EuGH: Einwilligung in Cookies ist zwingend und darf nicht voreingestellt sein!

Im Grunde war es bereits allgemein bekannt oder auch befürchtet, nun ist es amtlich: Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Einwilligung in Cookies ausdrücklich erfolgen muss (Opt-in) und nicht voreingestellt sein darf. Cookie-Banner, die lediglich darüber aufklären, dass Cookies gesetzt werden und nur ein „OK“ anbieten, sind damit nicht rechtens. Ebenso verhält es sich mit Lösungen, bei denen die entsprechenden Haken bereits gesetzt sind, aber vom Benutzer entfernt werden könnten (Opt-out). Die langjährige deutsche Praxis war und ist damit rechtswidrig (Urteil des EuGH vom 1. Oktober 2019, Az.: C‑673/17).

Konkret sagt der Tenor, dass „keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“

Datenschutzrechtliche Einschätzung des Urteils

Nach dem heutigen Urteil des EuGH besteht damit bei sehr vielen Anbietern von Websites akuter Handlungsbedarf! Einige Punkte müssen hervorgehoben werden:

Das Urteil gilt tatsächlich für ALLE Cookies. Es kommt nicht darauf an, ob diese personenbezogen sind oder nicht. Der Grundgedanke ist, dass ohne Einwilligung des Benutzers auf seinem Gerät gar nichts gespeichert werden darf. Dies ergibt sich nicht aus dem Originaltext der Richtlinie 2002/58/EG, aber durch dessen Änderung im Jahre 2009. Die entscheidende Vorschrift Art. 5 Abs. 3 Richtlinie 2002/58/EG hat seither diese Fassung:

„Die  Mitgliedstaaten  stellen  sicher,  dass  die  Speicherung von Informationen oder der Zugriff auf Informationen, die  bereits  im  Endgerät  eines  Teilnehmers  oder  Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teil­nehmer  oder  Nutzer  auf  der  Grundlage von klaren und umfassenden  Informationen,  die  er  gemäß  der  Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“

Der EuGH stellt jetzt ausdrücklich klar, dass es nicht darauf ankommt, um was für Cookies es geht. Dieses Urteil hat damit auch außerhalb des Datenschutzrechts erhebliche Bedeutung!

Weiterhin zulässig dürften technisch zwingend notwendige Cookies sein. Art. 5 Abs. 3 Satz 2 Richtlinie 2002/58/EG blieb unverändert. Danach können Speicherungen erfolgen, soweit der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft diesen Dienst zur Verfügung stellen kann, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde.

Das Gericht geht ausdrücklich nicht auf eine Koppelung bzw. das Koppelungsverbot ein. Die Frage, ob die Einwilligung in bestimmten Fällen nicht als Gegenleistung vorgesehen werden kann, ist damit nicht abschließend geklärt. Modelle, in denen eine kostenfreie Leistung mit personenbezogenen Daten entlohnt wird, sind damit zumindest nicht vom Tisch. Das Prinzip „bezahle statt mit Geld mit deinen Daten“ ist ja in etlichen Fällen auch von Aufsichtsbehörden bereits für möglich gehalten worden, z.B. vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA). Die Details sind aber stets im Einzelfall zu klären.

Tipp: Wie Sie Information über und Einwilligung zum Setzen von Cookies datenschutzkonform lösen erfahren Sie in unserem Ratgeberartikel zu Cookie-Consent-Bannern.

Fazit: Das Urteil gleicht einer Vorwegnahme der ePrivacy-Verordnung

Sobald der BGH seine Entscheidung in der Sache gefällt hat, in der er den EuGH angerufen hatte, wird sich der Markt voraussichtlich auf eine der ePrivacy-Verordnung vorweggenommene Tatsachenlage einstellen müssen. Das Setzen von Cookies jeglicher Art ist nur noch mit wirksamer vorheriger Einwilligung möglich. Dies gilt dann nicht nur für zu Werbezwecken eingesetzte Cookies, sondern auch für Komfortfunktionen, wie die Speicherung von Präferenzen (Sprache o.ä.) und selbst dann, wenn es sich um nicht personenbezogene Cookies handelt.

Grundlage dieser Einwilligung muss eine ausreichende Information sein. Im Klartext: Ähnlich, wie bereits im Bereich personenbezogener Cookies informiert werden musste, wird man dies künftig bei allen Cookies erledigen müssen.

Welche Cookies als „technisch unabdingbar“ akzeptiert werden, muss sich noch herausstellen.

Ergänzend denken Sie bitte daran, dass datenschutzrechtliche Anforderungen gegebenenfalls noch gesondert zu erfüllen sind, etwa wenn mit Unterstützung des Cookies personalisierte Profile erstellt werden sollen. Es dürfte aber nichts dagegensprechen, die Einwilligung in das Setzen des Cookies mit der datenschutzrechtlichen Einwilligung in ein personalisiertes Tracking zu verbinden.

Wie immer gilt: Fragen Sie Ihren – hoffentlich ausreichend qualifizierten – Datenschutzbeauftragten!

Tipp: Wir kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

11 Kommentare

  1. Kiki Profile Picture
    Kiki

    Wie muss dann eine entsprechender Hinweis formuliert sein auf der Webseite?
    Und: kann/ muss eine Webseite so formatiert sein, dass im Falle einer Nichtzustimmung, dann auch kein Inhalt ersichtlich wird – sprich geblockt wird?
    Bisher kann man die Cookie Buttons auf manchen Seiten einfach wegdrücken.
    Wie verhält es sich in so einem Fall?
    Vielen Dank für Ihre Informationen!

    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Besten Dank für Ihren Kommentar.
      Ob man den Zugang zur Webseite zwingend von einer Einwilligung abhängig machen darf, wird sich zeigen. Denkbar ist das nur in Fällen, in denen der „Content“ allein mit der Gegenleistung „Daten“ vergütet wird.

  2. R. S. Profile Picture
    R. S.

    Muss das Urteil sofort von den Unternehmen umgesetzt werden oder gibt es eine Frist?

    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Vielen Dank für die Frage.
      Das Urteil ist in erster Linie die Antwort auf die Frage des Bundesgerichtshof, wie in einem laufenden Verfahren, eine EU-Bestimmung zu verstehen ist, auf dies es im Verfahren vor dem Bundesgerichtshof entscheidend ankommt. Diese Frage ist dem BGH nun beantwortet worden und das Urteil wird voraussichtlich entsprechend ergehen. Auch dieses Urteil des BGH wirkt erst einmal nur für die Parteien des Verfahrens. Nur ist ab dem Moment, in dem eine letztinstanzliche Entscheidung vorliegt für weitere Klagewillige recht gut einzuschätzen, welche Erfolgsaussichten eine eigene Klage hätte. Diese könnte jederzeit erhoben werden.

  3. N. P. Profile Picture
    N. P.

    Guten Morgen,

    könnte man den Einsatz notwendiger Cookies („technisch unabdingbar“) nicht auch auf ein berechtigtes Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f DSGVO stützen?

    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Besten Dank für den Kommentar.
      Art. 6 DSGVO ist neben der RL nicht anwendbar. Ein Rückgriff ist auch nicht nötig, da nach RL „zwingende“ Cookies ja zulässig sind.

  4. Robert Lohrmann Profile Picture
    Robert Lohrmann

    Ist die Richtlinie 95/46/EG nicht durch die DSGVO aufgehoben worden?
    Sie schreiben: „Weiterhin zulässig dürften technisch zwingend notwendige Cookies sein. Art. 5 Abs. 3 Satz 2 Richtlinie 95/46/EG blieb unverändert. Danach können Speicherungen erfolgen, soweit der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft diesen Dienst zur Verfügung stellen kann, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde.“

    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Ja, die Richtlinie 95/46/EG ist tatsächlich durch die DSGVO aufgehoben. Es muss aber dennoch auf sie zurückgegriffen werden, da die Definition der Einwilligung in der Richtlinie 2002/58/EG darauf verweist.

      1. Robert Lohrmann Profile Picture
        Robert Lohrmann

        Vielen Dank für die Klarstellung, Herr Plankemann.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.