Der Europäische Gerichtshof hat am 01.10.2019 eine Grundsatzentscheidung zur lange Zeit umstrittenen Frage getroffen, ob Webseitenbetreiber von ihren Besuchern eine ausdrückliche Einwilligung einholen müssen, wenn sie s.g. Cookies verwenden. In ihrem Urteil (EuGH, Urteil vom 01.10.2019, Az. C-673/17) kommen die obersten EU-Richter zu dem Ergebnis, dass eine solche aktive Einwilligungshandlung der Nutzer zwingend erforderlich ist – der Cookie-Opt-In wird also Pflicht. Bisher gängige Verfahren, wonach Nutzer aktiv handeln mussten, wenn sie keine Webseiten-Cookies auf ihren Browsern zulassen wollten (s.g. Opt-Out-Varianten) sind demnach unzulässig. Eine entsprechende Regelung des deutschen Telemediengesetzes verstößt insoweit gegen europäisches Recht.
Was sind Cookies?
Bei s.g. Cookies handelt es sich technisch betrachtet um kleine Textdateien von meist einigen Kilobyte Größe, die Webseitenbetreiber auf dem Computer des Nutzers – besser gesagt in dessen Webbrowser – speichern und die bei einem erneuten Aufrufen der entsprechenden Seite „wiedererkannt“ werden. Auf diese Weise „erinnert“ sich die Webseite an den Nutzer. Es sollen so beispielsweise die Navigation im Internet oder Online-Transaktionen erleichtert werden.
Klassischer Anwendungsfall ist zum Beispiel folgender: Ein Internetnutzer besucht einen Webshop und legt bestimmte Produkte im Warenkorb ab. Dabei setzt die Webseite Cookies im informationstechnischen System des Nutzers. Verlässt der Nutzer nun die Webseite, ohne den Checkout, bzw. den Einkauf beendet zu haben und kehrt der Nutzer später auf die Shop-Seite zurück, so findet er seine zuvor ausgewählten Produkte noch immer im Warenkorb vor.
Cookies werden aber auch verwendet, um Informationen über das Nutzerverhalten zu erlangen und zu analysieren, um Nutzer zu „tracken“, Profile zu erstellen und um personalisierte Werbung auszuspielen. Die Einsatzmöglichkeiten von Cookies sind vielfältig und werden in Zeiten von „Big Data“ in großem Stil ausgeschöpft. Kaum noch eine Webseite kommt heutzutage ohne Cookies aus.
Streitfrage: Opt-Out-Lösung statt Cookie Opt-In
Im nun vom Europäischen Gerichtshof entschiedenen Fall stritt sich der Bundesverband der Verbraucherzentralen Deutschland – eine nach dem Unterlassungsklagengesetz qualifizierte Einrichtung mit Klagebefugnis – („Bundesverband“) mit der Planet49 GmbH, einem deutschen Gewinnspielveranstalter („Planet49“).
Planet49 veranstaltete auf einer Webseite ein Gewinnspiel, auf der u.a. der folgende Hinweistext zu lesen war:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
Dieser Hinweistext war von Planet49 mit einem Ankreuzfeld versehen, welches standardmäßig mit einem Häkchen vorausgefüllt war. Wollte der Nutzer also keine Speicherung von Werbe-Cookies auf seinem Browser erlauben, musste er das vorausgefüllte Feld durch eine aktive Handlung – einen Klick – abwählen.
An dieser Formulierung und Ausgestaltung der Einwilligungsabfrage durch Planet49 störte sich der Bundesverband, hielt sie für rechtswidrig und nahm Planet49 zunächst erfolglos im Wege der Abmahnung in Anspruch. Anschließend erhob der Bundesverband Unterlassungsklage vor dem Landgericht Frankfurt. Das Landgericht gab der Klage antragsgemäß statt und verurteilte Planet49 zur Unterlassung. Die dagegen eingelegte Berufung beim Oberlandesgericht Frankfurt kam zum gegenteiligen Ergebnis. Schließlich hat der Bundesgerichtshof das anschließende Revisionsverfahren ausgesetzt und dem Europäischen Gerichtshof folgende Fragen im Wege des Vorabentscheidungsverfahrens vorgelegt:
1) a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 [Datenschutzrichtlinie für elektronische Kommunikation] in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 [Datenschutz- und Datenfreiheitsrichtlinie], wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
1) b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
1) c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 [Datenschutzgrundverordnung] vor?
2) Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Vereinfacht ausgedrückt, hat der Bundesgerichtshof den EuGH Folgendes gefragt und gebeten zu entscheiden:
- Ist eine Opt-Out-Lösung – etwa durch vorausgefüllte Ankreuzkästchen – bei Cookies ausreichend?
- Macht es einen Unterschied, ob es sich bei den durch ein Cookie verarbeiteten Informationen um personenbezogene Daten handelt?
- Ist eine per Opt-Out erteilte Einwilligung nach der DSGVO wirksam?
- Worüber muss der Cookie-Setzer den Nutzer informieren (etwa Speicherdauer, bzw. Funktionsdauer des Cookies und Zugriff durch Dritte)?
EuGH: Cookie Opt-In ist Pflicht
Der Europäische Gerichtshof hat die Vorlagefragen des Bundesgerichtshof im Ergebnis wie folgt beantwortet:
1) a) Nein, solange der Cookie technisch nicht notwenig ist.
1) b) Nein.
1) c) Nein.
2) Zur Verfügung zu stellen sind alle Informationen nach Art. 13 DSGVO, einschließlich Funktionsdauer der Cookies und Offenlegung, an welche Dritten die Daten weitergegeben worden sind.
Der EuGH hat also entschieden, dass Webseitenbetreiber von ihren Nutzern – wollen Sie Cookies einsetzen – eine aktive und freiwillige Einwilligung benötigen. Der bisher gängige Opt-Out ist unzulässig. Damit ist die Praxis zahlreicher Anbieter, die derzeit s.g. „Cookie-Banner“ mit Inhalten wie
„Diese Webseite verwendet Cookies. Wenn Sie unsere Seite weiter benutzen, gehen wir von Ihrem Einverständnis aus.“
verwenden, unzureichend und damit rechtswidrig.
Der EuGH hat – folgerichtig – eine Ausnahme für solche Cookies zugelassen, die überhaupt erst einmal gesetzt werden müssen, um dem Nutzer die Webseite anzuzeigen. Für technisch bedingt notwendige Cookies bedarf es also nach wie vor keiner Einwilligung des Nutzers.
Bemerkenswert ist allerdings, dass der EuGH nicht zwischen solchen Cookies, die personenbezogene Daten abrufen und übertragen, und solchen, die sich lediglich auf allgemeine Informationen und nicht-personenbezogene Daten beziehen, unterscheidet. Die grundsätzliche Regel, dass Datenschutzrecht nur in Bezug auf diejenigen Informationen anwendbar ist, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen und diese identifizieren oder jedenfalls identifizieren können, gilt für Cookies also nicht.
Interessant und für die weitere Rechtsentwicklung hilfreich ist darüber hinaus die Entscheidung, dass eine Opt-Out-Variante sowohl nach der – alten – Datenschutzrichtlinie als auch nach der – mittlerweile gültigen – Datenschutzgrundverordnung unzureichend ist und nicht den Anforderungen an eine wirksame Einwilligung genügt.
Schließlich ist der EuGH zu dem Ergebnis gelangt, dass die Verwender von Cookies dem Nutzer – also der von dem Cookie betroffenen Person – alle Pflichtinformationen nach Art. 13 DSGVO zur Verfügung stellen müssen, einschließlich Informationen über Speicherdauer, bzw. Gültigkeitsdauer des Cookies und die Offenlegung aller derjenigen Dritten, die auf das Cookie, bzw. die durch das Cookie erhobenen Daten Zugriff haben.
Zum rechtlichen Hintergrund
Der Europäische Gerichtshof hat mit seiner Entscheidung nunmehr eine nationalrechtliche deutsche Vorschrift für unwirksam und mit EU-Recht unvereinbar erklärt – nämlich § 15 Abs. 3 TMG. Diese Vorschrift lautet:
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“
Diese Regelung beruht auf der bereits im Jahre 2002 in Kraft getretenen Richtlinie 2002/58/EG zum Datenschutz bei elektronischer Kommunikation. Im Laufe der Jahre hatte der europäische Gesetzgeber allerdings zunehmende Zweifel an dieser Widerspruchslösung – gerade wegen des Aufkommens von „Web 2.0“ und „Big Data“. So wurde die dem Telemediengesetz zugrundeliegende Richtlinie schließlich mit der Änderungsrichtlinie 2009/136/EG geändert. Fortan hieß es:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Diese Änderung hat der deutsche Gesetzgeber allerdings nie in nationales Recht umgesetzt, sodass in Deutschland die ursprüngliche Regel des Telemediengesetzes (Cookie-Opt-Out statt Cookie-Opt-In, Widerspruchslösung) weiterhin galt. Dem hat der EuGH nun – auch vor dem Hintergrund des durch die DSGVO gestiegenen öffentlichen Datenschutzbewusstseins der Internetnutzer – eine deutliche Absage erteilt. Die deutsche Vorschrift des § 15 Abs. 3 TMG ist zukünftig nur noch unter der Maßgabe anwendbar, dass sie europarechtskonform ausgelegt wird.
Cookie Opt-In: Praktische Auswirkungen
Die Entscheidung der EU-Richter wird ganz erhebliche Auswirkungen darauf haben, wie wir das Internet zukünftig erleben und wie sich das Benutzererlebnis beim Surfen im Netz verändern wird. Waren bisher die allermeisten Webseiten entweder gar nicht oder aber mit einigermaßen unscheinbaren Cookie-Bannern ausgestattet – etwa am oberen oder unteren Bildschirmrand -, die der Nutzer durch einen simplen Klick auf eine Schaltfläche wie „Verstanden“ oder „Okay“ oder „Ich akzeptiere“ bestätigen – oder auch einfach völlig ignorieren konnte. Der Funktionalität der Webseite tat dies in aller Regel keinen Abbruch, da die Cookies gleichwohl gesetzt worden sind.
Dies wird zukünftig anders sein. Fortan werden Cookie-Banner in Größe und Komplexität – und vermutlich auch in ihrer Unverständlichkeit – erheblich zunehmen. Der Internetnutzer wird um Bestätigungshandlungen in Form von Klicks nicht mehr umhinkommen. Etliche Anbieter von professionellen Cookie-Bannern gehen derzeit in die Offensive, um ihre Produkte an Webseitenbetreiber zu verkaufen, die ihre Internetauftritte oder Webshops rechtssicher gestalten wollen. Die allermeisten dieser Banner-Lösungen sind so aufgebaut, dass der Nutzer entweder alle Cookies ablehnen, alle Cookies akzeptieren oder aber eine detaillierte Auswahl zwischen verschiedensten Cookies vornehmen kann.
Ironischerweise haben sich auch schon Anbieter etabliert, die ihren Kunden Browser-Plugins anbieten, mit denen Cookie-Banner generell ausgeblendet und alle Cookies automatisch akzeptiert werden – mit dem Ziel, das bisherige Nutzererlebnis im Internet beizubehalten.
Was zu tun ist: Cookie Opt-In implementieren
Grundsätzlich muss nunmehr jeder Betreiber einer Webseite – vom Online-Händler über den Kleingartenverein bis zum Blogger – seine Webseite anpassen und eine technische Funktionalität implementieren, die es Webseitenbesuchern und Nutzern ermöglicht, vor dem Setzen nicht notweniger Cookies grundsätzlich für jedes einzelne Cookie eine Entscheidung über seine Einwilligung zu treffen (Cookie Opt-In).
Dies bedeutet häufig einen nicht unerheblichen Eingriff in Code und Setup der Webseite und dürfte in aller Regel mit finanziellem und zeitlichen Aufwand verbunden sein.
Webseitenbetreibern, die die neuen Pflichten nicht umsetzen, drohen teure Abmahnungen von Konkurrenten oder Verbraucherverbänden und darüber hinaus datenschutzrechtliche Schadenersatzforderungen von Webseitennutzern.
Bei Fragen zum Artikel können Sie mir schreiben.