“Das Urteil des EuGH dürf­te vor allem für die Wer­be­bran­che im Inter­net in höchs­tem Maße rele­vant sein und enor­me Aus­wir­kun­gen sowohl auf Website-Betreiber als auch auf Anbie­ter von Track­ing­diens­ten haben.” – Eileen Binder

Kon­kret äußern sich die Rich­ter in ihrem Urteil (hier geht es zum Text des Urteils auf der Sei­te des Gerichts­hofs der Euro­päi­schen Uni­on) dazu, ob ein vor­ausge­wähl­tes Ankreuz­käst­chen einer Ein­wil­li­gung gleich­steht, ob es einen Unter­schied hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie dem Set­zen von und dem Zugriff auf Coo­kies gibt und wel­che Infor­ma­tio­nen dem Nut­zer einer Web­site beim Ein­satz von Coo­kies zu  ertei­len sind.

Vor­ein­ge­stell­te Ein­wil­li­gung ist unzulässig

Die wohl inter­es­san­tes­te Ent­schei­dung fiel hin­sicht­lich der Fra­ge, ob eine Ein­wil­li­gung wirk­sam erteilt sei, wenn das Ankreuz­käst­chen vor­ausge­wählt ist. Um die Ein­wil­li­gung abzu­leh­nen, muss der Nut­zer aktiv wer­den und das Häk­chen selbst­stän­dig abwählen.

Der EuGH ent­schied nun, dass vor­ausge­wähl­te Ankreuz­käst­chen nicht zuläs­sig sind, um eine wirk­sa­me Ein­wil­li­gung ein­zu­ho­len. Es müs­se viel­mehr eine akti­ve Hand­lung des Nut­zers vor­aus­ge­hen, um in eine Daten­ver­ar­bei­tung einzuwilligen.

Die Ent­schei­dung trifft vor allem Cookie-Banner. Die über­wie­gen­de Zahl an Website-Betreibern weist in einem Cookie-Banner dar­auf hin, dass Coo­kies ein­ge­setzt wer­den. Meist kön­nen die Ban­ner über einen ein­fa­chen Klick auf „OK“ oder „Ver­stan­den“ vom Nut­zer weg­ge­klickt wer­den. Die­se Cookie-Banner sind nach Mei­nung des EuGH unge­nü­gend und erfül­len nicht die Anfor­de­ru­negn an die Ein­ho­lung einer wirk­sa­men Einwilligung.

Das Urteil been­det den deut­schen Son­der­weg über das TMG 

Mit den Ent­schei­dun­gen hat der EuGH den von Deutsch­land bis­her gegan­ge­nen Son­der­weg gekippt. Das Euro­pa­recht kennt die akti­ve Ein­wil­li­gung über ein bewuss­tes Opt-In als Vor­aus­set­zung für den Ein­satz von Coo­kies schon län­ger (Cookie-Richtlinie 2002/58/EG in der Fas­sung 2009/136/EG) und auch Erwä­gungs­grund 32 zur DSGVO geht von einer akti­ven Hand­lung des Nut­zers als Vor­aus­set­zung aus. Vie­le deut­sche Website-Betreiber ori­en­tier­ten sich dage­gen bis­lang am Tele­me­di­en­ge­setz (TMG), wel­ches gera­de im Gegen­teil eine Opt-Out-Lösung (Wider­spruchs­lö­sung) zulässt. Hin­ter­grund hier­für ist, dass in Deutsch­land die euro­päi­sche Cookie-Richtlinie nie umge­setzt wur­de, da die Rechts­auf­fas­sung ver­tre­ten wird, durch das TMG sei bereits eine ent­spre­chen­de Umset­zung erfolgt. In der Kon­se­quenz wird der BGH wohl das TMG für nicht anwend­bar erklären.

Anfor­de­run­gen an die Kon­kret­heit der Ein­wil­li­gung bleibt offen

Unklar bleibt indes wei­ter­hin, ob die Ein­wil­li­gung für jeden Cookie-Anbieter ein­ge­holt wer­den muss. Alter­na­tiv kommt eine Ein­wil­li­gung in die der­zeit viel­fach umge­setz­te Zusam­men­fas­sung von Cookie-Gruppen in Betracht („Sta­tis­tik“, „Mar­ke­ting“, „Per­for­mance“, etc.). Klar dürf­te nach dem Urteil jedoch sein, dass auch Grup­pen von Coo­kies nicht vor­an­ge­kreuzt sein dürfen.

Unter­schied hin­sicht­lich der Verarbeitung

Eine wei­te­re vom BGH vor­ge­leg­te Fra­ge lau­te­te, ob es einen Unter­schied mache, ob durch den Ein­satz eines Coo­kies per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den oder (aus­schließ­lich) anony­me Daten. Die Rich­ter ver­nein­ten einen Unter­schied. Die der­zeit gel­ten­den Regel­wer­ke zum Schut­ze per­so­nen­be­zo­ge­ner Daten (Cookie-Richtlinie, altes Daten­schutz­ge­setz und DSGVO) sei­en alle ein­heit­lich aus­zu­le­gen. Danach ste­he der Schutz der Pri­vat­sphä­re des ein­zel­nen Nut­zers im Mit­tel­punkt. Für die­sen Schutz kom­me es jedoch gera­de nicht dar­auf an, wel­cher Art die ver­ar­bei­te­ten Daten sei­en. Mit die­ser Ent­schei­dung woll­ten die Rich­ter wohl das Miss­brauchs­ri­si­ko ein­däm­men, dass Webe­trei­ben­de anony­me / pseud­ony­me Daten so ver­knüp­fen, dass spä­ter doch ein Per­so­nen­be­zug her­stell­bar ist.

Erfül­lung der Informationspflichten

Im Zuge des Urteils sind Web­site­be­trei­ber nun noch­mals ange­hal­ten auch ihren Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO kor­rekt nach­zu­kom­men. Wur­de in der Daten­schutz­er­klä­rung bis­her nur ober­fläch­lich fest­ge­stellt, dass Coo­kies auf der Web­site zum Ein­satz kom­men, muss die Erklä­rung nun um Anga­ben zur Funk­ti­ons­dau­er der Coo­kies und um Zugriffs­kom­pe­ten­zen Drit­ter auf die Coo­kies ergänzt werden.

Aus­nah­me wer­be­freie Cookies

Bei aller kaum zu über­schät­zen­der Aus­wir­kung des Urteils dür­fen Website-Betreiber im Vor­teil sein, die ledig­lich tech­nisch not­wen­di­ge Coo­kies wie Consent-Cookies  oder Warenkorb-Cookies auf ihrer Web­site ein­set­zen. Auf die­se Coo­kies ist das Urteil nicht anwend­bar, als Rechts­grund­la­ge kommt hier wei­ter­hin das berech­tig­te Inter­es­se nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.

Fazit

Das Urteil des EuGH dürf­te vor allem für die Wer­be­bran­che im Inter­net in höchs­tem Maße rele­vant sein und enor­me Aus­wir­kun­gen sowohl auf Website-Betreiber als auch auf Anbie­ter von Track­ing­diens­ten haben. Ver­ant­wort­li­che Stel­len, die über den Ein­satz von Coo­kies indi­vi­dua­li­sier­te Wer­bung schal­ten oder über ein Track­ing die Nut­zun­gen ver­fol­gen, sind ange­hal­ten kurz­fris­tig mit der Anpas­sung ihrer Web­site auf die Ergeb­nis­se des Urteils zu begin­nen. Hier gilt es nun rasch pra­xis­taug­li­che Lösun­gen zu fin­den. Neben der Anpas­sung des Cookie-Banners und der Ein­ho­lung einer Ein­wil­li­gung der Nut­zer, muss auch die Daten­schutz­er­klä­rung geprüft und mög­li­cher­wei­se ange­passt werden.