Aktualitätshinweis: die gesetzliche Situation hat sich nach Veröffentlichung dieses Artikels geändert. Teile der Angaben dürften überholt sein.
Fragen und Antworten zum Einsatz von Cookies und anderen Technologien in Hinblick auf das Urteil in der Rechtssache “Planet49”, Aktenzeichen C-673/17, des Europäischen Gerichtshofs vom 1. Oktober 2019:
Wie erfolgt eine Zustimmung zur Nutzung von Cookies?
Nach dem Urteil ist eine klare, aktive und informierte Einwilligung notwendig. Dies erfordert ein Opt-In mit klaren Angaben zu den verarbeiteten Daten. Die bisherigen Opt-Out-Lösungen (etwa mit der Möglichkeit sich abzumelden oder im Stil “mit dem Nutzen der Webseite erklären Sie sich mit Cookies einverstanden”) sind klar nicht zulässig.
Sind klassische Cookie-Banner jetzt Makulatur?
Ja, die weitverbreiteten Arten der Banner stellen Opt-Out-Lösungen dar. Diese sind unzulässig. Die Einwilligung muss durch eine klare und aktive Aussage erfolgen, implizite “Aussagen” sind nicht ausreichend.
Dürfen wir ein automatisches Akzeptieren (nach Zeit oder durch Surfen auf der Seite) voraussetzen? Wie erteilt man eine Einwilligung?
(Frage und Antwort am 27.11.2019 ergänzt.)
Eine Einwilligung ist eine Willenserklärung und die kann nur durch aktives Handeln erfolgen. Schweigen hat keinen Erklärungswert. Das heißt konkret, dass Erklärungen wie “Mit dem Besuch dieser Webseite erklären Sie sich einverstanden”, “Wenn Sie nichts sagen gehen wir davon aus, dass Sie einverstanden sind” oder ähnliche Erläuterungen sowie automatische Bestätigungen durch Timer keine Einwilligung darstellen.
Dürfen die Erklärungen vorausgefüllt (etwa Häkchen schon gesetzt) sein?
(Frage und Antwort am 2.10.2019 ergänzt.)
Hierzu ist das Urteil erfrischend klar. Der Benutzer muss aktiv die Wahl für ein Cookie treffen. Offen ist allerdings, ob dies gebündelt für ganze Gruppen von Cookies erfolgen darf.
Konkret ergibt sich das Erfordernis eines aktiven Handelns in Randnummern 52 und folgenden – in ersterer sagt der Europäische Gerichtshof im Wortlaut mit Verweis auf den Gesetzeswortlaut:
[D]as Erfordernis einer „Willensbekundung“ der betroffenen Person [deutet] klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.
Da eine aktive Äußerung, die “ohne jeden Zweifel” (so der Gesetzeswortlaut, den das Gericht in Rn. 54 auch zitiert) gegeben werden muss, greift das Gericht auf, dass dies praktisch unmöglich festzustellen wäre, wenn dies nicht durch ein aktives Tun erfolge (so in Rn. 55) – im Umkehrschluss also: vorausgewählte Ankreuzfelder reichen nicht.
Das Gericht musste sich hingegen nicht mit der Frage beschäftigen, ob diese Einwilligung etwa gebündelt für mehrere Themen erfolgen darf. Im Extremfall etwa: “Wir möchten Cookies einerseits für Abrufstatistiken setzen, andererseits für personalisierte Werbung ein Cookie von Google, das Sie auch auf anderen Webesiten reidentifizieren kann.” – kann ein solcher Satz etwa kombiniert mit je einem Button für eine Zustimmung und eine Ablehnung ein wirksame Zustimmung darstellen? Dies lässt sich aus dem Urteil nicht entnehmen. Ein Indiz kann sein, dass das Urteil sehr hohe Anforderungen an die Transparenz der Darstellung und Information der Betroffenen setzt: eine solche Kombination macht es häufig schwerer, zu erkennen, was passieren soll. In diesem Kontext ist also Vorsicht und eine Beratung im Einzelfall sinnvoll.
Grundsätzlich erscheint mir hier eine geschickte, UX-getriebene Gestaltung die den Benutzer einerseits im Zentrum lässt, andererseits die Erteilung des Einverständnisses durch geeignete Darstellung wahrscheinlicher macht, in Einzelfällen durchaus möglich. Sie muss jedoch die gesetzlichen Vorgaben einhalten, insbesondere sollte sie den Benutzer im Zentrum halten und muss klar, informiert und aktiv die Einwilligung abfragen.
Wer ist betroffen?
Fast alle, die eine Webseite betreiben, Web-Apps anbieten oder ähnliche Aktivitäten durchführen. Und das Urteil greift auch noch weiter, als auf Cookies. Die dahinter stehende Richtlinie 2002/58/EG wird zwar häufig als Cookie-Richtlinie bezeichnet – entsprechend dem breitesten Anwendungsbereich. Ihr richtiger Titel ist jedoch “Datenschutzrichtlinie für elektronische Kommunikation”, kurz/englisch “ePrivacy”-Richtlinie. Die auch für Cookies relevante Vorschrift (Art. 5 Abs. 3) bezieht sich allgemein auf “die im Endgerät eines Teilnehmers oder Nutzers gespeichert[en]” Informationen.
Was ist, wenn wir keine personenbezogenen Daten verarbeiten?
Die Vorgaben für Cookies stammen nicht aus der Datenschutz-Grundverordnung (DSGVO), sondern der sogenannten ePrivacy-Richtlinie. Sie regelt den Datenschutz im Zusammenhang mit Telekommunikationsdiensten und Geräten der Nutzer. Bei ihr kommt es nicht darauf an, ob Daten personenbezogen sind – insofern greift die Regelung auch für andere Daten. Eine – recht enge – Ausnahme stellen technisch notwendige Vorgänge dar (dazu siehe nächste Frage).
Gibt es Ausnahmen? Was ist mit technisch notwendigen Cookies?
Nicht eingeschränkt wird die “technische Speicherung” oder der “Zugang”, wenn diese “unbedingt erforderlich” sind, um den Dienst zur Verfügung zu stellen. Als gängiges Beispiel sind hierfür können Cookies dienen, die eine Session speichern, etwa für eine Login-Funktionalität, ebenso zur Speicherung des Warenkorbes (wobei hier die Vorhaltedauer disktuiert wird) und ähnliches. Wir nutzen auf dieser Seite etwa eine automatisierte Erkennung der Sprachfassung. Damit diese zuverlässig funktioniert – also etwa einen Rückfall auf die Sprache nach manuellem Umschalten zu verhindern –, ist es notwendig, den Benutzer kurzzeitig zu re-identifizieren. Wir nutzen hierfür ein Session-Cookie. Hier gehen wir davon aus, dass diese Verarbeitung “unbedingt erforderlich” ist – wichtig dabei ist, dass die Verarbeitung nur dafür und nicht für weitere Zwecke erfolgt, ansonsten macht man sich als Diensteanbieter unglaubwürdig. Ebenfalls erforderlich dürften Session Cookies für Logins sein, denn ohne Speicherung eines solchen Identifikationsmerkmals besteht keine Möglichkeit, den Benutzer als angemeldet wiederzuerkennen. Ebenso: der Inhalt des Warenkorbs bei einem Online-Shop.
In den meisten fällen nicht in diesem Sinn notwendig für den Betrieb des Dienstes hingegen dürften Analytics-Dienste sein. Für sie ist insofern zukünftig wohl eine Einwilligung erforderlich.
Allgemein sollte bei einer Einschätzung Linie sein: im Zweifel unterstellen, dass eine bestimmte Aktivität nicht notwendig ist und eine Einwilligung einholen. Es besteht ein signifikanter Graubereich mit entsprechendem Risiko.
Kann die Einwilligung für mehrere Cookies auf einmal erteilt werden?
Dies ist noch unklar, im Urteil konnte dies offen bleiben, da die Einwilligung schon von der Konzeption her unwirksam war. Problematisch düften jedenfalls “Einwilligungen” sein, die ganz unterschiedliche Kategorien von Daten betreffen (etwa die Speicherung sensibler personenbezogener Daten “gekoppelt” mit der Zustimmung zur Speicherung der Farbpräferenz für die Darstellung der Webseite).
Kann ich anstelle von Cookies auf andere Technologien setzen, etwa Profiling?
Nein, das ist nicht empfehlenswert. Einerseits spricht die ePrivacy-Richtlinie nicht konkret von Cookies, sondern ist technikneutral. Andererseits kann ein Profiling auch in Hinblick auf die DSGVO Schwierigkeiten aufwerfen. Es sollte insofern nicht ohne konkrete anwaltliche Beratung im Einzelfall eingesetzt werden.
Was müssen wir den Nutzern erläutern?
Das Urteil enthält auch außergewöhnlich klare Vorgaben in Hinblick darauf, welche Informationen die Nutzer bekommen müssen. Erforderlich sind alle Angaben, die zum Verständnis der Speicherung notwendig sind, konkret also:
- Die relevanten Cookies
- Ihre Inhalte (soweit nicht ersichtlich) und Zielrichtung (etwa Marketing, Statistik)
- Die Funktionsweise der Datenverarbeitung
- Angaben zur Speicherdauer
- Angaben dazu, ob die Inhalte mit Dritten geteilt werden (und ggf. mit wem/welchen Kategorien von Empfängern)
Soweit personenbezogene Daten verarbeitet werden, müssen ferner alle nach der DSGVO verpflichtenden Angaben erfolgen!
Warum jetzt? Was haben die ganzen unterschiedlichen Gesetze miteinander zu tun?
Ein Urteil in einer solchen Angelegenheit ließ ohnehin auf sich warten. Anlass der Entscheidung ist ein Vorgehen noch nach der alten Rechtslage, jedoch haben die Gerichte angesichts der zeitlichen Entwicklung glücklicherweise einen Weg gefunden, auch eine Aussage mit Geltung für die Datenschutz-Grundverordnung zu treffen. Die ePrivacy-Richtlinie hätte eigentlich zeitgleich mit Einführung der DSGVO durch ein neues Gesetz ersetzt werden sollen, jedoch ist diese zweite Regelung im politischen Prozess “stecken geblieben”. Insofern haben wir zwei systematisch nicht zusammenpassende Gesetzteswerke. Es ist mir nicht bekannt, wann die neue ePrivacy-Regelung als Folgegesetz zu erwarten ist.
Greift nicht eine deutsche Ausnahme?
Lange Zeit stützten deutsche Juristen eine Abweichung auf die Regelung von § 15 Abs. 3 TMG. Wie das Urteil des EuGH allerdings klarstellt, ist diese Auslegung nicht europarechtskonform; deshalb werden wohl zumindest jetzt auch deutsche Gerichte die Regelung im Licht der Vorgaben des EuGH auslegen und zu ähnlichen Ergebnissen wie dieser kommen müssen.
Darf die Einwilligung mit anderen Einwilligungen gekoppelt werden?
Dies ist weiterhin unklar. Es war im vorliegenden Fall irrelevant und wurde deshalb nicht entschieden.
Wichtiger Hinweis: Dies ist eine verallgemeinernde, vereinfachte Betrachtung, der Text stellt weder Rechtsrat dar noch ersetzt er solchen.