Grundlose Panik zu Cookies durch das EuGH Urteil zu Planet49
Seit der Urteilsverkündung des EuGH am 01.10.2019 hat man das Gefühl, die Medien überschlagen sich mit aufmerksamkeitserhaschenden Eilmeldungen und Headlines. Leider — und das im Kontext der DSGVO nicht zum ersten Mal — mit Falschdarstellungen und Aussagen, die der EuGH so gar nicht getätigt hat. Da das Thema Cookies auch immer wieder Gegenstand von Anfragen Ihrerseits an uns ist, ein paar Informationen zu den eigentlichen Inhalten des Urteils.
Ausgangslage — Bundesverband der Verbraucherzentralen klagt wegen einer bereits vorausgewählten Checkbox für Cookies im Kontext Werbung
Die Planet49 GmbH führte ein Gewinnspiel zu Werbezecken durch. Dem Besucher wurden hierbei die üblichen Einwilligungen bzw. Zustimmungen in Form von zwei Checkboxen vor dem dann folgenden Teilnehmen-Button angezeigt. Bei der Checkbox Nummer 1 handelte es sich um eine Einwilligung in Post- und Telefonwerbung der Kooperationspartner und Sponsoren des Gewinnspiels. Diese Checkbox war nicht angekreuzt, der Teilnehmer musste die Checkbox also selbst aktivieren, sofern er die Einwilligung erteilen wollte. Im Fall der zweiten Checkbox war diese bereits angekreuzt und enthielt folgenden Text im Wortlaut:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
Der Bundesverband der Verbraucherzentralen war nun — wenig verwunderlich — der Ansicht, die bereits angekreuzte Checkbox Nummer 2 verstößt durch die bereits voreingestellte Aktivierung gegen das Gesetz gegen unlauteren Wettbewerb, kurz UWG. Man mahnte den Sachverhalt folgerichtig ab. Der nun folgende Rechtsstreit ging bis zum BGH. Dieser brachte für die Bewertung die EU-Datenschutzrichtlinie für elektronische Kommunikation ins Spiel und rief daher den EuGH zur Beurteilung an.
So weit, so gut: Der geneigte Leser weiß seit langem, dass vorangekreuzte Einwilligungen bereits die formalen Anforderungen an eine Einwilligung nicht erfüllen und damit hinfällig sind. Den Umweg hätte man sich daher sparen können. Aber gut.
Was konkret fragte der BGH den EuGH im Zuge des Planet49-Vorgangs?
Der BGH wollte vom EuGH mehrere Fragen beantwortet haben. Ob Cookies nun generell alle zustimmungspflichtig sind, war explizit nicht Gegenstand der Anfrage. Wissen wollte man seitens des BGH, ob
- eine solche bereits angekreuzte Checkbox, welches derartige Cookies setzt, eine nach den vorgenannten Rechtsgrundlagen „wirksame Einwilligung“ darstellt,
- ob es einen Unterschied macht, ob der Cookie „personenbezogene Daten“ verarbeitet oder nicht,
- ob die vorliegende Einwilligung nach DSGVO wirksam wäre und
- welche Informationen für eine wirksame Einwilligung konkret zu erteilen sind.
Und jetzt schauen wir mal auf das gestrige Urteil.
Was hat der EuGH zu Cookies denn nun entschieden? Einwilligung zwingend notwendig?
Glaubt man dem medialen Hype, dann sind seit dem 01.10.2019 Cookies nur noch mit Einwilligung möglich. Wie heißt es so schön: Wer lesen kann, ist klar im Vorteil. Genau das hat der EuGH eben nicht entschieden.
Der EuGH wenig überraschend dahingehend geantwortet, dass eine bereits aktivierte Checkbox weder nach altem noch nach neuem Datenschutzrecht eine wirksame Einwilligung darstellt. Nix Neues! Desweiteren hat der EuGH klargestellt, dass sich im Sinne der og. Richtlinie kein Unterschied zwischen Cookies mit und ohne personenbezogene ergibt. Die Richtlinie selbst spricht hier rein von “Informationen”, nicht von personenbezogenen Daten. Auch nicht wirklich überraschend bzw. absehbar. Im Hinblick auf die notwendige “informierte Einwilligung” stellte der EuGH u.a. auf die Angaben aus den Informationspflichten nach Art. 13 DSGVO ab. Was Wunder!
Das EuGH-Urteil hat nur klargestellt, was zu Cookies und Einwilligungen eh schon lange bekannt war
- Eine Einwilligung ist stets ein Opt in, kein Opt out!
- Die Informationspflichten nach Art. 12, 13 DSGVO sind durch den Webseitenbetreiber auch für Cookies einzuhalten!
- Einwilligungen sind auch für Cookies einzuholen unter Verweis auf die EU-Richtlinie für elektrische Kommunikation!
Und damit endete das Urteil.
Also jetzt doch Einwilligungen für alle Cookies, oder?
Der EuGH hat auf die besagte EU-Datenschutzrichtlinie für elektronische Kommunikation abgestellt. In Art. 5 Abs. 3 dieser Richtlinie heißt es:
“Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG* u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”
Entscheidend ist hier Satz 2. Denn das heißt nichts anderes, als das zum Beispiel technisch erforderliche Speicherungen von Informationen ( wie eben Cookies) ohne Einwilligung gesetzt werden können, über den Einsatz aber ausreichend zu informieren ist. Technisch für den Betrieb der Seite nicht erforderliche Cookies wie Webtracking durch bzw. über Dritte, Werbung etc. sind einwilligungspflichtig.
Die pauschale Aussage “Cookies nur noch mit Einwilligung” ist daher falsch und vergiftet erneut die Diskussion um das Thema Datenschutz. Sicher mag die Werbeindustrie über ein solches Urteil fluchen. Soll sie doch. Einerseits Millionen und Milliarden mit der Erhebung und Nutzung und Weitergabe von personenbezogenen Daten verdienen, aber zum Schutz der Privatsphäre der analysierten Nutzer nichts beitragen wollen — seltsames Geschäftsmodell. Dabei hat der EuGH jetzt nur noch mal festgeschrieben, was eh schon gegolten hat (aber nicht immer eingehalten wurde).
Kurzform des Urteils des EuGH zum Umgang mit Cookies
- Keine Einwilligung, aber ausreichende Information über technische, für den Betrieb der Webseite zwingend notwendige Cookies.
- Einwilligung und ausführliche Information für alle anderen Cookies.
Diese Position haben unsere Aufsichtsbehörden übrigens bereits in der DSK Orientierungshilfe für Anbieter von Telemedien nachvollziehbar erläutert.
Gute beschriebene Informationen zum Thema finden Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg:
- Pressemitteilung zum Planet49-Urteil des EuGH
- FAQ zu Tracking, Cookies, Plug-Ins, Einwilligungsbanner
Unsicherheiten im Umgang mit Cookies können Sie übrigens auch mit Ihrem Datenschutzbeauftragten klären. Sie haben noch keinen Datenschutzbeauftragten und auch sonst keine beratende Unterstützung zum Thema Datenschutz? Dann sprechen Sie uns doch einfach unverbindlich an.