EuGH-Urteil: Aktive Einwilligung in Werbe-Cookies erforderlich – auch bei fehlendem Personenbezug


Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 1. Oktober 2019
entschieden, dass Webseitenbetreiber für den Einsatz von Werbe-Cookies stets eine aktive Einwilligung vom Seitenbesucher einholen müssen. Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung der Einwilligung abgewählt werden muss, kann demnach nicht als wirksame Einwilligung aufgefasst werden. Der Gerichtshof bestätigt zudem, dass die Pflicht zur Information und zur Einholung einer Einwilligung selbst dann gilt, wenn keine personenbezogenen Daten bearbeitet werden. Darüber hinaus stellt der EuGH klar, dass zur Erfüllung der Informationspflicht auch Angaben zur Funktionsdauer der Cookies und zur Zugriffsmöglichkeit Dritter („Third-Parties“) gemacht werden müssen. All diese Standpunkte sind zwar wenig überraschend, werden aber von einer Vielzahl von Website-Betreibern nach wie vor nicht berücksichtigt. Die höchstrichterlichen Klarstellungen sollten daher zum Anlass genommen werden, um den Einsatz von Cookies auf der unternehmenseigenen Websites zu hinterfragen und gegebenenfalls mit der höchstrichterlich bestätigten Rechtslage in Einklang zu bringen.
 

Online-Gewinnspiel: Einwilligung in den Einsatz von Werbe-Cookies über vorangekreuztes Kästchen

Hintergrund des Verfahrens war ein Online-Gewinnspiel auf einer deutschen Webseite von Planet49 aus dem Jahr 2013. Für die Gewinnspielteilnahme verlangte Planet49 von den Webseitenbesuchern eine Einwilligung durch ein vorangekreuztes Kästchen. Diese Einwilligung bezog sich unter anderem auf das Setzen von Tracking-Cookies zur Sammlung von Informationen zu Werbezwecken mit dem Webanalysedienst „Remintrex“. Die Cookies wurden beim Besuch eines bei Remintrex registrierten Werbepartners gesetzt und ausgelesen. Die dabei gesammelten Informationen über die besuchten Seiten und betrachteten Produkte sollten anschliessend von Planet49 dazu genutzt werden, um den Nutzern auf ihre Interessen abgestimmte Werbe-Mails zuzustellen.

Der deutsche Verbraucherzentrale Bundesverband (vzbv) hielt diese Einwilligungsform für datenschutzrechtlich unzulässig und erhob Klage gegen Planet49. Nach unterschiedlichen Ergebnissen vor den ersten beiden Instanzen, gelangte der Rechtstreit an den Bundesgerichtshof (BGH). Dieser bat den EuGH in der Folge um Klärung verschiedener Fragen zu den Vorgaben des EU-Datenschutzrechts (vgl. Urteil I ZR 7/16).
 

DSGVO kann auch auf frühere Sachverhalte zur Anwendung gelangen

Beim Einsatz von Cookies gelangen seit dem 25. Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) sowie die nationalen Vorschriften zur Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation (e-Privacy-RL) parallel zur Anwendung (vgl. dazu MLL-News vom 10.9.19). Letztere wurde 2009 durch die sog. Cookie-Richtlinie ergänzt und sollte in den kommenden Jahren durch die sog. e-Privacy-Verordnung ersetzt werden (vgl. MLL-News vom 2.12.2017).

Das beanstandete Gewinnspiel von Planet49 wurde noch vor Anwendbarkeit der DSGVO durchgeführt. Deshalb kam im vorliegenden Fall zwar primär noch die Vorgänger-Regelung in der EU-Datenschutzrichtlinie (95/46) zur Anwendung. Da die Klägerschaft aber einen Unterlassungsanspruch geltend machte, welcher naturgemäss auch Wirkungen in der Zukunft entfaltet, und der BGH die vorgelegten Fragen zum Zeitpunkt der Entscheidung des Ausgangsrechtsstreits womöglich sowieso nach dem neuen Recht zu berücksichtigen haben wird (vgl. Art. 94 Abs. 2 DSGVO), konnte der EuGH die gestellten Fragen sowohl auf der Grundlage der Vorgängerrichtlinie als auch der DSGVO beantworten.
 

Einwilligungsgrundsatz gilt auch, wenn durch Cookies keine personenbezogenen Daten bearbeiten werden

Die e-Privacy-RL erwähnt Cookies nicht explizit, sondern hält technologieneutral fest, dass die Speicherung von Informationen auf einem Endgerät oder der Zugriff darauf grundsätzlich nur nach umfassender Information der Nutzer und nach erteilter Einwilligung erlaubt ist. Diese Anforderungen gelten ausnahmsweise nicht bei den sogenannten „technisch-notwendigen Cookies“. Im vorliegenden Fall dienten die Cookies Werbe-Zwecken, weshalb die Ausnahmen offensichtlich nicht zur Anwendung gelangen konnten.

In seinem Urteil vom 1. Oktober 2019 (C-673/17) ging der EuGH daher zunächst auf die Frage ein, ob es bei der Anwendung der e-Privacy-Richtlinie einen Unterschied mache, ob die mit Cookies verarbeiteten Informationen personenbezogene Daten sind oder nicht. Der Gerichtshof stellt dazu fest, dass die im erwähnten Gewinnspiel eingesetzten Cookies eine Nummer enthalten, die den Registrierungsdaten des entsprechenden Nutzers zugeordnet wird, der im Teilnahmeformular für das Gewinnspiel seinen Namen und seine Adresse angibt. Aufgrund der Verknüpfung dieser Nummer mit diesen Daten entstehe ein Personenbezug der durch die Cookies gespeicherten Daten, wenn der Nutzer ins Internet gehe. Folglich handle es sich bei einer solchen Sammlung von Daten mittels Cookies um eine Verarbeitung personenbezogener Daten.

Dieses Zwischenfazit bedeutet, dass auf den vorliegenden Fall (auch) die Vorgaben der DSGVO bzw. der Datenschutzrichtlinie zur Anwendung gelangen. Interessanter ist jedoch die Frage, ob dieses Zwischenfazit auch für die Anwendung der Vorgaben der e-Privacy-Richltinie einen Unterschied macht. Dies verneinte der EuGH. Mit anderen Worten gelten die Pflichten der e-Privacy-Richtlinie unabhängig davon, ob mit den Cookies personenbezogene Daten verarbeitet werden oder nicht.

Der EuGH begründet dies damit, dass die massgebliche Vorschrift in Art. 5 Abs. 3 der ePrivacy-RL von der Speicherung von und vom Zugriff auf «Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind», spreche, ohne näher zu bestimmen oder zu präzisieren, dass es sich bei den Informationen um personenbezogene Daten handeln muss. Nach der Lesart der Luxemburger Richter bezwecke diese Bestimmung, den Nutzer vor jedem Eingriff in seine Privatsphäre zu schützen. Zudem seien nach dem Wortlaut des Erwägungsgrunds 24 der ePrivacy-RL sämtliche in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer. Deshalb sei es für die Anwendung der besonderen Vorschriften für Cookies irrelevant, ob die verarbeiteten Daten personenbezogen sind oder nicht.
 

Wirksame Einwilligung in den Einsatz von Cookies verlangt aktives Verhalten des Nutzers

In Bezug auf die Anforderungen an die Einwilligungsmodalitäten räumt der EuGH zunächst ein, das Art. 5 Abs. 3 der ePrivacy-RL zwar lediglich verlangt, dass der Nutzer zur Speicherung und zum Abruf von Cookies auf seinem Endgerät seine Einwilligung gegeben haben muss. Obwohl der Gesetzestext offenlässt, wie die erforderliche Einwilligung zu geben ist, gehe aus Erwägungsgrund 17 hervor, dass die Einwilligung in einer Weise gegeben werden muss,

  • durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt,
  • die sachkundig und in freier Entscheidung erfolgt.

Ferner wird im selben Erwägungsgrund auf die EU-Datenschutzrichtlinie und den dort weiter präzisierten Begriff der «Einwilligung der betroffenen Person» verwiesen. Demnach müsse die Einwilligung „ohne jeden Zweifel“ gegeben werden. Dieses Erfordernis kann aber gemäss EuGH nur durch ein aktives Verhalten erfüllt werden, mit dem die betroffene Person ihre Einwilligung bekundet. Bei einem bereits angekreuzten Auswahlkästchen, das ein Nutzer nicht abgewählt habe, erscheine es praktisch unmöglich zu klären, ob er tatsächlich seine Einwilligung erteilt habe. Jedenfalls bleibe unklar, ob die Einwilligung in Kenntnis der Sachlage erteilt wurde. Es könne nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.

Schliesslich deutet auch die Entstehungsgeschichte der Vorschrift offenkundig darauf hin, dass die Einwilligung des Nutzers nicht mehr vermutet werden darf, sondern durch ein aktives Handeln erteilt werden muss: So wurde mit dem Inkrafttreten der Cookie-RL die «Opt-Out»-Lösung der ursprünglichen Fassung der ePrivacy-RL bewusst durch den Passus «seine Einwilligung gegeben hat» und damit ein «Opt-in»-Regime ersetzt (siehe dazu bereits MLL-News vom 10.8.11).

Diese Anforderungen an eine gültige Einwilligung gelten gemäss EuGH erst recht unter der DSGVO. Denn die DSGVO verlange nunmehr explizit eine aktive Einwilligung und bezeichne Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit ausdrücklich als ungenügend (vgl. Art. 4 Nr. 11 sowie Erwägungsgrund 32 DSGVO).

Folglich liegt nach Auffassung des Gerichtshofs keine wirksame Einwilligung vor, wenn der Einsatz von Cookies durch ein vom Webseitenbetreiber voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Sodann erteilte der EuGH auch der Auffassung von Planet49 eine Absage, wonach der Nutzer durch die Betätigung der Schaltfläche zur Teilnahme am Gewinnspiel seinen Willen zur Einwilligung ausgedrückt habe. Denn eine Einwilligung müsse „für den konkreten Fall“ (DSGVO: „bestimmten Fall“) erfolgen. Die Willensbekundung muss sich somit auf die betreffende Datenverarbeitung (hier also den konkreten Einsatz der Cookies) beziehen und kann nicht aus einer Willensbekundung mit anderem Gegenstand (hier also die Gewinnspielteilnahme) abgeleitet werden.
 

Spezifische Informationspflichten beim Einsatz von Cookies

In einem nächsten Schritt musste der EuGH entscheiden, welche Informationen den Nutzern nach der e-Privacy-Richtlinie erteilt werden müssen. Anders als die DSGVO, welche eine (detaillierte) Liste der zu erteilenden Informationen enthält (vgl. Art. 13 und 14), verlangt die Richtlinie bloss «klare und umfassende Informationen […] u. a. über die Zwecke der Verarbeitung». Gemäss EuGH müssen die Informationen den Nutzer jedenfalls in die Lage versetzen, die Konsequenzen einer etwaigen Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.

Dienen Cookies – wie im vorliegenden Fall – der Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels, sind nach Ansicht des Gerichtshofs sowohl Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, Teil der Pflichtinformationen. Dieses Fazit lässt sich im Anwendungsbereich der DSGVO auch aus dessen Art. 13 ableiten, gilt aber gemäss EuGH auch für die Informationspflicht nach der e-Privacy-Richtlinie. Ob Cookies auch einer maximalen Speicherdauer unterworfen sind, wurde vom EuGH nicht geklärt. Diesbezüglich hat sich die französische Datenschutzbehörde kürzlich für eine maximale Cookie-Speicherdauer von 13 Monaten ausgesprochen. Spätestens nach Ablauf dieser Frist müsse eine erneute Einwilligung eingeholt werden (vgl. MLL-News vom 10.9.19).

Im Ergebnis ist die Informationspflicht der ePrivacy-RL demnach so zu verstehen, dass auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Webseitenbetreiber dem Besucher zu erteilen hat.
 

Fazit und offene Fragen rund um das Erfordernis der Einwilligung

Mit dem vorliegenden Urteil wurden wichtige Fragen in Bezug auf die Form der Einwilligung in den Einsatz von Cookies höchstrichterlich beantwortet. Für die Praxis bedeutet das Urteil, dass vorangekreuzte Kästchen nun endgültig nicht mehr als Einwilligung in den Einsatz von Cookies verstanden werden können. Ferner müssen Cookies, für die eine Einwilligung eingeholt werden muss, vor der Einwilligung inaktiv sein. In den Datenschutzerklärungen muss über die Speicherdauer von Cookies und über den Zugriff von Drittunternehmen informiert werden. Einer Vielzahl von Webseitenbetreibern dürfte eine Überprüfung und gegebenfalls Überarbeitung der bisherigen Einwilligungsarchitektur und Informationen in Bezug auf den Einsatz von Cookies zu empfehlen sein.

Bedauerlicherweise handelt es sich dabei allesamt um Standpunkte, die sich in der Beratungspraxis längst durchgesetzt haben. Ungeklärt bleiben demgegenüber weiterhin Fragen zum Freiwilligkeitskriterium sowie zum sog. «Koppelungsverbot» (vgl. dazu bereits MLL News vom 9.12.2018 sowie MLL News vom 20.01.2019). Zum Leidwesen der Rechtssicherheit äusserte sich der EuGH hierzu nicht, obwohl im vorliegenden Sachverhalt eine Teilnahme am Gewinnspiel nur möglich war, wenn der Nutzer in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt.

Die Tragweite des Koppelungsverbots war indes Gegenstand der Schlussanträge des Generalanwalts des EuGH. Demnach enthalte die DSGVO kein absolutes Koppelungsverbot. Im Zusammenhang mit der Teilnahme an einem Online-Gewinnspiel müsse daher bedacht werden, dass der hinter der Teilnahme stehende Zweck der „Verkauf“ personenbezogener Daten sei. Mit anderen Worten bestehe die Hauptpflicht, die der Nutzer für die Teilnahme am Gewinnspiel erfüllen muss, darin, personenbezogene Daten zur Verfügung zu stellen. In einer solchen Situation sei die Verarbeitung dieser personenbezogenen Daten folglich für die Teilnahme am Gewinnspiel erforderlich und eine Koppelung demnach zulässig. Demgegenüber erachten gewisse Datenschutzbehörden bereits die Koppelung des Zugriffs auf eine Website an die Erteilung einer Cookie-Einwilligung für unzulässig und plädieren damit für ein strenges Koppelungsverbot (MLL-News vom 10.9.19). Nicht zuletzt aufgrund der divergierenden Ansichten wäre eine höchstrichterliche Klärung dieser Frage besonders wichtig gewesen.

Der vorliegende Sachverhalt betraf ferner ausschliesslich den Einsatz von Cookies zu werblichen Zwecken. Folglich hatte der EuGH keine Gelegenheit, sich dazu zu äussern, wann die Ausnahmen für technisch notwendige Cookies tatsächlich greifen und somit keine Einwilligung erforderlich ist. Zu dieser für die Praxis wichtigen Frage veröffentlichten kürzlich zumindest die französische CNIL und die britische ICO ihren Standpunkt (MLL-News vom 10.9.19). Als Beispiel dafür werden Cookies genannt, die in Online-Shops dazu verwendet werden, dass Produkte im Warenkorb bis zum «Checkout» gemerkt werden.
 

Anpassungsbedarf auch für zahlreiche Schweizer Unternehmen

In der Schweiz ist die Verwendung von Cookies durch Art. 45c des Fernmeldegesetzes (FMG) sowie durch die Vorgaben des Datenschutzgesetzes (DSG) geregelt (siehe MLL-News vom 10.9.19). Demnach muss Nutzern primär offengelegt werden, dass und zu welchem Zweck Cookies verwendet werden und wie das Setzen von Cookies im Browser deaktiviert werden („Opt-Out“) kann. Ein Hinweis in der Datenschutzerklärung wird dabei in der Schweiz in der Regel (noch) als ausreichend betrachtet. Folglich ist bei vielen Schweizer Websites zurzeit auch noch kein entsprechender Einwilligungsmechanismus implementiert.

Da aber oft auch Schweizer Websites die Zugriffe und das Online-Verhalten von Personen in der EU beobachten, müssen die EU-Vorschriften gleichwohl beachtet werden (MLL-News vom 10.12.2018). Somit ist das Urteil des EuGH auch für zahlreiche Schweizer Unternehmen von praktischer Relevanz. Eine Überprüfung der Verarbeitungsprozesse auf ihre Übereinstimmung mit den jüngsten Entwicklungen im EU-Recht ist daher angezeigt.
 

Ausblick und unklare Rechtslage in Deutschland

Ein Teil der ungeklärten Rechtsfragen auf EU-Ebene ist darauf zurückzuführen, dass die e-Privacy-Richtlinie noch nicht durch die e-Privacy-Verordnung abgelöst wurde. Nachdem das Parlament seinen Entwurf Ende 2017 verabschiedete (vgl. MLL-News vom 2. Dezember 2017), ist die Vorlage seither im EU-Rat hängig und hochgradig umstritten. Immerhin nahm die Debatte in letzter Zeit wieder Fahrt auf. So veröffentlichte die zuständige Arbeitsgruppe in den vergangenen Monaten (zuletzt am 17.10.2019) neue Entwürfe der Verordnung. Diese enthalten im Vergleich zum Entwurf des Parlaments auch wesentliche Abschwächungen. Ob diese allerdings tatsächlich auch in einen finalen Verordnungstext Eingang finden werden, lässt sich derzeit kaum abschätzen; ebensowenig wie die Frage, wann die neue Regelung verabschiedet wird.

Bis dahin müssen sich die betroffenen Unternehmen innerhalb der geltenden Regeln zurecht finden. Dass (bereits) diese Vorschriften strenge Vorgaben für den Einsatz von Cookies und das User-Tracking enthalten, verdeutlicht nicht nur das vorliegende Urteil des EuGH, sondern auch aktuelle Stellungnahmen der Datenschutzbehörden (vgl. z.B. MLL-News vom 10.9.2019). Angesichts des zunehmenden Drucks auf die bisherige Tracking-Praxis sucht die Werbebranche derzeit nach neuen Wegen, um das für die personalisierte Werbewelt essentielle Nutzertracking den gesetzlichen Anforderungen anzupassen (vgl. MLL-News vom 17.9.2019). Interessant ist dabei auch die Entwicklung in der Schweiz: Mitte Oktober haben mehrere grosse Medienunternehmen eine titel- und verlagsübergreifende «Login-Wall» eingeführt, bei der die Einwilligung für das Tracking und Targeting bereits im Zeitpunkt der Registrierung eingeholt wird. Wie die Verlage mitteilten, ist die Registrierung zunächst freiwillig. Ab September 2020 soll das Login zur Pflicht werden. Im Vordergrund stehen bei solchen Modellen – im Anwendungsbereich der EU-Vorschriften – sicherlich die bereits erwähnten Fragen rund um das Koppelungsverbot und die weiteren Anforderungen an eine gültige Einwilligung.

Für Schweizer Unternehmen nicht unwesentlich ist schliesslich auch die besondere Ausgangslage in Deutschland, die auch im Verfahren gegen Planet49 zur Debatte steht. Dass die in § 15 Abs. 3 des deutschen Telemediengesetzes (TMG) vorgesehene Opt-Out-Lösung nicht als Umsetzung des besagten Art. 5 Abs. 3 der ePrivacy-RL verstanden werden kann, steht mit dem aktuellen Urteil des EuGH definitiv fest. Unklar ist aber, was dies konkret für Auswirkungen hat. Nach Ansicht der Deutschen Konferenz der Datenschutzaufsichtsbehörden (DSK) kommt eine unmittelbare Anwendung der Regelung in der e-Privacy-Richtlinie nicht in Frage. Die Folge davon ist gemäss DSK, dass in Deutschland – anders als in den übrigen EU-Mitgliedstaaten – keine Sonderregelung für Cookies und damit eine „Rechtslücke“ besteht. Mit anderen Worten soll für das Tracking ausschliesslich die DSGVO massgeblich sein (vgl. MLL-News vom 27.4.2019).

In diesem Zusammenhang fehlt auch eine höchstrichterliche Klärung der Frage, ob sich Webseitenbetreiber im Zusammenhang mit Cookies auch auf andere DSGVO-Erlaubnistatbestände als die Einwilligung berufen können. Auch diesbezüglich bietet die DSK Online-Dienstleistern in Bezug auf die verschiedenen Tracking-Tools eine Orientierungshilfe (vgl. MLL-News vom 27.4.2019). Danach kommen zwar grundsätzlich auch die Erlaubnistatbestände „überwiegendes Interesse“ und „Erforderlichkeit zur Vertragserfüllung“ in Betracht. Allerdings zeigt die DSK zugleich auch auf, dass diese nur unter strengen Anforderungen greifen können und letztlich wohl nur beim Einsatz „zurückhaltender“ Tracking-Tools, also insbesondere ohne Weitergabe an Dritte, in Betracht kommen. Insofern ist also auch in Deutschland Vorsicht geboten. Mit Blick auf die bevorstehenden Änderungen durch die e-Privacy-Verordnung, die bereits begonnenen Arbeiten zur Anpassung des deutschen TMG sowie die unterschiedliche Rechtslage in den übrigen Mitgliedstaaten ist es ohnehin nicht ratsam, die eigene „Cookie-Policy“ auf die aktuelle Ausgangslage in Deutschland auszurichten. Die weiteren Entwicklungen sollten jedenfalls genau beobachtet werden.

 

Weitere Informationen: