Recht

Aktuelle EuGH-Entscheidung zu Cookies und Einwilligung

06/11/2019

© dyageleva, Adobe Stock

Ein aktuelles EUGH-Urteil schafft nun Klarheit, wie Cookie-Banner telekom- und datenschutzrechtlich gestaltet werden müssen.

Anlass war ein Unternehmen, das für das Setzen von Cookies eine Checkbox anbot, die bereits vorangehakt war. Der EuGH stellte in seinem Urteil klar, dass damit keine wirksame Einwilligung erteilt wird.

Cookie-Banner, die keine Zustimmung vorsehen, sind grundsätzlich ungesetzlich. Wir empfehlen daher, folgendes zu überprüfen:

  • Es sollte überprüft werden, ob die Cookies technisch zwingend notwendig sind. Diese Cookies sind für das Funktionieren der Homepage erforderlich und bedürfen keiner gesonderten Zustimmung.
  • Danach ist zu klären, ob es sich dabei um sog. "Marketing-Cookies" handelt. Dafür ist nach dem EUGH-Urteil zwingend eine Zustimmung notwendig.

Daraus ergeben sich folgende Konsequenzen:

  • Wird ein Cookie bereits vor der Zustimmung gesetzt, ist auf jeden Fall Änderungsbedarf gegeben.
  • Hat der User keine Möglichkeit, das Setzen von (Marketing-) Cookies abzulehnen, besteht ebenfalls Handlungsbedarf.
  • Dem Nutzer müssen vorab relevante datenschutzrechtliche Informationen, wie z. B. Weitergabe der Daten an Dritte, Speicherdauer, etc. bekannt geben werden.

Folgerung:

Die Entscheidung verdeutlicht, dass es bei Cookie-Banner eine Option für die User geben muss. Eine aktive Einwilligung muss vorhanden sein. Das Setzen von Cookies muss ausdrücklich abgelehnt werden können. Eine pauschale Zustimmung ist unzulässig - die Einwilligung ist für jeden konkreten Fall gesondert einzuholen.

Die WKÖ wird die entsprechenden FAQs aktualisieren und an das EUGH-Urteil anpassen.

Ausgangsfall:

Planet49 veranstaltete auf der Website dein-macbook.de ein Gewinnspiel zu Werbezwecken. Hierzu musste der Teilnehmer/User zwei Einwilligungen abgeben

  • zum Newsletterversand - Checkbox musste aktiv angekreuzt werden - und
  • zur Setzung von Cookies (Webanalysedienst Remintrex, Auswertung meines Surf- und Nutzungsverhaltens, Third Party Cookies bzw. Retargeting) – Checkbox war vorabgehakt.

Zumindest das Häkchen zum Newsletterversand musste gesetzt werden, das (voreingestellte) Häkchen zur Cookie-Setzung war nicht Voraussetzung für die Teilnahme zum Gewinnspiel.

Der Cookie-Hinweis wurde durch eine Verlinkung ("hier") erfüllt sowie durch eine Verlinkung auf die Datenschutzerklärung der Website verwiesen. In dieser waren weitere Erklärungen sowie die Möglichkeit erklärt, wie Cookies über den Browser wieder gelöscht werden können. Unternehmensübergreifende Profile wurden nicht gebildet.

Der deutsche Bundesgerichtshof (BGH) legte folgende Fragen dem EuGH vor: 

  1. Handelt es sich um eine wirksame Einwilligung (iSd Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 = Datenschutz-RL), wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  3. Liegt unter diesen Umständen eine wirksame Einwilligung im Sinne der DSGVO vor (Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679)?
  4. Welche vorzunehmenden klaren und umfassenden Informationen hat der Diensteanbieter im Rahmen der ePrivacy RL (nach Art. 5 Abs. 3 der Richtlinie 2002/58) dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Rechtliche Beurteilung:

1. Zur wirksamen Einwilligung nach der Datenschutz-RL:

  • Der Nutzer hat nach der ePrivacy-RL zur Speicherung und zum Abruf von Cookies auf seinem Endgerät "seine Einwilligung zu geben".
  • Der Nutzer muss tätig werden, um seine Einwilligung zum Ausdruck zu bringen, dafür ist jede geeignete Weise zulässig, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt.
  • Nach der Datenschutz-RL ist eine Einwilligung jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Das weist klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.
  • Auch das Erfordernis "ohne jeden Zweifel" kann nur ein aktives Verhalten meinen, mit dem die betroffene Person ihre Einwilligung bekundet.
  • Der EuGH verweist darauf, dass es praktisch unmöglich sei, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat, unklar bliebe nämlich jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde (Nutzer hat die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen oder Kästchen gar nicht wahrgenommen).
  • Weiters muss eine Willensbekundung auch "für den konkreten Fall" erfolgen, d.h. es muss sich auf die betreffende Datenverarbeitung beziehen und kann nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden.
  • Eine wirksame Einwilligung lag daher laut EuGH nicht vor.

2. Zum Personenbezug:

Da jene Cookies, die im Endgerät eines Nutzers, der an einem von Planet49 veranstalteten Gewinnspiel teilnimmt, gespeichert werden können, eine Nummer enthalten, die den Registrierungsdaten dieses Nutzers zugeordnet wird, der im Teilnahmeformular für das Gewinnspiel seinen Namen und seine Adresse angeben muss, handelt es sich um personenbezogene Daten. Nichtsdestotrotz verweist der EuGH darauf, dass diese Frage unerheblich ist, da die ePrivacy RL auf "Informationen" abstellt, welche am Endgerät gespeichert werden und aufgrund dessen bereits ein Eingriff in die Privatsphäre vorliegt ("Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht").

3. Zur wirksamen Einwilligung nach der DSGVO:

Hier verweist der EuGH auf das zur Datenschutz-RL Ausgeführte, insb. aufgrund der im Erwägungsgrund enthaltenen Klarstellung, wonach „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ keine Einwilligung darstellen.

4. Zur Information über die Speicherdauer und Zugriffsmöglichkeit Dritter:

Informationen müssen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. Insb. bei Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels, zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den klaren und umfassenden Informationen, die der Nutzer sowohl nach der Datenschutz-RL als auch nach der DSGVO erhalten muss

Vorherige | Nächste Seite › ›