In seiner am 1.10.2019 ergangenen Entscheidung in der Rechtssache C-673/17 hat der EuGH nunmehr klargestellt, dass ein vorangekreuztes Kästchen keine wirksame Einwilligung zum Setzen und der Nutzung von Cookies sein kann. Praktische Auswirkungen hat diese Entscheidung aber nur beschränkt.
Der deutsche BGH hat dem EuGH die Fragen zur Vorabentscheidung vorgelegt, ob ein voreingestelltes Ankreuzkästchen eine wirksame Einwilligung in die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, begründen kann sowie ob es einen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Drittens fragte der BGH, ob Nutzer auch über die Funktionsdauer und die Weitergabe an Dritte zu informieren sind.
Aktive Einwilligung
Zur ersten Frage führt der EuGH, gestützt auf die Schlussanträge des Generalanwaltes, aus, dass die damals und heute anwendbaren gesetzlichen Grundlagen, insbesondere nunmehr die DSGVO, klar vorsehen, dass eine Einwilligung „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ in Form einer Erklärung oder „einer sonstigen eindeutigen bestätigenden Handlung“ abgegeben werden muss, durch die das Einverständnis der betroffenen Person mit der Verarbeitung zum Ausdruck kommt.
Die DSGVO sieht somit ausdrücklich eine aktive Einwilligung vor und schließt in ihren Erwägungsgründen aus, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen können.
Somit liegt keine wirksame Einwilligung vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Diese Entscheidung hat ganz offensichtlich keiner großen Interpretation durch den Generalanwalt oder den EuGH bedurft. Da der Begriff der Einwilligung des Art 5 Abs 3 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG datenschutzrechtlich zu interpretieren ist, gibt bereits die DSGVO selbst die Antwort auf diese Frage.
Zu diesem Ergebnis kam die Lehre auch bereits einhellig vor dieser Entscheidung (so z.B. Jandt in Kühling/Buchner DS-GVO: „Mit diesen Erfordernissen der Eindeutigkeit und Unmissverständlichkeit erteilt die DS-GVO allen „Opt-Out“-Varianten der Einholung einer Einwilligung eine klare Absage“).
Notwendigkeit der Einwilligung nicht behandelt
Vorangekreuzte Kästchen gibt es daher in der Praxis kaum noch und hat sich das allgemeine Bewusstsein der Websitebetreiber bereits dahin gewandelt, eine aktive Einwilligung einzuholen, sofern eine solche denn überhaupt notwendig ist. Gerade das schneidet aber ein Problem an, das der EuGH in dieser Entscheidung gar nicht geprüft hat und dennoch Gegenstand der auf die Entscheidung folgenden öffentlichen Kritiken war.
So wurde bspw. behauptet, dass nun für alle Cookies eine Einwilligung notwendig sei. Das hat der EuGH aber mit keinem Wort festgestellt, lediglich dass eine Einwilligung wirksam nur mittels aktiver Handlung abgegeben werden kann.
Höchstgerichtlich unentschieden bleibt daher weiter, wann denn eine Einwilligung überhaupt notwendig ist. Bisher war allgemein anerkannt, dass über die Verwendung von für das Funktionieren einer Website essenzieller sowie über funktionale Cookies (bspw. Spracheinstellung oder Warenkorb) lediglich (gemäß Art 13 DSGVO) informiert werden muss (Stellungnahme der Art 29-Datenschutzgruppe 16/2011 zu verhaltensorientierter Online-Werbung, WP 188).
Gemäß § 96 Abs 3 TKG (der die entsprechende Bestimmung der Richtlinie 2002/58 in Österreich umsetzt) ist die Einwilligung zu einer technischen Speicherung oder dem Zugang dazu nämlich nicht erforderlich, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Datenschutzrechtlich ist die Nutzung solcher Cookies mangels Einwilligung mit dem berechtigten Interesse des Websitebetreibers oder der Erfüllung (vor)vertraglicher Pflichten zu rechtfertigen. Erst darüber hinaus invasivere Cookies, wie etwa Werbe- oder Tracking-Cookies, bedürfen somit der Einwilligung. Ob Analyse-Cookies, wie etwa Google Analytics, darunter fallen ist fraglich, im Zweifel aber wohl eher zu bejahen.
Der Entscheidung des EuGH zufolge macht es, gestützt auf die Erwägungsgründe zur Richtlinie 2002/58, auch keinen Unterschied, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
Auswirkungen auf Cookie-Banner
Klargestellt ist nun, dass sollte eine Einwilligung notwendig sein, diese durch eine Erklärung oder bestätigende Handlung abgegeben werden muss, um wirksam zu sein und vorangekreuzte Häkchen dieses Erfordernis nicht erfüllen. Wo ist aber die Grenze zu ziehen und was reicht aus, um als bestätigende Handlung zu gelten?
Ein Banner, mit dem in die Nutzung von Cookies mittels aktivem Klicken/Akzeptieren eingewilligt wird, sollte daher wie bisher ausreichen, insbesondere wenn über besondere Einstellungen die Cookies angezeigt und ausgewählt werden können.
Ob das bloße Weitersurfen unter entsprechendem Hinweis im Banner ausreichend ist, ist im Lichte der Entscheidung jedoch fraglich. Der EuGH hält nachvollziehbar fest, dass es nicht ausgeschlossen werden kann, dass der Nutzer, die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzt.
Dasselbe müsste daher für einen Text eines Banners gelten, mit dem darauf hingewiesen wird, dass der weitere Besuch der Website als Einwilligung zur Cookie-Nutzung gewertet wird. Wird daher mit einer solchen Einwilligung gearbeitet, sollte dieser Banner derart prominent und faktisch „im Weg“ platziert sein, dass ausgeschlossen werden kann, dass der Nutzer diesen Hinweis nicht gelesen hat.
Informationspflichten
In Beantwortung der dritten Frage hält der EuGH ergänzend fest, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Der EuGH interpretiert somit sowohl den in Art 5 Abs 3 der Richtlinie 2002/58 verwendeten Begriff der Einwilligung als auch den Umfang der Informationspflichten datenschutzrechtlich und kommt daher zwangsweise zum Schluss, dass iSd Art 13 und 14 DSGVO auch über die Funktionsdauer und Datenweitergabe informiert werden muss.
Deshalb, sowie aufgrund der Irrelevanz des Personenbezugs, ist § 96 Abs 3 TKG, wonach Websitebetreiber dazu verpflichtet sind Benutzer darüber zu informieren, „welche personenbezogenen Daten verarbeitet werden, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden“, richtlinienkonform zu interpretieren und gelten diese Informationspflichten auch bei Verwendung von Cookies, die nur nicht-personenbezogene Daten verarbeiten.
Zusammenfassung
Die Entscheidung bringt hinsichtlich der Einwilligung zur Verwendung von Cookies nur wenig Neues für die Praxis. Die weit verbreiteten Cookie-Banner sind, sofern sie eine aktive Handlung zur Bestätigung und Einwilligung vorsehen, wohl auch weiterhin zur Einholung einer wirksamen Einwilligung zur Cookie-Nutzung geeignet. Viel wichtiger wäre jedoch zu wissen, welche Cookies überhaupt der Einwilligung zu ihrer Nutzung bedürfen.
In seiner am 1.10.2019 ergangenen Entscheidung in der Rechtssache C-673/17 hat der EuGH nunmehr klargestellt, dass ein vorangekreuztes Kästchen keine wirksame Einwilligung zum Setzen und der Nutzung von Cookies sein kann. Praktische Auswirkungen hat diese Entscheidung aber nur beschränkt.
Der deutsche BGH hat dem EuGH die Fragen zur Vorabentscheidung vorgelegt, ob ein voreingestelltes Ankreuzkästchen eine wirksame Einwilligung in die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, begründen kann sowie ob es einen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Drittens fragte der BGH, ob Nutzer auch über die Funktionsdauer und die Weitergabe an Dritte zu informieren sind.
Aktive Einwilligung
Zur ersten Frage führt der EuGH, gestützt auf die Schlussanträge des Generalanwaltes, aus, dass die damals und heute anwendbaren gesetzlichen Grundlagen, insbesondere nunmehr die DSGVO, klar vorsehen, dass eine Einwilligung „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ in Form einer Erklärung oder „einer sonstigen eindeutigen bestätigenden Handlung“ abgegeben werden muss, durch die das Einverständnis der betroffenen Person mit der Verarbeitung zum Ausdruck kommt.
Die DSGVO sieht somit ausdrücklich eine aktive Einwilligung vor und schließt in ihren Erwägungsgründen aus, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen können.
Somit liegt keine wirksame Einwilligung vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Diese Entscheidung hat ganz offensichtlich keiner großen Interpretation durch den Generalanwalt oder den EuGH bedurft. Da der Begriff der Einwilligung des Art 5 Abs 3 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG datenschutzrechtlich zu interpretieren ist, gibt bereits die DSGVO selbst die Antwort auf diese Frage.
Zu diesem Ergebnis kam die Lehre auch bereits einhellig vor dieser Entscheidung (so z.B. Jandt in Kühling/Buchner DS-GVO: „Mit diesen Erfordernissen der Eindeutigkeit und Unmissverständlichkeit erteilt die DS-GVO allen „Opt-Out“-Varianten der Einholung einer Einwilligung eine klare Absage“).
Notwendigkeit der Einwilligung nicht behandelt
Vorangekreuzte Kästchen gibt es daher in der Praxis kaum noch und hat sich das allgemeine Bewusstsein der Websitebetreiber bereits dahin gewandelt, eine aktive Einwilligung einzuholen, sofern eine solche denn überhaupt notwendig ist. Gerade das schneidet aber ein Problem an, das der EuGH in dieser Entscheidung gar nicht geprüft hat und dennoch Gegenstand der auf die Entscheidung folgenden öffentlichen Kritiken war.
So wurde bspw. behauptet, dass nun für alle Cookies eine Einwilligung notwendig sei. Das hat der EuGH aber mit keinem Wort festgestellt, lediglich dass eine Einwilligung wirksam nur mittels aktiver Handlung abgegeben werden kann.
Höchstgerichtlich unentschieden bleibt daher weiter, wann denn eine Einwilligung überhaupt notwendig ist. Bisher war allgemein anerkannt, dass über die Verwendung von für das Funktionieren einer Website essenzieller sowie über funktionale Cookies (bspw. Spracheinstellung oder Warenkorb) lediglich (gemäß Art 13 DSGVO) informiert werden muss (Stellungnahme der Art 29-Datenschutzgruppe 16/2011 zu verhaltensorientierter Online-Werbung, WP 188).
Gemäß § 96 Abs 3 TKG (der die entsprechende Bestimmung der Richtlinie 2002/58 in Österreich umsetzt) ist die Einwilligung zu einer technischen Speicherung oder dem Zugang dazu nämlich nicht erforderlich, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Datenschutzrechtlich ist die Nutzung solcher Cookies mangels Einwilligung mit dem berechtigten Interesse des Websitebetreibers oder der Erfüllung (vor)vertraglicher Pflichten zu rechtfertigen. Erst darüber hinaus invasivere Cookies, wie etwa Werbe- oder Tracking-Cookies, bedürfen somit der Einwilligung. Ob Analyse-Cookies, wie etwa Google Analytics, darunter fallen ist fraglich, im Zweifel aber wohl eher zu bejahen.
Der Entscheidung des EuGH zufolge macht es, gestützt auf die Erwägungsgründe zur Richtlinie 2002/58, auch keinen Unterschied, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
Auswirkungen auf Cookie-Banner
Klargestellt ist nun, dass sollte eine Einwilligung notwendig sein, diese durch eine Erklärung oder bestätigende Handlung abgegeben werden muss, um wirksam zu sein und vorangekreuzte Häkchen dieses Erfordernis nicht erfüllen. Wo ist aber die Grenze zu ziehen und was reicht aus, um als bestätigende Handlung zu gelten?
Ein Banner, mit dem in die Nutzung von Cookies mittels aktivem Klicken/Akzeptieren eingewilligt wird, sollte daher wie bisher ausreichen, insbesondere wenn über besondere Einstellungen die Cookies angezeigt und ausgewählt werden können.
Ob das bloße Weitersurfen unter entsprechendem Hinweis im Banner ausreichend ist, ist im Lichte der Entscheidung jedoch fraglich. Der EuGH hält nachvollziehbar fest, dass es nicht ausgeschlossen werden kann, dass der Nutzer, die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzt.
Dasselbe müsste daher für einen Text eines Banners gelten, mit dem darauf hingewiesen wird, dass der weitere Besuch der Website als Einwilligung zur Cookie-Nutzung gewertet wird. Wird daher mit einer solchen Einwilligung gearbeitet, sollte dieser Banner derart prominent und faktisch „im Weg“ platziert sein, dass ausgeschlossen werden kann, dass der Nutzer diesen Hinweis nicht gelesen hat.
Informationspflichten
In Beantwortung der dritten Frage hält der EuGH ergänzend fest, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Der EuGH interpretiert somit sowohl den in Art 5 Abs 3 der Richtlinie 2002/58 verwendeten Begriff der Einwilligung als auch den Umfang der Informationspflichten datenschutzrechtlich und kommt daher zwangsweise zum Schluss, dass iSd Art 13 und 14 DSGVO auch über die Funktionsdauer und Datenweitergabe informiert werden muss.
Deshalb, sowie aufgrund der Irrelevanz des Personenbezugs, ist § 96 Abs 3 TKG, wonach Websitebetreiber dazu verpflichtet sind Benutzer darüber zu informieren, „welche personenbezogenen Daten verarbeitet werden, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden“, richtlinienkonform zu interpretieren und gelten diese Informationspflichten auch bei Verwendung von Cookies, die nur nicht-personenbezogene Daten verarbeiten.
Zusammenfassung
Die Entscheidung bringt hinsichtlich der Einwilligung zur Verwendung von Cookies nur wenig Neues für die Praxis. Die weit verbreiteten Cookie-Banner sind, sofern sie eine aktive Handlung zur Bestätigung und Einwilligung vorsehen, wohl auch weiterhin zur Einholung einer wirksamen Einwilligung zur Cookie-Nutzung geeignet. Viel wichtiger wäre jedoch zu wissen, welche Cookies überhaupt der Einwilligung zu ihrer Nutzung bedürfen.