Auswirkung der „Cookie-Urteile“ des EuGH vom 01.10.2019, Az. C-673/17 und des BGH vom 28.05.2020, Az. I ZR 7/16

Der EuGH als auch der BGH haben sich in jüngerer Zeit wiederholt zur Frage geäußert, ob das Speichern von Informationen, insbesondere Cookies, auf dem Endgerät eines Webseiten-Betrachters einer Einwilligung bedarf und wie diese auszusehen hat.

Wenngleich die Urteile nicht die Rechtslage nach der Datenschutzgrundverordnung (DSGVO) betreffen, sind diese gleichwohl richtungsweisend auch für die aktuelle Rechtslage, zumal die Urteile wesentlich auf die ePrivacy-Richtlinie abstellen, die neben der DSGVO gilt.

Worum ging es?

Ein Gewinnspielanbieter hatte für ein Gewinnspiel zu Werbezwecken eine eigene Website geschaltet. Um teilnehmen zu können musste man zunächst die Postleitzahl angeben und wurde hiernach auf eine Seite für die Eingabe von Namen und Adresse weitergeleitet. Unterhalb dieser Eingabefelder gab es 2 Checkboxen. Eine davon war bereits aktiviert und gab die Zustimmung zum Setzen eines Cookies. Das Cookie sollte es ermöglichen, das Surf- und Nutzungsverhalten auszuwerten und auf Websites von Werbepartnern interessengerechte Werbung auszuspielen. Diese Checkbox war zwingend erforderlich, um am Gewinnspiel teilnehmen zu können. Die 2. Checkbox konnte vom Nutzer selbst aktiviert werden und war die Zustimmung zu Werbung per SMS und/oder E-Mail durch Sponsoren und Kooperationspartner.

Was entschieden der EuGH und der BGH?

Gemäß Art. 5 Abs. 3 der Richtlinie 2002/58 (ePrivacy-Richtlinie) bedarf das Setzen eines nicht unbedingt erforderlichen Cookies der Einwilligung des Nutzers nach einer klaren und umfassenden Information u. a. über die Zwecke der Verarbeitung.

1.
Eine Einwilligung setzt dabei ein aktives Handeln des Nutzers voraus, es genügt nicht, wenn der Nutzer eine Voreinstellung duldet.

Der Wortlaut des EuGH hierzu lautet: „… die Einwilligung des Nutzers in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch „das Markieren eines Feldes auf einer Internet-Website“.“

Die Notwendigkeit zur Einwilligung betrifft auch Cookies, die keine personenbezogenen Daten enthalten. Argument ist, dass Art. 5 Abs. 3 der ePrivacy-Richtlinie nicht auf personenbezogene Daten abstellt, sondern viel allgemeiner auf den „Zugriff auf Informationen“, die auf dem Endgerät eines Teilnehmers gespeichert sind.

2.
Die Einwilligung ist nur wirksam, wenn diese auf einer klaren und umfassenden Information des Nutzers darüber beruht, was mit den gespeicherten Daten passiert. Hierzu reicht es nicht, nur über den Zweck der Speicherung zu informieren. Wie Art. 5 Abs. 3 mit Verwendung der Formulierung „u. a.“ zeigt, ist die Darstellung des Zwecks der Verarbeitung keine abschließende Aufzählung. Der Nutzer muss alle Informationen über die zu speichernden Daten erhalten, die für ihn als Betroffenen erforderlich sind, um sich eine Meinung darüber bilden zu können, ob er der Speicherung und weiteren Nutzung durch den Anbieter zustimmt oder nicht. Notwendige Informationen hierfür sind z. B.:

Verantwortlicher für die, durch das Cookie begründete Datenverarbeitung
Zweck der Verarbeitung
Empfänger der Daten
Funktionsdauer

Maßstab ist die Informationspflicht nach Art. 13 Abs. 2 DSGVO, jedenfalls dann, wenn es sich um personenbezogene Daten handelt.

Der EuGH formuliert das wie folgt: Es „müssen die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.“ (EuGH, Az. C-673/17, Rz. 74).

3.
Eine Einwilligung des Nutzers ist hingegen nicht erforderlich, wenn die auf dem Endgerät zu speichernde Information (z. B. Cookie) unbedingt erforderlich ist, um dem Nutzer den gewünschten Dienst zur Verfügung stellen zu können. Aber wann liegt so eine nicht unbedingt erforderliche Information vor? Die Antwort auf diese Frage ist umstritten.

Richtigerweise wird man darauf abstellen müssen, ob das Cookie technisch notwendig ist, um die vom Nutzer erwartete Funktionalität der Website zu gewährleisten. Erforderlich sind demnach Session-Cookies, die z. B. verwendet werden, um mehrere Nutzer einer Website auseinander zu halten oder Zugangslegitimationen zu speichern, da man sich sonst auf jeder Seite erneut einloggen müsste. Nicht erforderlich sind Cookies, die man weglassen könnte, ohne dass die aus Nutzersicht erwartete Funktionalität beeinträchtigt wäre.

Losgelöst von der Frage der Einwilligung ist die Frage der Information des Nutzers über die zu speichernden Daten zu bewerten. Auch wenn die Einwilligung nicht erforderlich ist, ist der Nutzer über den Einsatz dieser unbedingt notwendigen Informationen (z. B. Session-Cookies) zu informieren, wie oben unter 2. dargestellt.

Was bedeuten die Urteile für die Betreiber von Websiten konkret?

Die Urteile begründe eine Reihe von Handlungspflichten für Websitebetreiber:

Zunächst sollte geklärt werden, welche Cookies zum Einsatz kommen. Hierzu gibt es hilfreiche Tools z. B. cookiebot.com oder cookiemetrix.com
Im Anschluss hieran ist zu prüfen, welche Cookies unbedingt erforderlich sind, i. S. Art 5 Abs. 3 Satz 2 ePrivacy- Richtlinie, und welche es nicht sind.
Auf der Basis dieses Ergebnisses ist ein Im Weiteren ein sog. Consent-Cookie auf der Website einzubinden, das der Website bei Erstaufruf vorgeblendet ist und in dem alle Cookies dargestellt werden. Der Nutzer muss hier die Möglichkeit haben der Nutzung der einzelnen Cookies durch aktives Anhaken zuzustimmen. Um die Informationspflichten zu erfüllen, sollte der Consent-Cookie einen direkten Link auf die Datenschutzerklärung der Website enthalten und dort auf den Abschnitt mit der Darstellung der einzelnen Cookies. Allein für die unbedingt notwendigen Cookies ist eine Einwilligung nicht erforderlich, so dass dort ein voreingestelltes, nicht abwählbares Anhaken möglich ist. Wichtig ist, dass Cookies (mit Ausnahme der unbedingt erforderlichen Cookies) erst dann auf dem Endgerät des Nutzers gespeichert werden dürfen, wenn er seine Einwilligung in deren Nutzung erteilt hat. Eine Nutzung der Website (mit Ausnahme der Ansicht der Datenschutzerklärung und des Impressums) darf dem Nutzer erst möglich sein, wenn er sich zur Nutzung der Cookies – egal ob zustimmend oder ablehnen – erklärt hat.
Dass im Vorfeld der Einwilligung keine Cookies gespeichert werden dürfen, betrifft auch die Cookies von Drittanbietern wie z. B. Youtube, bei auf der Website eingebundenen Videos. Für die datenschutzkonforme Einbindung solcher Inhalte gibt es regelmäßig sog. 2-Klick-Lösungen. Aber auch die Anbieter haben mitunter oft schon eigene Lösungen erarbeitet, wie z. B. Youtube mit sog. Embed-Codes.
Sprechen Sie zu diesen Punkten Ihre Websiten-Agentur an, die den technischen Aufbau Ihrer Seite am besten kennen sollte und demnach auch zielgerichtete Lösungen anbieten kann.

Das könnte dir auch gefallen

Auskunftsanspruch Art. 15 DSGVO: 5.000,- € Schadenersatz bei verspäteter Auskunft

BGH legt EuGH Frage vor, ob Verbraucherschutzverbände Verstöße gegen das Datenschutzrecht verfolgen dürfen