News Recht & Datenschutz

Update: EuGH Urteil „Planet49“, Az. C 673/17

Einleitung

Der deutsche Bundesverband der Verbraucherverbände wendete sich vor den deutschen Gerichten dagegen, dass die Planet49GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49GmbH. Der Bundesgerichtshof ersuchte daraufhin den EuGH um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation. Mit seinem Urteil entschied der EuGH, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wurde.

Worum geht es genau?

Bei dem aktuellen Urteil des EuGH (Pressemitteilung) geht es um die Klage der Verbraucherzentrale Bundesverband (vzbv) gegen das Unternehmen „planet49″, das im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte.

Im konkreten Verfahren vor dem EuGH ging es vor allem darum, dass sich der Betreiber der Website in Form von Hinweistexten das Recht einräumen ließ, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das entsprechende Auswahlkästchen war bereits vorangekreuzt. Erst mit einem zusätzlichen Klick konnten Nutzer die Zustimmung widerrufen

Der vzbv klagte aufgrund des vorangehakten Kontrollkästchen für Cookies und bekam jetzt vor dem EuGH recht.

Was wurde vom EuGH zur Einwilligungspflicht entschieden?

Der EuGH urteilte, soweit nichts neues, dass Einwilligungen klar, für den konkreten Fall aktiv und ohne jeden Zweifel erteilt werden müssen (Art. 4 Nr. 11 DSGVO). Das Entfernen eines voreingestellten Hakens in einem Kontrollkästchens stellt keine wirksame Einwilligungshandlung dar.

Bereits im März hat der Generalanwalt Maciej Szpunar in dieser Rechtssache seinen Schlussantrag veröffentlicht und vertrat die Auffassung, dass für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analysezwecken), eine Einwilligung des Nutzers erforderlich sei.

Nach Ansicht des Generalanwalts ist die zitierte zweite, „vorangekreuzte“ Einwilligung sowohl nach alter wie auch nach neuer Rechtslage aus drei Gründen unwirksam, denn:

• Die Einwilligung wurde nicht aktiv erteilt, da – anders als etwa bei dem Setzen eines Häkchens – objektiv nicht nachvollzogen werden könne, dass der Nutzer aktiv zugestimmt habe.
• die Einwilligung wurde nicht gesondert erteilt, da sie einen Teil der Handlung „Teilnahme am Gewinnspiel“ darstelle. Das Setzen oder Entfernen des Häkchens sei lediglich als vorbereitende Handlung für die eigentlich bindende Handlung (die Gewinnspielteilnahme) zu verstehen.
• Darüber hinaus mangele es an der Informiertheit der Einwilligung. Die Teilnahme am Gewinnspiel sei zwar auch ohne Ankreuzen der zweiten Einwilligung möglich gewesen, hierüber sei aber nicht ausreichend informiert worden

Was bedeutet das für die Cookie-Nutzung bzw. Cookie-Banner?

Das Urteil des EuGH und den darin gestellten Anforderungen bedeutet auch, dass die bislang häufig verwendeten Cookie-Banner mit der Aufschrift „Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” nicht ausreichend sind. Ein einfaches "Wegklicken" oder stehen lassen (Weiternutzen der Website), genügt damit nicht mehr und ist nicht für eine Einwilligung ausreichend. Dies stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar.

Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich.

Wann handelt es sich um notwendige Cookies?

Der EuGH hat sich ausschließlich mit einer offensichtlichen Fallgestaltung des Art. 5 Abs. 3 S. 1 der EU-DS-RiLi für elektronische Kommunikation befasst und diesen geprüft. In Art. 5 Abs. 3 S. 2 heißt es:

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, […]wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Dies bedeutet wie gesagt, dass der Einsatz unbedingt erforderlicher Cookies keiner Einwilligung der Nutzer bedarf.

Wann dies der Fall ist lässt sich der Regelung nicht eindeutig entnehmen. In jedem Fall dürften folgende Cookie-Arten darunter fallen:

• Warenkorb-Cookies eines Onlineshops,
• der Login-Status oder etws
• die getroffene Sprachauswahl auf einer Website.

Session- und Warenkorb-Cookies werden wohl ohne großen Streit als unbedingt erforderlich einzuordnen sein. Schwieriger wird es aber bereits mit einfachen Analyse-Cookies, um die Besucherströme auf Webseiten und Applikationen nachvollziehen und damit die Angebote entsprechend optimieren zu können. Ein Personenbezug oder auch nur eine Personenbeziehbarkeit ist für solche Analysen nicht notwendig. Hierfür gibt es vermutlich gute Gründe, dass eben solche Analysemöglichkeiten „unbedingt erforderlich [sind], damit der Anbieter eines Dienstes […] diesen Dienst zur Verfügung stellen kann“. Kann ein Anbieter nicht nachvollziehen, was die Kunden wünschen, so kann er auch nicht wissen, welche Produkte oder Dienstleistungen er an welchem „Ort“ seines Onlineshops platzieren soll. Dies dürfte für den Nutzer des Onlineshops ebenfalls vorteilhaft sein, wenn der Nutzer attraktive Produkte leichter sehen und finden kann – als Ergebnis einer solchen Analyse.

Cookies für Zwecke des Marketing oder der Erstellung von Statistiken werden jedoch eindeutig als nicht unbedingt erforderlich betrachtet. In diesen Fällen muss eine informierte Einwilligung der Nutzer vor dem Einsatz eingeholt werden, denn diese sind schlicht nicht erforderlich, um beispielsweise einen Dienst im vorgenannten Sinne zu erbringen.

Ausblick – ePrivacy-Verordnung

Mit seinem Urteil ist der EuGH nun der ePrivacy-Verordnung (VO) zuvorgekommen. Es bleibt abzuwarten, ob es nun zu einer baldigen Verabschiedung der ePrivacy-Verordnung kommt. Alleine aus Gründen der Regelungsbedürftigkeit dieses harten Kurses des EuGH und einem damit verbundenen Interesse an Rechtsklarheit dürfte dies wünschenswert sein.

Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.