12.11.2019

EuGH macht Vorgaben für Einwilligungen bei Cookies

„Cookies sind künftig nur noch mit Einwilligung zulässig.“ Solche und ähnliche Überschriften konnte man in den letzten Tagen vielfach lesen. Angeblich hat der EuGH das so entschieden. Die Realität ist freilich komplexer, und es lohnt sich, die Entscheidung näher zu betrachten.

Cookies EuGH

Wesentlich zutreffender als manche kurz gefasste Überschrift, die in den letzten Tagen zu lesen war, wäre folgende Zusammenfassung der EuGH-Entscheidung zu Cookies:

„Es gibt Cookies, für die eine Einwilligung nötig ist. Der Europäische Gerichtshof (EuGH) hat jetzt die Messlatte dafür, wann eine wirksame Einwilligung vorliegt, deutlich höher gelegt als bisher üblich. Das hat enorme praktische Bedeutung. Denn ausgerechnet diese Arten von Cookies sind für die Werbung im Internet besonders wichtig.“

Zugegeben, das liest sich ein ganzes Stück weniger plakativ. Dennoch bringt es Sie wesentlich weiter, wenn Sie über den Einsatz von Cookies entscheiden müssen.

Die unstreitige Ausgangslage

Vor allem Betreiber von Onlineshops legen häufig Cookies auf den Rechnern von Besuchern ihrer Webseiten ab. Wer dies tut, braucht dafür eine Rechtsgrundlage. Daran bestand nie ein Zweifel.

Sollen solche Cookies Werbemaßnahmen vorbereiten, bleibt als einzige mögliche Rechtsgrundlage eine Einwilligung – einfach deshalb, weil andere Rechtsgrundlagen dafür nicht passen. Auch dies hat nie jemand ernsthaft bezweifelt.

Zwei Kern-Zweifelsfragen

Zweifel gab es nur im Hinblick auf zwei Aspekte:

  • Liegt eine wirksame Einwilligung vor, wenn die Verwendung von Cookies durch ein „voreingestelltes Ankreuzkästchen“ erlaubt wird? Dabei ist vorausgesetzt, dass dieses Kästchen „abgewählt“ werden kann. Dies geschieht, indem der Nutzer das Kreuz im Kästchen durch einen Klick entfernt.
  • Manche Cookies speichern personenbezogene Daten, andere tun dies nicht. Macht dies einen Unterschied?

Genau diese beiden Fragen hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof gestellt.

Eine ergänzende dritte Zweifelsfrage

Ergänzt hat er sie noch um die weitere Frage, welche Informationen der Nutzer erhalten muss, auf dessen Rechner ein Cookie abgelegt wird.

Insbesondere fragt der BGH danach, ob der Nutzer auch über die Funktionsdauer des Cookies informiert werden muss und darüber, ob Dritte Zugriff auf das Cookie erhalten.

Dritte wären dabei alle, die das Cookie zwar nicht selbst abgelegt haben, aber Daten erhalten, die es gespeichert hat.

Wann eine Einwilligung nötig ist, damit ein Cookie auf einem Rechner abgelegt werden darf, war also gar nicht Gegenstand des Verfahrens vor dem EuGH.

Doch die drei Fragen, die der BGH gestellt hat, sind auch so brisant genug.

Was verstehen EuGH und BGH unter „Cookie“?

Der Begriff „Cookie“ hat keinen gesetzlich definierten Inhalt. Deshalb ist es durchaus interessant, was der EuGH darunter versteht.

Er stützt sich dabei auf das, was der BGH festgehalten hat, und definiert den Begriff „Cookie“ wie folgt (siehe Rn. 31 der Entscheidung):

Cookies sind „Textdateien, die der Anbieter einer Webseite auf dem Computer des Nutzers der Webseite speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.“

Vermeidung beliebter Irrtümer

Diese Definition ist vor allem deshalb wichtig, weil BGH und EuGH damit zwei Aussagen vermeiden, die vor allem in deutschen Beiträgen zu dem Thema häufig sind:

  • Sie vermeiden die Behauptung, dass es sich bei Cookies um „kleine“ Dateien handeln würde. Dieses Adjektiv wird häufig hinzugefügt, um die Bedeutung von Cookies zu verharmlosen. Zum einen ist der Begriff „klein“ aber völlig schillernd. Zum anderen geben die üblichen Browser zwar Größenbeschränkungen für Cookies vor. Sie schränken die praktische Nutzbarkeit von Cookies jedoch letztlich nicht ein.
  • Sie vermeiden die Behauptung, dass Cookies (lediglich) die Benutzung einer Seite erleichtern sollen, also (nur) einen Service für den Nutzer darstellen würden. Dies kann der Fall sein, muss es aber nicht. Es sind ohne weiteres auch Cookies denkbar, die ausschließlich den Zweck haben, das Nutzerverhalten zu analysieren, ohne dass dies dem Nutzer etwas bringt.

Drei maßgebliche europäische Rechtsquellen

Für die Entscheidung der Fragen, die der BGH dem EuGH vorgelegt hat, spielen gleich drei europäische Rechtsquellen eine Rolle. Dies sind

  • die Datenschutzrichtlinie für elektronische Kommunikation vom 12.7.2002 (Richtlinie 2002/58/EG, später geändert durch die Richtlinie 2009/136/EG)
  • die EG-Datenschutzrichtlinie 95/46/EG vom 24.10.1995
  • die DSGVO (Verordnung (EU) 2016/679).

Das liegt daran, dass die letzte mündliche Verhandlung vor dem BGH im vorliegenden Fall am 14.7.2017 stattfand und dass die Vorlagefragen des BGH beim EuGH am 30. November 2017 eingingen.

Danach hat die DSGVO mit Wirkung vom 25. Mai 2018 die EG-Datenschutzrichtlinie von 1995 aufgehoben (siehe Art. 94 Abs. 1 DSGVO).

Die Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009 blieb dagegen neben der DSGVO bestehen (siehe Art. 95 DSGVO).

Vergleich von bisheriger und jetziger Rechtslage

Für den EuGH ist damit klar, dass jedenfalls die Datenschutzrichtlinie für elektronische Kommunikation im vorliegenden Fall noch eine Rolle spielt. Ob daneben noch die EG-Datenschutzrichtlinie von 1995 oder die DSGVO anzuwenden ist, hält er dagegen für offen.

Er kümmert sich darum auch nicht weiter, sondern beantwortet die Fragen des BGH stattdessen sowohl auf der Grundlage der EG-Datenschutzrichtlinie als auch auf der Grundlage der DSGVO.

Gerade dies macht seine Antworten besonders interessant. Denn daraus ergibt sich automatisch ein Vergleich zwischen der bisherigen und der jetzigen Rechtslage.

Würde er die Fragen dagegen nur auf der Basis der EG-Datenschutzrichtlinie von 1995 beantworten, bliebe immer noch die Unsicherheit, ob die DSGVO zu einem anderen Ergebnis führen würde.

Sachverhalt der EuGH-Entscheidung

Der Entscheidung liegt folgender Sachverhalt zugrunde:

Ausgangspunkt war ein „Gewinnspiel zu Werbezwecken“. Es ging also um eines der häufigen Gewinnspiele, bei denen es aus der Sicht des Nutzers darum geht, etwas zu gewinnen.

Aus der Sicht des Veranstalters solcher Gewinnspiele geht es dagegen in erster Linie darum, Daten der Nutzer für Werbezwecke einzusammeln und sie an interessierte Kooperationspartner weiterzugeben.

Der EuGH beschreibt den Ablauf des Gewinnspiels wie folgt (siehe zu weiteren Details Rn. 26-30 der Entscheidung):

(1) Eingabe von Grunddaten

  • Wer an dem Spiel teilnehmen wollte, musste zunächst seine Postleitzahl eingeben.
  • Daraufhin wurde ihm eine Internetseite angezeigt, auf der er seinen Namen und seine Adresse eingeben musste.

(2) Zwei Hinweistexte unter dem Adressfeld

  • Unter den Eingabefeldern für die Adresse befanden sich zwei Hinweistexte, die jeweils mit einem Ankreuzkästchen versehen waren.

(3) Erster Hinweistext

  • Der erste Hinweistext lautete wie folgt: „Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“
  • Wenn der Nutzer das Wort „hier“ anklickte, bekam er umfangreiche Informationen zu den Werbepartnern, die seine Daten erhalten sollten.
  • Das Ankreuzkästchen bei diesem Text („erstes Kästchen“) war nicht mit einem voreingestellten Häkchen versehen. Es blieb dem Nutzer überlassen, ob er in diesem Kästchen ein Häkchen anbringt oder nicht.

(4) Zweiter Hinweistext

  • Beim zweiten Hinweistext war dies anders. Dort war das Ankreuzkästchen („zweites Kästchen“) mit einem voreingestellten Häkchen versehen. Es war Sache des Nutzers, ob er dieses Häkchen entfernt oder belässt.
  • Der zweite Hinweistext hatte folgenden Wortlaut: „Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
  • Klickte der Nutzer im zweiten Hinweistext auf das Wort „hier“, erhielt er einen längeren Informationstext über die Verwendung von Cookies.

(5) Voraussetzung für die Teilnahme am Spiel

  • Eine Teilnahme am Gewinnspiel war nur möglich, wenn mindestens das Häkchen beim ersten Hinweistext gesetzt wurde. Ob das Häkchen beim zweiten Hinweistext entfernt wurde oder stehen blieb, hatte dagegen keinen Einfluss auf die Teilnahmemöglichkeit.

Frage 1: wirksame Einwilligung in Cookies bei „voreingestelltem Häkchen“?

Zunächst befasst sich der EuGH mit der Frage, ob beim zweiten Kästchen (das Kästchen mit dem „voreingestellten Häkchen“) von einer wirksamen Einwilligung des Nutzers auszugehen ist.

Diese Frage verneint das Gericht. Ein solches Kästchen führt also nicht zu einer wirksamen Einwilligung.

Das Gericht begründet dies wie folgt:

(1) Aspekte der Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009

  • Art. 5 Abs. 3 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) sieht vor, dass der Nutzer „seine Einwilligung gegeben“ haben muss, wenn Cookies gespeichert und abgerufen werden sollen.
  • Die Regelung sagt nichts dazu, wie die Einwilligung zu geben ist. Die Worte „seine Einwilligung gegeben“ legen jedoch nahe, dass der Nutzer tätig werden muss, um seine Einwilligung zum Ausdruck zu bringen.
  • Dies bestätigt der 17. Erwägungsgrund zu dieser Richtlinie. Er hebt nämlich hervor, dass insoweit auch „das Markieren eines Feldes auf eine Internet-Webseite“ als Einwilligung in Betracht kommt.

(2) Aspekte der EG-Datenschutzrichtlinie von 1995

  • Art. 2 Buchstabe f der Richtlinie 2002/58/EG nimmt für den Begriff der Einwilligung Bezug auf die „Einwilligung der betroffenen Person“ im Sinn der EG-Datenschutzrichtlinie von 1995.
  • Nach Art. 2 Buchstabe h der EG-Datenschutzrichtlinie von 1995 bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ „jede Willensbekundung, die … erfolgt“.
  • Das Erfordernis einer „Willensbekundung“ der betroffenen Person deutet klar auf ein aktives und nicht auf ein passives Verhalten dieser Person hin.
  • Daraus zieht der EuGH den Schluss: „Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Webseite.“
  • Ergänzend verweist er auf Art. 7 Buchstabe a der EG-Datenschutzrichtlinie von 1995. Demnach ist eine Verarbeitung von Daten nur rechtmäßig, wenn die betroffene Person ihre Einwilligung „ohne jeden Zweifel“ gegeben hat. Diesem Erfordernis könne nur ein aktives Verhalten genügen, mit dem die betroffene Person ihre Einwilligung bekundet.
  • Daraus folgt aus Sicht des Gerichts: „Insoweit erscheint es praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Webseite dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung …“ gegeben hat.
  • Die Berücksichtigung der EG-Datenschutzrichtlinie von 1995 bestätigt somit das Ergebnis, dass es keine wirksame Einwilligung des Nutzers darstellt, wenn er ein schon vorhandenes Häkchen nicht entfernt.

(3) Aspekte der DSGVO

  • Hier beginnt der EuGH seine Überlegungen mit der klaren Aussage: „Die vorstehende Auslegung ist erst recht im Licht der Verordnung 2016/6 79 [=DSGVO] geboten.“
  • Die DSGVO definiert in Art. 4 Nr. 11 DSGVO, was unter dem Ausdruck „Einwilligung der betroffenen Person“ zu verstehen ist. Sie verlangt eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder „einer sonstigen eindeutigen bestätigenden Handlung.“
  • Schon daraus zieht der EuGH den Schluss, dass die DSGVO ausdrücklich eine aktive Einwilligung vorsieht
  • In diesem Zusammenhang weist er auf den 32. Erwägungsgrund zur DSGVO hin. Dort ist ausgeführt, dass die Einwilligung unter anderem durch Anklicken eines Kästchens beim Besuch einer Internetseite zum Ausdruck kommen könnte. Dagegen schließt dieser Erwägungsgrund ausdrücklich aus, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ einer Einwilligung darstellen können.

Ergebnis: keine wirksame Einwilligung

Insgesamt kommt der EuGH zu dem Ergebnis, dass keine wirksame Einwilligung vorliegt, wenn der Nutzer erst ein Häkchen aus einem voreingestellten Ankreuzkästchen entfernen muss, um seine Einwilligung zu verweigern.

Frage 2: Relevanz des Personenbezugs oder nicht?

Nun wendet sich der EuGH der Frage zu, ob es zu unterschiedlichen Ergebnissen führt, wenn ein Cookie personenbezogene Daten sammelt oder wenn es dies nicht tut und sich auf nicht personenbezogene Daten beschränkt.

Im konkreten Fall steht fest, dass die Cookies personenbezogene Daten sammeln. Dennoch beschränkt sich der EuGH nicht auf dieser Fallvariante, sondern gibt eine generelle Antwort.

Sie lautet wie folgt:

  • Eine Einwilligung des Nutzers ist auch dann nötig, wenn die Cookies bei ihm keine personenbezogenen Daten sammeln, sondern nur solche Daten, die nicht personenbezogen sind.
  • Dies ergibt sich aus dem Wortlaut von Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009. Er spricht allgemein davon, dass eine Einwilligung nötig ist für die „Speicherung von Informationen“ und für den „Zugriff auf Informationen, die bereits … gespeichert sind.“
  • Dabei macht die Regelung keinen Unterschied, ob es sich bei diesen Informationen um personenbezogene Daten handelt oder nicht.
  • Daraus ist der Schluss zu ziehen, dass es auf diese Unterscheidung nicht ankommt.
  • Begründen lässt sich dies damit, dass die Bestimmung der Nutzer vor jedem Eingriff in seine Privatsphäre schützen soll. Teil der Privatsphäre des Nutzers sind jedoch auch solche Informationen, die nicht personenbezogen sind.

Ergebnis: Irrelevanz des Personenbezugs

Im Ergebnis lehnt es der EuGH also ab, den Schutz durch die Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009 auf personenbezogene Daten zu begrenzen.

Er ist der Auffassung, dass Nutzer elektronischer Kommunikationsnetze vielmehr umfassender geschützt werden müssen und dass alle Daten schützenswert sind, die auf ihren Endgeräten gespeichert sind.

Damit will das Gericht wohl Manipulationsmöglichkeiten ausschließen. Sie bestünden darin, dass Daten, die für sich genommen nicht personenbezogen sind, durch spätere Verarbeitungsschritte so verknüpft werden, dass letztlich doch ein Personenbezug entsteht.

Frage 3: Informationspflichten beim Einsatz von Cookies

Zur abschließenden dritten Frage („Welche Informationen muss ein Nutzer erhalten, wenn auf seinem Rechner ein Cookie abgelegt wird?“) äußert sich der EuGH relativ kurz und knapp:

  • Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009 verlangt, dass der Nutzer im Hinblick auf Cookies klare und umfassende Informationen erhalten muss.
  • Dazu zählt zunächst die Information über die Funktionsdauer der Cookies. Es würde gegen Treu und Glauben verstoßen, wenn der Nutzer darüber im Unklaren bliebe.
  • Ferner zählt dazu die Angabe, ob Dritte Zugriff auf die Cookies erhalten können.

Große Auswirkungen auf Werbemaßnahmen

Die Auswirkungen der Entscheidung auf Werbemaßnahmen im Internet ist kaum zu überschätzen.

Die Zeiten, in denen einem Nutzer eine Einwilligung durch voreingestellte Kreuzchen oder Häkchen letztlich „untergejubelt“ werden konnte, sind vorbei.

Wer auf eine Einwilligung angewiesen ist, muss sie sich vom Nutzer durch ein aktives Handeln erteilen lassen. Das kann beispielsweise dadurch geschehen, dass der Nutzer ein entsprechendes Kreuzchen oder Häkchen aktiv anbringt.

Dies hört sich harmlos an, versetzt aber Teile der Wirtschaft in helle Aufregung. Der Grund ist einfach: Ist ein voreingestelltes Kreuzchen oder Häkchen vorhanden, entfernen es allenfalls 10 % oder 20 % der Nutzer. Ist es dagegen notwendig, ein Kreuzchen oder Häkchen aktiv anzubringen, tun dies allenfalls 10 % oder 20 % der Nutzer – ein gewaltiger Unterschied!

Keine Relevanz für „Warenkorb-Cookies“ & Co.

Nicht berührt von der EuGH-Entscheidung sind Cookies, für die es eine andere Rechtsgrundlage als die Einwilligung gibt.

So lässt sich beispielsweise ein Warenkorb in einem Onlineshop normalerweise nicht sinnvoll nutzen, ohne dass für die Dauer des Bestellvorgangs ein Cookie abgelegt wird.

Dafür braucht es jedoch keine Einwilligung des Nutzers. Denn anders kann ihm diese Funktion nicht angeboten werden.

Und dann gehört ihr Einsatz zu den vorvertraglichen Maßnahmen, die eine gesetzliche Rechtsgrundlage in Art. 6 Unterabsatz 1 Abs. 1 Buchstabe b DSGVO haben.

Wer also Cookies außerhalb von Werbemaßnahmen einsetzt, sollte die Entscheidung besonders genau prüfen.

Mit hoher Wahrscheinlichkeit hat sie für „seine Cookies“ überhaupt keine Bedeutung.

Der Volltext des Urteils des EuGH vom 1. Oktober 2019-C-673/17 ist auf der amtlichen Seite des EuGH abrufbar unter http://curia.europa.eu/juris/document/document.jsf;jsessionid=6EBA9974A7706C6402370889290523F4?text=&docid=218462&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=934300.

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)