Braucht man für das Setzen von Cookies auf der Webseite eine Einwilligung?
Der Gerichtshof der Europäischen Union (EuGH) hat in einem Urteil vom 01.10.2019 (Aktenzeichen: C-673/17) entschieden, dass Cookies (hier: Tracking-Cookies zu Werbezwecken) nur dann gesetzt werden dürfen, wenn der User vorher ausdrücklich, bspw. durch Anhaken einer Checkbox, wirksam (= informiert und freiwillig) eingewilligt hat.
Worum ging es dabei und wie ist das Urteil konkret zu verstehen?
Um was ging es?
Die Entscheidung ergeht im Rahmen eines Rechtsstreits zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. und der Planet49 GmbH, einer Gesellschaft, die Online-Gewinnspiele anbietet, wegen der Einwilligung der Teilnehmer an einem von dieser Gesellschaft zu Werbezwecken veranstalteten Gewinnspiel in die Weitergabe ihrer personenbezogenen Daten an Sponsoren und Kooperationspartner sowie in die Speicherung von Informationen auf ihrem Endgerät und den Zugang zu den gespeicherten Informationen.
BGH hatte Fragen vorgelegt
Ausgangspunkt waren Vorlagefragen des Bundesgerichtshofs (BGH).
Bei einem Online-Gewinnspiel erschien eine schon angehakte Checkbox, die eine Einwilligung in Nutzung der Daten zu Werbezwecken enthielt. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. mahnte den Anbieter ab.
Der BGH wollte nun vom EuGH im Kern folgendes wissen:
1. Handelt es sich um eine wirksame Einwilligung (…), wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
2. Welche Informationen hat der Diensteanbieter im Rahmen der (…) vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Einwilligung unwirksam bei Opt-Out
In Beantwortung der ersten Frage stellt der EuGH fest, dass eine wirksame Einwilligung nicht vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein vom Diensteanbieter voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Also: Es muss immer eine aktive Handlung des Users erfolgen. Ist die Checkbox also leer und der Nutzer hakt aktiv an (= Opt-In), dann ist das gegeben. Ist das Kästchen aber schon angehakt und er muss es herausnehmen (= Opt-Out) ist das unzulässig.
Das wird mit Art. 6 Abs. 1 Buchst. a, DSGVO begründet, der eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder „einer sonstigen eindeutigen bestätigenden Handlung“ verlangt, in der ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck kommt.
Und: Nach dem 32. Erwägungsgrund der DSGVO könnte die Einwilligung u. a. durch Anklicken eines Kästchens beim Besuch einer Internetseite zum Ausdruck kommen. In diesem Erwägungsgrund wird aber ausdrücklich ausgeschlossen, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen können.
Leider keine Aussage zur Freiwilligkeit
Der EuGH stellt in seinem Urteil ausdrücklich fest, dass der BGH den Gerichtshof nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „ohne Zwang“ bzw. „freiwillig“ erteilten Einwilligung vereinbar ist, wenn ein Nutzer – wie es hier der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt.
Unter diesen Umständen brauche der Gerichtshof diese Frage nicht zu prüfen, stellen die Richter fest. Das ist sehr bedauerlich, denn diese Information wäre für die Beurteilung der Reichweite des Kopplungsverbots sehr wichtig.
Immerhin wurde erst kürzlich vom OLG Frankfurt/Main (OLG Frankfurt, Urteil vom 27.06.2019, Aktenzeichen 6 U 6/19) entschieden, dass eine solche Kopplung zulässig ist. Eine höchstrichterliche Aufklärung wäre gut gewesen.
Informationspflicht geht weit
Zur zweiten Frage, ob und inwieweit der User informiert werden muss, stellt der EuGH nach Prüfung insbesondere des Art. 13 DSGVO fest:
Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zählen zu den Informationen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Also: Wenn Cookies eingesetzt werden, dann muss in der Datenschutzinformation auf der Webseite transparent und vollständig über die Datenverarbeitungen und Zugriffsmöglichkeiten Dritter genauso informiert werden, wie über die Speicherdauer der Cookies im Browser des Nutzers.
Fazit
Wir haben es alle schon geahnt: Tracking-Cookies und alle Cookies, die nicht eine zwingende Funktion zur ordnungsgemäßen Ablauf der Webseite erfüllen (bspw. Warenkorb-Funktion) dürfen nur mit aktiver informierter Einwilligung gesetzt werden.
Wir brauchen also keine Cookie-Banner, sondern wir brauchen Einwilligungs-Banner.
Aber: Der BGH setzt bei seinen Fragen schon voraus, dass es eine Einwilligung geben muss. Er fragt nur, ob die Einwilligung in dem konkreten Fall wirksam ist. Daher sehe ich das bis auf Weiteres so, dass die Frage, ob eine Einwilligung immer nötig ist, dadurch nicht beantwortet wurde.
Denn mit dem LfDI Baden-Württemberg bin ich der Meinung, dass ein Cookie, das keinen Drittbezug hat (also beispielsweise ein Analyse-/Tracking-Cookie von Matomo zur Besucheranalyse, das nur auf dem eigene Webserver verarbeitet wird) über ein berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f DSGVO) legitimiert werden kann (vgl. hier die FAQ des LfDI Baden-Württemberg dazu). Ich lasse mich also durch das Urteil darin zunächst nicht beirren. Denn diese Frage wurde vom EuGH, soweit ersichtlich, nicht geprüft, da vom BGH nicht vorgelegt.
Und der Sachverhalt spricht von der Weitergabe personenbezogener Daten an Sponsoren und Kooperationspartner, weist also einen klaren Drittbezug auf.
Andere Meinungen sind herzlich willkommen.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
Datenschutz-Man