EuGH Urteil:
Keine Tracking-Cookies ohne Einwilligung

— Veröffentlicht 04.10.2019

Der EuGH hat am 1.10.2019 mit seinem Urteil – C – 673/17 für ein kleines Erdbeben in der Online Marketingwelt gesorgt. Allerdings kam das Urteil nicht völlig überraschend, da sich auch schon in der letzten Rechtsprechung zum sogenannten Like Button (Fashion ID gegen Verbraucherzentrale NRW, C-40/17Urteil.) abgezeichnet hat, dass an der bisherigen Cookiepraxis wohl nicht festgehalten werden wird. Trotzdem bestand auf der einen oder anderen Seite noch Hoffnung, dass der deutsche Sonderweg weiterhin Bestand haben könnte und über § 15 Abs. 3 TMG weiter an der Widerspruchslösung festgehalten werden könnte. Diesen Wünschen hat der EuGH nunmehr eine deutliche Absage erteilt.

Dem Urteil liegt ein deutscher Rechtsstreit zugrunde, dessen Sachverhalt ich hier nur kurz anreißen möchte, da er sich teilweise noch mit Auslegungen der sogenannten EG Datenschutzrichtlinie befasst, die nunmehr durch die DSGVO obsolet geworden ist.

Hintergrund des Urteils ist eine Klage der Verbraucherzentrale Bundesverbands (VZBV) gegen die Planet49 GmbH, die bei Online-Gewinnspielen zu Werbezwecken die entsprechenden Cookie-Banner derart vorkonfiguriert hatte, dass ein Häkchen schon in der Checkbox gesetzt wurde und dann mit einem Mausklick eine Einwilligung abgegeben werden konnte. Der Instanzenzug ging dann vom OLG Frankfurt im Rahmen der Revision zum BGH. Da es sich vorliegend um europarechtliche Fragestellungen handelt, hat der BGH den EuGH um eine Vorabentscheidung ersucht. Hier ging es insbesondere um die Fragen, ob im Sinne der DSGVO eine wirksame Einwilligung vorliegen würde, wenn durch ein voreingestelltes angekreuztes Kästchen schon ein Häkchen gesetzt wurde.

Ferner ging es darum, ob es einen Unterschied machen würde, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handeln würde oder eben nicht.

Letztlich stellte der BGH die Frage welche Informationen ein Anbieter einer Homepage dem Nutzer bereitstellen müsse. Insbesondere ob hierzu auch die Nennung von Drittanbietern gehören würde, die auf die Daten ebenfalls zugreifen könnten und Angaben zur Funktionsdauer der Cookies gemacht werden müssten.

Der EuGH hat die Fragen im Kern wie folgt beantwortet:

Es liegt keine wirksame Einwilligung vor, wenn eine vor angekreuzte Checkbox in einen Cookiebanner implementiert wurde. Vielmehr muss für das Setzen eines Cookies eine wirksame Einwilligung durch eine aktive Handlung eingeholt werden. Dies würde schon auf den Erwägungsgrund 32 der DSGVO zurückgehen, der explizit eine vorangekreuzte Checkbox nicht als wirksame Einwilligung ansieht. Für eine Einwilligung muss immer ein aktives Handeln vorliegen.

Im Hinblick auf die Erwägungsgründe der E-Privacy Richtlinie hat sich der EuGH klar geäußert, dass eine Einwilligung auch dann eingeholt werden müsse, wenn nicht personenbezogene Cookies gesetzt werden. Hierdurch sollen insbesondere „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen verhindert werden.

Hinsichtlich der Frage welche Information ein Anbieter einer Homepage dem Nutzer bereitstellen muss, stützte sich der EuGH insbesondere auf Art. 13 DSGVO, sodass im Ergebnis Angaben zur Funktionsdauer der Cookies gemacht werden müssen und auch, ob Dritte Zugriff auf die Cookies erhalten haben. Diese erforderlichen Informationen seien dem Betroffenen im Zusammenhang mit der Verwendung der Cookies zu erteilen.

Praxishinweis:

Nach den deutlichen Feststellungen des EuGHs bleibt zu konstatieren, dass der Ball nunmehr wieder beim BGH liegt, der bei seiner abschließenden Entscheidung allerdings die Rechtsgedanken des EuGH umsetzen muss.

Als relativ sicher kann man jetzt wohl schon davon ausgehen, dass die deutsche Widerspruchslösung, die lediglich die Trackingtools in der Datenschutzerklärung benannt hat und hier die Möglichkeit des opt-outs vorgesehen hat, nunmehr tot ist. In Anbetracht der Tatsache, dass das TMG so neben der DSGVO nicht mehr anwendbar sein dürfte, wird sich der BGH wahrscheinlich auf die DSGVO stützen. Hier wird sich dann wohl an Art. 6a DSGVO für nicht unbedingt erforderliche Cookies orientiert werden. Dies würde bedeuten, dass abgesehen von notwendigen Cookies, immer eine Einwilligung eingeholt werden muss, sollten Cookies gesetzt werden. Dies müsste dann über eine sogenannte Cookiewall bewerkstelligt werden, die beim Aufrufen der Landingpage eine explizite Einwilligung für das jeweilige Tracking Cookie einholt.

Es stellt sich jetzt natürlich die Frage wie sich Anbieter einer Homepage am besten Verhalten. Zuallererst sollte man die wichtigste Regel befolgen und nicht in Panik verfallen!

Das Urteil lässt an der ein oder anderen Stelle sicher Interpretationsspielräume zu, insbesondere sehe ich es nicht als problematisch, notwendige Cookies wie beispielsweise Session Cookies, die für einen Warenkorb, für das Loginverfahren, für die Sprachauswahl, oder zur Speicherung einer Cookieeinwilligung unerlässlich sind, auch weiterhin ohne Einwilligung zu verwenden. Dies sollte schon über ein berechtigtes Interesse des Unternehmens gemäß Art. 6f DSGVO gerechtfertigt sein. Da sich der EuGH vorliegend eben gerade nicht mit notwendigen Cookies befasst hat, dürfte dies auch nicht Grundlage der Entscheidung gewesen sein.

Aus meiner Sicht besteht also für notwendige Cookies kein Bedürfnis eine Einwilligung einzuholen. Problematisch könnte sich hier gestalten, dass es keine abschließende Liste für sogenannte notwendige Cookies gibt. Für die oben genannten dürfte dies allerdings unstreitig sein.

Weniger Interpretationsspielraum bleibt bei den sogenannten Tracking Cookies zur Analyse und zum Retargeting. Hier muss in Zukunft in jedem Fall eine Einwilligung eingeholt werden, die sich an Art. 6a DSGVO messen lässt. Es müsste also hier in jedem Fall ein Cookiebanner geschaltet werden, der eine informierte Einwilligung beim Nutzer einholt. D. h. im Umkehrschluss sicher auch, dass 98 % der jetzigen Cookiebanner einer Überarbeitung bedürfen.

Sie sollten in jedem Fall eine Inventur Ihrer gesetzten Cookies machen und alle Cookies, die nicht notwendigerweise benötigt werden von der Seite nehmen. Dies gilt insbesondere für Persistent Cookies, also Cookies die nicht nach der Sitzung gelöscht werden. Hier muss zwingend eine Einwilligung eingeholt werden, wenn die Cookies weiterhin genutzt werden sollen. Es bietet sich hier auch an, eine vertragliche Grundlage gemäß Art. 26 DSGVO für eine gemeinsame Verantwortlichkeit mit dem Dienstleister abzuschließen.

Das Bundeswirtschaftsministerium hat schon angekündigt, dass sie eine Änderung des Telemediengesetzes anstreben. Es wäre auch denkbar, dass die etwas ins Stocken geratene E-Privacy Verordnung wieder an gesetzgeberischer Fahrt aufnehmen wird. Es wird im Bereich des Online Marketings also die nächsten Monate sicherlich nicht langweilig werden. Sollten Sie noch Fragen zu Ihrem eingesetzten Cookiebanner haben, wenden Sie sich gerne an das Team der AGAD Service GmbH.