EuGH: Cookie-basierte Anwendungen weitgehend einwilligungspflichtig
Tipp: Weiterführende Informationen finden Sie hier: "Handlungsalternativen bei der Verwendung von Cookies zu Werbe-, Tracking- und Webanalysezwecken"
Die Frage, ob der Einsatz von Cookies auf Webseiten zwingend eine wirksame Einwilligung betroffener Nutzer voraussetzt und mit welchen technischen Ausgestaltungen diese gegebenenfalls eingeholt werden muss, beschäftigt deutsche Gerichte schon seit langem. Mir Urteil vom 01.10.2019 (Az. C-673/17) hat sich auf Vorlagefragen des BGH hin nun der EuGH eindeutig positioniert und eine Einwilligungspflicht für alle technisch nicht notwendigen Cookies bestätigt. Gleichzeitig hat das oberste europäische Gericht wesentliche Leitsätze für die technischen Erfordernisse zur Einholung von Cookie-Einwilligungen aufgestellt. Lesen Sie im Folgenden mehr zur aktuellen Entscheidung und zu deren erheblichen Auswirkungen auf den Online-Handel.
Über die aktuelle Entscheidung des EuGH zur Einwilligungspflicht für technisch nicht notwendige Cookies und zu den Modalitäten der Einholung können Sie gerne mit uns in unserer Facebook-Unternehmergruppe diskutieren.
I. Die Cookie-Richtlinie und die (fehlende) Umsetzung in Deutschland
Bereits im Jahr 2002 sah der europäische Gesetzgeber mit der Richtlinie 2002/58/EG Anlass, Grundsätze für den Datenschutz bei der elektronischen Kommunikation aufzustellen und hierbei insbesondere die Zulässigkeitsanforderungen für den Einsatz sogenannter Cookies zu regeln. Unter Cookies werden kleine Textdateien verstanden, die auf dem Endgerät eines Nutzers gespeichert werden und hierdurch das Auslesen bzw. die Übermittlung bestimmter Informationen ermöglichen.
In Artikel 5 Abs. 3 der ursprünglichen Richtlinie wurde der Einsatz von Cookies für zulässig erklärt, soweit der Nutzer umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhielt und die Möglichkeit erhielt, per Opt-Out dem Einsatz von Cookies zu widersprechen:
Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Diese Vorschrift wurde in Deutschland mit § 15 Abs. 3 TMG umgesetzt, der insofern eine Opt-Out-Lösung für Cookies vorgibt.
Technologische Entwicklungen und Big Data ließen in den Folgejahren aber Zweifel daran aufkommen, ob mit bloßen informatorischen Anforderungen dem angestrebten Datenschutzniveau beim Einsatz von Cookies hinreichend Rechnung getragen wurde.
Diese Zweifel bewegten den europäischen Gesetzgeber schließlich zum Erlass der Änderungsrichtlinie 2009/136/EG, der nunmehr für cookie-basierte Verarbeitungen immer dann eine ausdrückliche Nutzereinwilligung forderte, wenn diese für den Betrieb einer Website nicht technisch notwendig sind:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Die hierdurch aufgestellte Einwilligungspflicht für Cookies wurde in Deutschland bislang nicht in einem entsprechenden nationalen Gesetz verankert. Vielmehr blieb der § 15 Abs. 3 TMG unverändert bestehen.
Dies bot in den Folgejahren immer wieder Zündstoff für Diskussionen rund um die Einwilligungspflicht von Cookies, die Ihren Höhepunkt schließlich mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) fanden.
Diese trifft über den Einsatz von Cookies keine konkrete Aussage, etabliert aber für personenbezogene Datenverarbeitungen neben der Einwilligung vor allem auch berechtigte Interessen als hinreichende Rechtfertigungsgrundlage.
Mit der DSGVO entstanden ist in Bezug auf die Anforderungen an den zulässigen Einsatz von Cookies mithin ein Spannungsverhältnis zur Änderungsrichtlinie 2009/136/EG. Vielerorts wurde argumentiert, dass cookie-basierte Verarbeitungen von Informationen nicht zwingend auch personenbezogene Daten betreffen müssen. Wenn aber nach der DSGVO schon die Verarbeitung von viel schützenswerteren personenbezogenen Daten auch über berechtigte Interessen gerechtfertigt werden könnte, müsse dies für Informationsverarbeitungen durch Cookies erst recht gelten und könne keine generelle Einwilligung vorausgesetzt werden.
II. Das Machtwort des EuGH
Mit Urteil vom 01.10.2019 (Az. C-673/17) hat sich nunmehr der EuGH eindeutig zur streitigen Cookie-Einwilligung positioniert und auf Vorlagefragen des BGH hin zum einen Antwort zu den gestalterischen und informatorischen Anforderungen für deren Einholung gegeben. Zum anderen aber hat sich der EuGH zum verpflichtenden Informationsprogramm geäußert, das im Kontext von Cookie-Einwilligungen zu erfüllen ist.
1.) Der Sachverhalt
Anlass der Entscheidung des EuGH war eine Klage der Verbraucherzentrale Bundesverband (vzbv) gegen einen Online-Anbieter von Gewinnspielen, der auf der Teilnahmeseite eine vorformulierte Cookie-Einwilligungserklärung mit folgendem Inhalt vorhielt:
Ich bin einverstanden, dass der Webanalysedienst … bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die ….GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches …. eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch … ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
Diese Einwilligungserklärung war zwar mit einem Ankreuzfeld („Tickbox“) versehen, dieses war aber bereits vorausgefüllt.
Der Bundesverband der Verbraucherzentralen hatte die Formulierung und die Umstände der Einwilligungsabfrage beanstandet und verfolgte die Unterlassung der Verwendung in der beschriebenen Form klageweise.
Nachdem beide Vorinstanzen zu jeweils unterschiedlichen Entscheidungen gekommen waren, sah sich der BGH als Revisionsinstanz gehalten, das Verfahren auszusetzen und dem EuGH mit Beschluss vom 05.Oktober 2017 (Az. I ZR 7/16) maßgebliche Fragen zur Auslegung des Einwilligungserfordernisses für Cookies vorzulegen.
Folgende Auslegungsfragen wurden dem EuGH zur Beantwortung übermittelt:
1.a.) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG (1) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG (2), wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
1.b.) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
1.c.) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 (3) vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
2.) Die Entscheidung des EuGH
In seiner Entscheidung äußerte sich der EuGH unter Bezugnahme auf die Vorlagefragen zum einen zu der Frage, inwieweit der Einsatz von Cookies von einer Nutzereinwilligung abhängen muss, welche Anforderung an deren Einholung umzusetzen ist und ob eine Einwilligungspflicht maßgeblich vom „Ob“ eines Personenbezugs der durch Cookies verarbeiteten Informationen abhängt.
In einem zweiten Schritt beschäftigte sich der EuGH mit den notwendigen Informationspflichten, die im Rahmen der Einwilligungseinholung gegenüber Nutzern umzusetzen sind.
Welche Anforderungen in technischer und gestalterischer Hinsicht für die Einholung wirksamer Einwilligungen bei cookie-basierten Verarbeitungen zu beachten sind, hat die IT-Recht Kanzlei in diesen FAQ zusammengefasst.
a) Pflicht zur Einholung ausdrücklicher Einwilligungen für technisch nicht notwendige Cookies unabhängig vom Personenbezug der verarbeiteten Daten
Der EuGH bekräftigte in seinem Grundsatzurteil zunächst, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG (in Form der Änderungsrichtlinie 2009/136/EG) für das Setzen von (technisch nicht notwendigen) Cookies grundsätzlich die vorherige Einwilligung des Nutzers erforderlich ist.
Welche Cookies im Online-Shop technisch notwendig sind und welche nicht, haben wir hier dargestellt.
Zwar enthalte die Richtlinie im entsprechenden Abschnitt keine eindeutige Vorgabe an die Modalitäten der Einwilligungserteilung. Allerdings gehe aus dem 17. Erwägungsgrund der Richtlinie 2002/58 hervor, dass für die Zwecke dieser Richtlinie die Einwilligung des Nutzers in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolge. Hierzu zähle auch „das Markieren eines Feldes auf einer Internet-Website“.
Nicht nur aus diesem Erwägungsgrund, sondern vor allem auch mit Blick auf die strengen Anforderungen der seit dem 25.05.2018 geltenden DSGVO sei zu folgern, dass eine wirksame Cookie-Einwilligung stets nur durch ein aktives Verhalten des Nutzers erteilt werden könne, mit er seinen Willen unzweideutig bekunde. Insofern werde nach der DSGVO einerseits eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Einwilligung gefordert. Andererseits schlössen nach Erwägungsgrund 32 Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit das Wirksamwerden von Einwilligungen explizit aus.
Dem EuGH zufolge erfordert jegliches Setzen von technisch nicht notwendigen Cookies demnach die vorher über ein aktives Nutzerverhalten ausdrücklich erklärte Einwilligung. Vorangekreuzte Einwilligungskästchen genügen diesem Erfordernis nicht.
Sodann positionierte sich der EuGH zu der Frage, ob die Einwilligungspflichtigkeit davon abhängig gemacht werde, ob infolge des Einsatzes von Cookies gerade personenbezogene Daten oder nur nicht personenbezogene Informationen verarbeitet würden.
Nach Auffassung des Gerichts gelte die Einwilligungspflicht für Cookies unabhängig vom Personenbezug der hierdurch verarbeiteten Informationen. Der mit dem Einwilligungserfordernis bezweckte Schutz erstrecke sich vielmehr auf alle in Endgeräten in Form von Cookies gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasse insbesondere „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.
b) Informationen über Cookie-Funktionsdauer und mögliche Datendrittzugriffe bedingen Wirksamkeit von Cookie-Einwilligungen
Abschließend urteilte der EuGH über die Frage, ob zu den nach Art. 5 Abs. 3 der Richtlinie bereitzustellenden Informationen auch solche über die Funktionsdauer der Cookies und über mögliche Drittzugriffe auf die hierbei verarbeiteten Daten zählen.
Zunächst stellte das Gericht klar, dass die Wirksamkeit von Cookie-Einwilligungen maßgeblich davon abhänge, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer vom Umfang her in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt werde. Insofern müssten Sie insbesondere über die Funktionsweise des jeweiligen Cookies aufklären.
Um nun dem Nutzer eine fundierte Entscheidung über die Tragweite seiner Einwilligung zu ermöglichen, stellten sich Informationen über die Funktionsdauer und eine genaue Bezeichnung der Empfänger von mittels Cookies gesammelten Informationen als elementare Bestandteile des verpflichtenden Informationsprogramms dar.
III. Konsequenzen der Entscheidung für Online-Händler
Laut EuGH setzt der Einsatz von Cookies, die für den Betrieb einer Website nicht zwingend technisch erforderlich sind, stets eine ausdrückliche Nutzereinwilligung für jedes einzelne Cookie voraus. Das Einwilligungserfordernis gilt unabhängig davon, ob durch das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht.
Weil Urteile des EuGH grundsätzlich unmittelbare rechtsauslegende Wirkung für sämtliche Mitgliedsstaaten enthalten, sind Online-Händler nunmehr verpflichtet, für alle cookie-basierten und technisch nicht notwendigen Anwendungen stets vor deren Einsatz ausdrückliche Einwilligungen von jedem Seitenbesucher einzuholen.
Betroffen von der Einwilligungspflicht sind insbesondere alle cookie-basierten Tracking- und Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins.
Im Zuge der Einwilligungspflicht haben Online-Händler zudem durch technische Vorkehrungen sicherzustellen, dass Cookie-Einwilligungen aktiv für jedes Cookie erteilt werden können. Zusätzlich muss für jedes Cookie umfangreich über die Funktionsweise, die Funktionsdauer und über Drittempfänger von Cookie-Daten belehrt werden.
IV. Auswirkungen auf die Datenschutzerklärung im Online-Handel
Die vom EuGH aufgestellte generelle Einwilligungspflicht für Cookies hat (ungeachtet der notwendigen technischen Implementierungsschritten) maßgebliche Auswirkungen auf die Inhalte der Datenschutzerklärung. Betroffen sind alle Klauseln über Anwendungen, die Informationen auf Cookie-Basis erheben, speichern, auslesen, auswerten oder übermitteln.
V. Fazit
Das Urteil des EuGH vom 01.10.2019 (Az. C-673/17) dürfte alle Zweifel ausräumen, die in Deutschland bisher in Bezug auf eine generelle Einwilligungspflicht für Cookies geäußert wurden.
Nach Auffassung des höchsten europäischen Gerichts setzt der Einsatz eines jeden Cookies, das zum Betrieb einer Website nicht zwingend erforderlich ist, eine ausdrückliche Nutzereinwilligung voraus. Dies gilt unabhängig davon, ob über das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht.
Um wirksam zu sein, muss die Cookie-Einwilligung nicht nur ausdrücklich (etwa durch das aktive Setzen eines Häkchens) erteilt werden, sondern auch und vor allem auf Basis umfangreicher Informationen zur Funktionsweise des Cookies ergehen. Zu diesen Informationen zählen insbesondere die Funktionsdauer und die Empfänger der durch das Cookie verarbeiteten Daten.
Online-Händler, die cookie-basierte Anwendungen auf ihren Webseiten einbinden, sind nunmehr zum schnellen Handeln angehalten. Ab sofort sind Einwilligungslösungen zwingend zu implementieren und auch entsprechende Klauseln in der Datenschutzerklärung mit dem Einwilligungs- und Informationserfordernis in Einklang zu bringen.
Die gute Nachricht: im Zuge eines Generalupdates stellt die IT-Recht Kanzlei Ihren Mandanten schon jetzt rechtskonforme Klauseln für alle gängigen cookie-basierten Anwendungen und Dienste bereit.
Die IT-Recht Kanzlei stellt ihren Mandanten hier im Mandantenportal ein kostenloses Cookie-Consent-Tool zur Einbindung in Shops und auf Webseiten zur Verfügung - dies in Kooperation mit dem Datenschutz-Komplettdienst PRIVE.
Dieses Cookie-Consent-Tool bringt folgende Vorteile mit sich:
- Bis zu 20.000 Seitenaufrufe pro Monat kostenfrei
- Vollständig datenschutzkonformes Cookie-Einwilligungsmanagement nach dem aktuellen Stand der Technik
- Basierend auf der Technologie von Usercentrics, einem Marktführer im Bereich der Consent-Tools
- Einfache Konfiguration und Integrierbarkeit auch für Laien
- Plattformunabhängige Nutzbarkeit
- Unterstützung der deutschen und englischen Sprache (wird noch erweitert)
- Unterstützung aller gängigen Tacking- und Analysedienste
- Laufende Pflege und steter Ausbau des Tools
- Kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
10 Kommentare
wir haben keine Möglichkeit auf das techn.Backend unseres Shops zuzugreifen da der Programmierer unseres Shops nicht mehr findbar ist.Wir setzen zur Zeit einen neuen Shop auf.
Was mach ich mit dem laufenden Shop bis dahin?
Gibt es einen Übergangszeitraum für die Installation?
Oder ist es sofort! gültig?...,was könnte ich tun bis neuer Shop am Start ist?
Danke,
Ralf
Für eine kurze Erläuterung wäre ich sehr dankbar!
Ulrich
vielen Dank für die Erklärung und Folgendarstellung aus dem Urteil. Soweit ist mir alles klar- jedoch bleibt eine Frage offen: Woher kommt die Unterscheidung, dass für technisch nicht notwendige Cookies eine Einwilligung gebraucht wird; für technisch notwendige aber nicht?
Vom Logischen her ganz klar: Wenn ohne die Cookies die Seite nicht funktioniert, ist die "nicht Einwilligung" letztlich das Nicht-benutzen-können der Seite.. Man hat also quasi keine Wahl..
Aber mich interessiert der Zusammenhang zum Urteil?`Das Urteil differenziert an keiner Stelle zwischen nicht-notwendig und notwendig.. Es redet allgemein von Einwilligung bei Cookies und ergänzt, dass eine pbD-Verarbeitung hierbei irrelevant ist. Dh. die Einwilligung muss vorliegen.
Wie kann man also aus dem Urteil ableiten bzw. an welcher Stelle herauslesen, dass dies für technisch-nicht notwendige Cookies nur gilt?
Vielen Dank und viele Grüße
L
in erster Linie möchte ich mich für den sehr schön geschriebenen und informativen Beitrag bedanken. Es ist wirklich schön, dass Sie sich die Mühe machen und uns kostenlos über den Sachverhalt auf dem Laufenden halten. VIELEN DANK!!!
Nun aber zu einem Punkt, welcher weder hier noch sonst wo irgendwo genauer beschrieben wird. Es ist ja so, dass technisch notwendige Cookies keiner Einwilligung bedürfen, das habe ich schon verstanden (also Login oder Session-Cookies). Muss man trotz allem nun einen Cookie-Banner schalten auf dem steht .... "Diese Seite verwendet ausschließlich technisch notwendige Cookies."? Reicht es nicht aus, dass das man über diese Cookies in der Datenschutzerklärung informiert?
Ich frage nur deshalb, da zum Beispiel dieses "Cookie-Bot" Plugin im Banner auch alle technischen notwendigen Cookies erwähnt.
Ich bin in dieser Sache wirklich maximal verwirrt.
Gruß Christian
Wie kann das sein, dass ich eine Dienstleistung erbringe, für die der User nichts bezahlen muss, wenn ich meine Arbeit über Werbung finanziere, diese Dienstleistung aber auch dann erbringen muss, wenn der User sagt, dass er keine Werbung sehen, also nichts bezahlen will?
Gehört denn meine Seite und meine Arbeit mir, sodass ich das Recht habe, User zuzulassen oder auch abzulehnen, oder gehört sie dem User, der EU oder jemand anderem?
Ich denke, dass - wenn Sie Recht haben - das sehr besorgniserregend ist. Eigentum wird dann zwangsenteignet. Wo bleiben denn da unsere nach der DSGVO berechtigten Interessen?
Ich hoffe, dass IT-Recht in der Lage ist, ein für uns Betreiber umsetzungsfähiges Model vorzuschlagen, das uns vor schmarotzerhaften Usern beschützt und vor dem Ruin bewahrt.
vielen Dank für Ihre Kommentare.
Für technisch notwendige Cookies, die zum Betrieb einer Website oder zur Bereitstellung deren Funktionen zwingend erforderlich sind, ist eine Einwilligung nicht verpflichtend.
Den Zugang zu einer Website vom Erteilen einer Cookie-Einwilligung abhängig zu machen, verstößt gegen das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO. Danach darf das Erbringen einer Dienstleistung (und im weitesten Sinne auch der Zugang einer Website) nicht von der Erteilung einer Einwilligung abhängig gemacht werden, die für die Erbringung der Dienstleistung (und im weitesten Sinne den Zugang zur Seite) nicht erforderlich ist.
Zuletzt bleibt noch zu klären, ob überhaupt eine proaktive Einwilligung für Cookies, die zum technischen Betrieb einer Webseite nötig sind, überhaupt notwendig ist. Ist sie das?