|

Keine vorangekreuzte Cookie-Einwilligung

Der Europäische Gerichtshof entschied am 01.10.2019, dass eine vorangekreuzte Einwilligung zum Setzen von Cookies nicht wirksam sei. Dafür sei ein aktives Tätigwerden durch den Internetnutzer erforderlich.

Wie muss eine Cookie-Einwilligung gestaltet sein?

Beklagte war die Betreiberin einer Internetseite; Kläger der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete über ihre Webseite ein Gewinnspiel zu Werbezwecken. Um daran teilnehmen zu können, mussten die Internetnutzer ihre Postleitzahl eingeben. Daraufhin wurde eine Internetseite mit Eingabefeldern für Name und Adresse angezeigt. Unter den Adressfeldern befanden sich zwei mit Ankreuzkästchen versehene Hinweistexte. Der erste Hinweistext, dessen Kästchen nicht vorangekreuzt war, beinhaltete eine Einverständniserklärung, von Werbepartnern per Post, Telefon und E-Mail-Werbung zu erhalten. Zudem war eine Liste von 57 Werbepartnern verlinkt. Der zweite Hinweistext war bereits vorangekreuzt. Er enthielt eine Einverständniserklärung zum Einsatz des Webanalysedienstes Remintrex. Das hatte zur Folge, dass Cookies gesetzt werden konnten, die eine Auswertung des Surf- und Nutzungsverhalten des Teilnehmers auf Websites der Werbepartner ermöglichte. Mit der Einverständniserklärung war auch eine Erläuterung zum Cookie-Einsatz verlinkt. Die Cookies sollten eine bestimmte, zufallsgenerierte Nummer (ID) erhalten, welche den Registrierungsdaten des Nutzers zugeordnet werden, wenn er sich mit Namen und Adresse in das bereitgestellte Webformular einträgt. Mit dieser ID sollte der Besuch des Nutzers auf den Seiten der registrierten Werbepartners erfasst werden und auch, für welches Produkt er sich interessiert und ob es zu einem Vertragsschluss kommt. Der voreingestellte Haken konnte händisch entfernt werden. Die Teilnahme am Gewinnspiel war im Übrigen nur möglich, wenn zumindest das Häkchen im ersten Ankreuzkästchen gesetzt wurde. Der Kläger mahnte die Beklagte ab und verlangte ein Unterlassen. Der Rechtsstreit landete schließlich vor dem Bundesgerichtshof. Dieser setzte das Verfahren aus und legte dem EuGH verschiedene Auslegungsfragen zur Datenschutzrichtlinie (Richtlinie 95/46) zur Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58) sowie zur DSGVO (Verordnung 2016/679) vor.

Einwilligung nach Art. 5 Abs. 3 Richtlinie 2002/58

Der Europäische Gerichtshof wies zunächst darauf hin, dass über Art. 5 Abs.3 der Datenschutzrichtlinie für elektronische Kommunikation (2002/58) die Mitgliedstaaten dazu verpflichtet seien, die Speicherung von oder den Zugriff auf Nutzerinformationen nur durch eine auf klaren und umfassenden Informationen basierende Einwilligung zuzulassen. Die Richtlinie enthalte allerdings keine Angaben dazu, wie die Einwilligung zu geben sei. Daher sei das Wort „Einwilligung“ näher auszulegen. Einwilligung sei „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der der Betroffene akzeptiert, dass seine personenbezogenen Daten verarbeitet werden“. Das Erfordernis einer Willensbekundung deute gerade auf ein aktives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt werde, impliziere aber gerade kein aktives Nutzerverhalten.

Einwilligung im Sinne der Richtlinie (95/46/EG)

Bei einer Einwilligung im Sinne der Datenschutzrichtlinie (95/46/EG) komme es darauf an, ob diese „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt“ sei, so das Gericht. Das Erfordernis einer „Willensbekundung“ des Betroffenen deute klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt werde, impliziere aber gerade kein aktives Verhalten. Zudem setze die Richtlinie (95/46/EG) voraus, dass die Einwilligung „ohne jeden Zweifel“ von der betroffenen Person gegeben wird. Diesem Erfordernis könne aber nur ein aktives Verhalten genügen.

Einwilligung im Sinne der Verordnung 2016/679

Spätestens nach Zugrundelegung der DSGVO (Verordnung 2016/679) sah der EuGH ein aktives Handeln für geboten. In Art. 4 Nr.11 der DSGVO verlange der Ausdruck „Einwilligung der betroffenen Person“ eine „freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegebene Willensbekundung in Form einer Erklärung oder „einer sonstigen eindeutigen bestätigenden Handlung“, in der ihr Einverständnis mit der Verarbeitung ihrer personenbezogenen Daten zum Ausdruck komme. Hier sei nunmehr ausdrücklich eine aktive Einwilligung erforderlich. Nach dem 32. Erwägungsgrund der Verordnung könne die Einwilligung u.a. durch Anklicken eines Kästchens beim Besuch einer Internetseite zum Ausdruck kommen. Dagegen sei ausdrücklich ausgeschlossen, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen.

Aktive Einwilligung erforderlich

Der EuGH kam nach Abwägung aller Argumente zu dem Schluss, dass keine wirksame Einwilligung bei der Informationsspeicherung aufgrund eines voreingestelltes Ankreuzkästchen erlaubt sei.

Speicherung personenbezogener Daten ist zweitrangig

Der EuGH entschied weiterhin, dass es keine Rolle spiele, ob von der Speicherung personenbezogene Daten betroffen seien oder nicht. Das Einwilligungserfordernis solle den Nutzer vor jeden Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen seien. Diese Auslegung werde durch den 24. Erwägungsgrund der Richtlinie 2002/58 bestätigt. Danach seien die in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherte Informationen Teil der Privatsphäre, die dem Schutz der Europäischen Menschenrechtskonvention unterliegt. Dieser Schutz erstrecke sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt. Insbesondere erfasse der Schutz „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.

Notwendige Cookie-Informationen

Schließlich befasste sich der EuGH mit der Frage, welche Cookie-Informationen der Diensteanbieter an die Nutzer zu geben habe. Art. 5 Abs.3 der Richtlinie 2002/58 verlange, dass der Nutzer aufgrund einer klaren und umfassenden Informationen seine Einwilligung geben könne. Er müsse also durch verständliche und detaillierte Informationen in die Lage versetzt werden, die Funktionsweise der Cookies zu verstehen, um seine Einwilligung in voller Kenntnis der Sachlage zu erteilen. Dazu gehören zum einen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können. Nach Art. 10 der Richtlinie 95/46 seien weiterhin Angaben zur Identität des für die Verarbeitung Verantwortlichen, dem Zweck der Datenverarbeitung sowie zu Empfänger oder Kategorien der Datenempfänger zu machen.

Informationen zur Dauer der Datenverarbeitung

Zwar zähle dazu nicht die Dauer der Datenverarbeitung, so das Gericht abschließend. Jedoch gehe aus dem Wort „zumindest“ in Art. 10 der Richtlinie 95/46 hervor, dass die Aufzählung nicht abschließend sei. Die Information über die Funktionsdauer der Cookies stehe im Einklang mit dem aufgestellten Erfordernis einer Verarbeitung nach Treu und Glauben. Denn die vorliegende Situation impliziere eine lange oder unbegrenzte Funktionsdauer, sodass zahlreiche Informationen über die Nutzungsgewohnheiten und die Besuchshäufigkeit auf den Websites der Kooperations-Werbepartner gesammelt werden.

Europäischer Gerichtshof, Urteil vom 01.10.2019, Az. C 673/17