- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

EuGH macht Vorgaben für Einwilligungen bei Cookies

„Cookies sind künftig nur noch mit Einwilligung zulässig.“ Solche und ähnliche Überschriften konnte man in den letzten Tagen vielfach lesen. Angeblich hat der EuGH das so entschieden. Die Realität ist freilich komplexer, und es lohnt sich, die Entscheidung näher zu betrachten.

Wesentlich zutreffender als manche kurz gefasste Überschrift, die in den letzten Tagen zu lesen war, wäre folgende Zusammenfassung der EuGH-Entscheidung zu Cookies:

„Es gibt Cookies, für die eine Einwilligung nötig ist. Der Europäische Gerichtshof (EuGH) hat jetzt die Messlatte dafür, wann eine wirksame Einwilligung vorliegt, deutlich höher gelegt als bisher üblich. Das hat enorme praktische Bedeutung. Denn ausgerechnet diese Arten von Cookies sind für die Werbung im Internet besonders wichtig.“

Zugegeben, das liest sich ein ganzes Stück weniger plakativ. Dennoch bringt es Sie wesentlich weiter, wenn Sie über den Einsatz von Cookies entscheiden müssen.

Die unstreitige Ausgangslage

Vor allem Betreiber von Onlineshops legen häufig Cookies auf den Rechnern von Besuchern ihrer Webseiten ab. Wer dies tut, braucht dafür eine Rechtsgrundlage. Daran bestand nie ein Zweifel.

Sollen solche Cookies Werbemaßnahmen vorbereiten, bleibt als einzige mögliche Rechtsgrundlage eine Einwilligung – einfach deshalb, weil andere Rechtsgrundlagen dafür nicht passen. Auch dies hat nie jemand ernsthaft bezweifelt.

Zwei Kern-Zweifelsfragen

Zweifel gab es nur im Hinblick auf zwei Aspekte:

Genau diese beiden Fragen hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof gestellt.

Eine ergänzende dritte Zweifelsfrage

Ergänzt hat er sie noch um die weitere Frage, welche Informationen der Nutzer erhalten muss, auf dessen Rechner ein Cookie abgelegt wird.

Insbesondere fragt der BGH danach, ob der Nutzer auch über die Funktionsdauer des Cookies informiert werden muss und darüber, ob Dritte Zugriff auf das Cookie erhalten.

Dritte wären dabei alle, die das Cookie zwar nicht selbst abgelegt haben, aber Daten erhalten, die es gespeichert hat.

Wann eine Einwilligung nötig ist, damit ein Cookie auf einem Rechner abgelegt werden darf, war also gar nicht Gegenstand des Verfahrens vor dem EuGH.

Doch die drei Fragen, die der BGH gestellt hat, sind auch so brisant genug.

Was verstehen EuGH und BGH unter „Cookie“?

Der Begriff „Cookie“ hat keinen gesetzlich definierten Inhalt. Deshalb ist es durchaus interessant, was der EuGH darunter versteht.

Er stützt sich dabei auf das, was der BGH festgehalten hat, und definiert den Begriff „Cookie“ wie folgt (siehe Rn. 31 der Entscheidung):

Cookies sind „Textdateien, die der Anbieter einer Webseite auf dem Computer des Nutzers der Webseite speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.“

Vermeidung beliebter Irrtümer

Diese Definition ist vor allem deshalb wichtig, weil BGH und EuGH damit zwei Aussagen vermeiden, die vor allem in deutschen Beiträgen zu dem Thema häufig sind:

Drei maßgebliche europäische Rechtsquellen

Für die Entscheidung der Fragen, die der BGH dem EuGH vorgelegt hat, spielen gleich drei europäische Rechtsquellen eine Rolle. Dies sind

Das liegt daran, dass die letzte mündliche Verhandlung vor dem BGH im vorliegenden Fall am 14.7.2017 stattfand und dass die Vorlagefragen des BGH beim EuGH am 30. November 2017 eingingen.

Danach hat die DSGVO mit Wirkung vom 25. Mai 2018 die EG-Datenschutzrichtlinie von 1995 aufgehoben (siehe Art. 94 Abs. 1 DSGVO).

Die Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009 blieb dagegen neben der DSGVO bestehen (siehe Art. 95 DSGVO).

Vergleich von bisheriger und jetziger Rechtslage

Für den EuGH ist damit klar, dass jedenfalls die Datenschutzrichtlinie für elektronische Kommunikation im vorliegenden Fall noch eine Rolle spielt. Ob daneben noch die EG-Datenschutzrichtlinie von 1995 oder die DSGVO anzuwenden ist, hält er dagegen für offen.

Er kümmert sich darum auch nicht weiter, sondern beantwortet die Fragen des BGH stattdessen sowohl auf der Grundlage der EG-Datenschutzrichtlinie als auch auf der Grundlage der DSGVO.

Gerade dies macht seine Antworten besonders interessant. Denn daraus ergibt sich automatisch ein Vergleich zwischen der bisherigen und der jetzigen Rechtslage.

Würde er die Fragen dagegen nur auf der Basis der EG-Datenschutzrichtlinie von 1995 beantworten, bliebe immer noch die Unsicherheit, ob die DSGVO zu einem anderen Ergebnis führen würde.

Sachverhalt der EuGH-Entscheidung

Der Entscheidung liegt folgender Sachverhalt zugrunde:

Ausgangspunkt war ein „Gewinnspiel zu Werbezwecken“. Es ging also um eines der häufigen Gewinnspiele, bei denen es aus der Sicht des Nutzers darum geht, etwas zu gewinnen.

Aus der Sicht des Veranstalters solcher Gewinnspiele geht es dagegen in erster Linie darum, Daten der Nutzer für Werbezwecke einzusammeln und sie an interessierte Kooperationspartner weiterzugeben.

Der EuGH beschreibt den Ablauf des Gewinnspiels wie folgt (siehe zu weiteren Details Rn. 26-30 der Entscheidung):

(1) Eingabe von Grunddaten

(2) Zwei Hinweistexte unter dem Adressfeld

(3) Erster Hinweistext

(4) Zweiter Hinweistext

(5) Voraussetzung für die Teilnahme am Spiel

Frage 1: wirksame Einwilligung in Cookies bei „voreingestelltem Häkchen“?

Zunächst befasst sich der EuGH mit der Frage, ob beim zweiten Kästchen (das Kästchen mit dem „voreingestellten Häkchen“) von einer wirksamen Einwilligung [3] des Nutzers auszugehen ist.

Diese Frage verneint das Gericht. Ein solches Kästchen führt also nicht zu einer wirksamen Einwilligung.

Das Gericht begründet dies wie folgt:

(1) Aspekte der Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009

(2) Aspekte der EG-Datenschutzrichtlinie von 1995

(3) Aspekte der DSGVO

Ergebnis: keine wirksame Einwilligung

Insgesamt kommt der EuGH zu dem Ergebnis, dass keine wirksame Einwilligung vorliegt, wenn der Nutzer erst ein Häkchen aus einem voreingestellten Ankreuzkästchen entfernen muss, um seine Einwilligung zu verweigern.

Frage 2: Relevanz des Personenbezugs oder nicht?

Nun wendet sich der EuGH der Frage zu, ob es zu unterschiedlichen Ergebnissen führt, wenn ein Cookie personenbezogene Daten sammelt oder wenn es dies nicht tut und sich auf nicht personenbezogene Daten beschränkt.

Im konkreten Fall steht fest, dass die Cookies personenbezogene Daten sammeln. Dennoch beschränkt sich der EuGH nicht auf dieser Fallvariante, sondern gibt eine generelle Antwort.

Sie lautet wie folgt:

Ergebnis: Irrelevanz des Personenbezugs

Im Ergebnis lehnt es der EuGH also ab, den Schutz durch die Datenschutzrichtlinie für elektronische Kommunikation von 2002/2009 auf personenbezogene Daten zu begrenzen.

Er ist der Auffassung, dass Nutzer elektronischer Kommunikationsnetze vielmehr umfassender geschützt werden müssen und dass alle Daten schützenswert sind, die auf ihren Endgeräten gespeichert sind.

Damit will das Gericht wohl Manipulationsmöglichkeiten ausschließen. Sie bestünden darin, dass Daten, die für sich genommen nicht personenbezogen sind, durch spätere Verarbeitungsschritte so verknüpft werden, dass letztlich doch ein Personenbezug entsteht.

Frage 3: Informationspflichten beim Einsatz von Cookies

Zur abschließenden dritten Frage („Welche Informationen muss ein Nutzer erhalten, wenn auf seinem Rechner ein Cookie abgelegt wird?“) äußert sich der EuGH relativ kurz und knapp:

Große Auswirkungen auf Werbemaßnahmen

Die Auswirkungen der Entscheidung auf Werbemaßnahmen im Internet ist kaum zu überschätzen.

Die Zeiten, in denen einem Nutzer eine Einwilligung durch voreingestellte Kreuzchen oder Häkchen letztlich „untergejubelt“ werden konnte, sind vorbei.

Wer auf eine Einwilligung angewiesen ist, muss sie sich vom Nutzer durch ein aktives Handeln erteilen lassen. Das kann beispielsweise dadurch geschehen, dass der Nutzer ein entsprechendes Kreuzchen oder Häkchen aktiv anbringt.

Dies hört sich harmlos an, versetzt aber Teile der Wirtschaft in helle Aufregung. Der Grund ist einfach: Ist ein voreingestelltes Kreuzchen oder Häkchen vorhanden, entfernen es allenfalls 10 % oder 20 % der Nutzer. Ist es dagegen notwendig, ein Kreuzchen oder Häkchen aktiv anzubringen, tun dies allenfalls 10 % oder 20 % der Nutzer – ein gewaltiger Unterschied!

Keine Relevanz für „Warenkorb-Cookies“ & Co.

Nicht berührt von der EuGH-Entscheidung sind Cookies, für die es eine andere Rechtsgrundlage als die Einwilligung gibt.

So lässt sich beispielsweise ein Warenkorb in einem Onlineshop normalerweise nicht sinnvoll nutzen, ohne dass für die Dauer des Bestellvorgangs ein Cookie abgelegt wird.

Dafür braucht es jedoch keine Einwilligung des Nutzers. Denn anders kann ihm diese Funktion nicht angeboten werden.

Und dann gehört ihr Einsatz zu den vorvertraglichen Maßnahmen, die eine gesetzliche Rechtsgrundlage in Art. 6 Unterabsatz 1 Abs. 1 Buchstabe b DSGVO haben.

Wer also Cookies außerhalb von Werbemaßnahmen einsetzt, sollte die Entscheidung besonders genau prüfen.

Mit hoher Wahrscheinlichkeit hat sie für „seine Cookies“ überhaupt keine Bedeutung.

Der Volltext des Urteils des EuGH vom 1. Oktober 2019-C-673/17 ist auf der amtlichen Seite des EuGH abrufbar unter http://curia.europa.eu/juris/document/document.jsf;jsessionid=6EBA9974A7706C6402370889290523F4?text=&docid=218462&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=934300 [4].

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.