Seit Jahren ist umstritten, inwieweit das Setzen oder Auslesen von Cookies auf dem Endgerät des Nutzers einer Einwilligung bedarf oder ob eine Information, darüber, dass Cookies gesetzt werden genügt. Der EuGH hat nun eine vielbeachtete Entscheidung getroffen – die erstaunlich wenig unmittelbare Wirkung hat.
Cookies: Ja, Nein, Vielleicht?
Geregelt ist dies in Art. 5 der so genannten ePrivacy-Richtlinie, die festhält, dass es einer Einwilligung für Cookies bedarf, die nicht unbedingt erforderlich sind, damit der Dienst zur Verfügung gestellt werden kann.
Dieser Teil der ePrivacy-Richtlinie, die im Jahre 2009 neu gefasst wurde, ist in Deutschland nie wirklich umgesetzt worden. Unmittelbar gilt die Richtlinie – anders etwa als die DSGVO – in Deutschland nicht. Deshalb haben viele Unternehmen bisher auf Cookie-Banner und ausdrückliche Einwilligungserklärungen verzichtet. In anderen Ländern gibt es dagegen schon lange (unterschiedlich intensive) Cookie-Banner, die von den Nutzern weggeklickt werden, wenn es geht und akzeptiert werden, wenn es nicht anders geht.
Klage vor dem EuGH
Dem Streit, der in der vergangenen Woche seinen vorläufigen Höhepunkt vor dem Europäischen Gerichtshof fand, lag eine Klage des Verbraucherzentrale Bundesverband (vzbv) gegen Planet 49, einem Betreiber von Online-Gewinnspielen, zu Grunde. In dem konkreten Fall sollten die Nutzer für die Teilnahme an einem Gewinnspiel weitgehenden Nutzungsbedingungen zustimmen. Außerdem sollten die Nutzer in das Setzen und Auswerten von Cookies einwilligen, wobei der Text mit einem voreingestellten Häkchen bereits angekreuzt war.
Der BGH sah sich außer Stande den Fall selbst zu entscheiden, weil er meinte, dass seine Entscheidung von der Auslegung der ePrivacy-Richtlinie abhänge. Auch der BGH hat die ePrivacy-Richtlinie aber nicht unmittelbar selbst angewendet, sondern kam dazu nur im Rahmen einer AGB-rechtlichen Prüfung der Einwilligungsklausel.
Was hat der EuGH entschieden?
Der EuGH hat ausdrücklich Folgendes entschieden (Urteil vom 1.10.2019, Az. C‑673/17)
- Maßgeblich ist die ePrivacy-Richtlinie, wobei sich die Frage der Wirksamkeit der Einwilligungserklärung anhand der inzwischen außer Kraft getretenen Datenschutzrichtlinie und der DSGVO bemisst.
- Nach der ePrivacy-Richtlinie i.V.m. der DSRL bzw. der DSGVO liegt keine wirksame Einwilligung vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
- Dies gilt unabhängig davon, ob es sich bei den im Endgerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
- Zu den zwingenden Informationen, die dem Nutzer zu erteilen sind, gehören Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können.
Was hat der EuGH NICHT entschieden?
Nicht entschieden hat der EuGH
- was das Ganze für Deutschland heißt, wo Art. 5 der ePrivacy-Richtlinie nicht gescheit umgesetzt wurde;
- ob eine Einwilligung in Cookies (auch) nach der DSGVO erforderlich ist (und damit den dortigen Bußgeldrahmen eröffnet); und
- ob eine Kopplung der Einwilligung an die Nutzung der Website zulässig ist, ob ich also Nutzer, die die Einwilligung nicht erteilen wollen, den Zutritt auf die Website verweigern darf.
Wie geht der Rechtsstreit jetzt konkret weiter?
Der Streit ist damit noch nicht entschieden. Vielmehr, muss nun der deutsche BGH in der Sache entscheiden. Dabei sind keine riesigen Überraschungen zu erwarten. Es ist nicht ausgeschlossen, dass ein Urteil des BGH noch in diesem Jahr fällt, spätestens im ersten Quartal 2020 sollte der BGH aber entschieden haben.
Außerdem wird damit gerechnet, dass das Wirtschaftsministerium nun kurzfristig einen Entwurf für eine Anpassung des deutschen Telemediengesetzes an die ePrivacy-Richtlinie vorlegen wird und ein der Richtlinie (und dem EuGH-Urteil) entsprechendes Gesetz auf den Weg bringt, wonach es eines Cookie-Opt-ins bedarf. Die Einzelheiten sind offen, einen gewissen Spielraum hat der deutsche Gesetzgeber bei der Umsetzung schon.
Was heißt das jetzt alles für Website-Betreiber?
Aus Sicht von Shopbetreibern, Plattformen, Bloggern oder Websitebetreibern stellt sich nun (erneut) die Frage, wie mit Cookies auf der Website umgegangen werden sollte. Hier gibt es keine allgemeine Antwort. Das muss letztlich jedes Unternehmen – wie schon bisher – selbst entscheiden.
Dabei sollte man sich von folgenden Erwägungen leiten lassen:
- Auf nicht allzu lange Sicht wird es auch in Deutschland erforderlich sein, ein Opt-In-Verfahren für Cookies einzusetzen. Dies gilt jedenfalls mit Blick auf klar nicht-funktionelle Cookies, etwas Tracking- oder Targeting-Cookies.
- Die deutschen Datenschutzbehörden stellen sich schon lange auf den Standpunkt, dass der Einsatz von Cookies vielfach der Einwilligung des Nutzers bedarf (siehe zum Beispiel die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien). Die Datenschutzbehörde Baden-Württemberg hat das gerade noch einmal zusammengefasst.
- Der EuGH-Entscheidung lässt sich entnehmen, dass der EuGH für die Wirksamkeit einer datenschutzrechtlichen Einwilligung eine echte Handlung des Nutzers für erforderlich hält.
- Konkret ändert sich durch das EuGH-Urteil allerdings jetzt erst einmal nichts. Insbesondere können Klauseln (etwa in Cookie-Bannern), die erst gar keine Einwilligung einholen, sondern lediglich über den Einsatz von Cookies informieren, nicht ohne Weiteres gegen § 307 BGB verstoßen. Unmittelbar betroffen von der EuGH-Entscheidung sind nur Cookie-Banner, die eine Einwilligung des Nutzers einholen wollen.
- Zudem sieht der EuGH ausdrücklich nur einen Verstoß gegen die ePrivacy-Richtlinie und befasst sich mit der DSGVO nur bei der Auslegung der Einwilligung. Liegt aber kein Verstoß gegen die DSGVO vor, ist auch deren Bußgeldrahmen nicht eröffnet. Das TMG sieht keine auch nur annähernd vergleichbaren Bußgelder vor (zumal auch ein TMG-Verstoß eher fern liegt).
Für Unternehmen ergeben sich daraus verschiedene Handlungsoptionen. Panik und Schnellschüsse sind jedenfalls nicht angebracht.
- Sinnvoll ist sicherlich eine Bestandsaufnahme der auf der Website gesetzten Cookies und deren konkreten Zweck. Bei der Gelegenheit sollte auch eine kritische Prüfung der eingesetzten Tracking- und Targeting-Tools anhand der DSGVO erfolgen.
- Wer auf eine Einwilligung setzt, sollte prüfen, ob diese den Anforderungen des EuGH-Urteils entspricht (echtes Opt-in).
- Wer ein Cookie-Management-Tool verwendet, sollte prüfen, ob die dortigen Einstellungen der EuGH-Rechtsprechung entsprechen.
- Wichtig ist eine transparente Information über die gesetzten Cookies, deren Zwecke, Lebensdauer und Zugriffsmöglichkeiten.
- Es erscheint aber auch vertretbar, mit konkreten Änderungen (etwa hinsichtlich Cookie-Bannern oder Cookie-Management-Tools) zunächst das Urteil des BGH in der Sache und auch die TMG-Novelle abzuwarten.
Fazit
Man musste mit einem solchen Urteil des EuGH rechnen. Unmittelbarer Handlungsbedarf ergibt sich daraus aber nicht. Noch wichtiger als schon zuvor ist, in einem etwaigen Cookie-Layer klar zu machen, ob es sich lediglich um eine Information des Nutzers über den Einsatz von Cookies und eine Opt-out-Möglichkeit handelt oder ob eine Einwilligung eingeholt werden soll. Unsinn ist, dass nun jedes Cookie einer Einwilligung bedarf. Session-Cookies, die gesetzt werden, um eine Warenkorbfunktion sinnvoll anbieten zu können, bleiben zum Beispiel auch weiterhin ohne Einwilligung zulässig. Mittelfristig wird aber auch in Deutschland kein Weg an einem Cookie-Opt-in vorbei führen. Darauf sollte man sich vorbereiten und prüfen, welche Optionen insofern bestehen.