es kann nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte […]“

„[…] der für die Verarbeitung Verantwortliche, um eine faire und transparente Verarbeitung zu gewährleisten, der betroffenen Person u. a. Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer zur Verfügung stellen muss. Bei den Angaben dazu, ob Dritte Zugriff auf die Cookies erhalten können, […]“

 „[…] die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. […]“

 „[…] Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat […]“

• Das heißt:
  • Die Willensbekundung = Einwilligung muss aktiv selbst durch den Nutzer erfolgen.
  • Die Einwilligung muss in Kenntnis der Sachlage erfolgen. Der Nutzer muss also die Tragweite kennen und verstehen (verständliche Formulierung im Sinne Ihrer Zielgruppe = Websitebesucher!), in die er einwilligt.
  • Die Einwilligung ist zweckgebunden und muss für jeden Zweck einzeln erfolgen.
  • Für eine faire und transparente Verarbeitung sind folgende verständliche Pflichtinformationen für eine wirksame Einwilligung zur Verfügung zu stellen:
    • Funktionsweisen der eingesetzten Webtechnologien, die auf Daten/Endgeräte der Nutzer zugreifen
    • Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer der Daten, die beim Betroffenen bzw. auf dessen Endgerät erhoben/abgelegt werden.
    • Angabe über Dritte, die Zugriff auf die Daten erhalten.

Fazit:

• Es hat sich durch dieses Urteil nichts geändert. Es galt auch bisher Folgendes:
  • Einwilligungspflichtige Cookies bedürfen einer entsprechend aktiven Einwilligung des Betroffenen – eine bereits aktivierte Checkbox zum Abwählen (Opt-out) gilt nicht.
  • Erst nach Einwilligung darf die eingesetzte Webtechnologie aktiv werden.
  • Cookies, die keiner Einwilligung bedürfen, dürfen verwendet werden, wenn dies rechtmäßig erfolgt, also wenn die Cookies o.ä. erforderlich sind und über diese entsprechend transparent informiert wird.
• Der EuGH erweitert lediglich den Schutzbedarf auf alle Endgeräte-Informationen der Nutzer – unabhängig davon, ob diese personenbeziehbar sind oder nicht.
• Eine letztendliche Klarheit darüber, wann welche Cookies o.ä. definitiv einwilligungspflichtig sind, wird voraussichtlich erst die noch ausstehenden e-Privacy-Verordnung bringen.

Das sollten Sie als Websitebetreiber jetzt tun:

1. Analysieren Sie Ihre Websitefunktionen und die von Ihnen oder auch von Dritten eingesetzten Webtechnologien auf Notwendigkeit bzw. Erforderlichkeit und misten Sie ggf. rigoros aus, z.B. Statistik-Tools, deren Statistiken Sie noch nie angeschaut haben. Aus unserer Beratererfahrung wissen wir, dass vielen Unternehmen gar nicht bewusst ist, was ihre Website alles so treibt. So sind die Unternehmen regelmäßig erstaunt, was unser Website-Check alles ans Licht befördert.
2. Prüfen Sie nun und künftig regelmäßig, wofür Sie eine Einwilligung benötigen und wofür nicht und ob einwilligungspflichtige Technologien auch tatsächlich erst nach der aktiven Einwilligung mit der Arbeit beginnen.
3. Falls Sie einen Cookie-Banner im Einsatz haben, schauen Sie sich an,
   1. ob er die weitverbreitete Floskel enthält „Unsere Website verwendet Cookies. Mit der Nutzung dieser Website erklären Sie sich damit einverstanden…“ o.ä. Dies stellt keine wirksame Einwilligung dar, da es an der nötigen Transparenz fehlt und eine Einwilligung immer zweckgebunden erfolgen muss – also keine Sammeleinwilligung sondern für jeden Zweck separat. Auch an der „aktiven“ Form der Einwilligung mangelt es hier.
   1. ob Ihr Cookie-Banner die Links zu Ihrem Impressum verdeckt und ggf. auch Ihre Datenschutzerklärung nicht mehr angeklickt werden kann. Diesen Punkt sollten Sie dringend verbessern, da Sie diese Informationen stets unmittelbar erreichbar zur Verfügung stellen müssen.
   1. Ob Ihr Cookie-Banner lediglich einen rein informatorischen Hinweis auf eingesetzte Cookies/Webtechnologien gibt und auf die entsprechende Passage in Ihrer Datenschutzerklärung bzw. auf eine separate Cookie-Seite verlinkt und der Nutzer dort alle Informationen transparent und verständlich erhält ggf. mit entsprechenden Opt-out-Funktionen (Achtung: Opt-out nur bei nicht einwilligungspflichtigen Cookies und bei nicht technisch erforderlichen Cookies). Dieses Vorgehen wäre ok.

Eine kurze FAQ-Liste zum Thema Cookies und Tracking finden Sie auch bei der Datenschutz-Aufsichtsbehörde Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-Cookies-und-tracking-2/

Falls Sie sich noch intensiver mit dem eigentlichen Gegenstand und der Historie dieses Urteils befassen wollen, haben wir Ihnen hier ausgewählte Artikel anderer Berater-Kolleginnen und -Kollegen und Fachartikel in folgender Linkliste zusammengestellt:

• https://www.internet-law.de/2019/10/die-cookie-entscheidung-des-eugh-wird-ueberschaetzt.html
• datenschutz-praxis.de/fachartikel/eugh-vorgaben-fuer-einwilligungen-bei-Cookies/(öffnet in neuem Tab)
• https://www.heise.de/newsticker/meldung/Cookie-Urteil-neue-Klarheit-neue-Fragen-und-eine-informationelle-Integritaet-des-Endgeraets-4544344.html?seite=2
• https://www.haerting.de/de/neuigkeit/eugh-zu-Cookies-nicht-wirklich-viel-neues-aus-luxemburg
• https://diercks-digital-recht.de/2019/10/zum-eugh-urteil-planet49-az-c-673-17-benoetigen-cookies-ab-jetzt-immer-einer-einwilligung-spoiler-nein/
• https://www.datenschutz-guru.de/was-bedeutet-das-planet49-urteil-des-eugh-fuer-deine-cookies-nicht-jedes-cookie-braucht-nen-daumen-hoch/