Nachdem der Generalanwalt bereits vor knapp einem Jahr (21. März 2019) seinen Schlussantrag zur datenschutzrechtlichen Zulässigkeit der Verwendung von Cookies abgegeben hatte, entschied der EuGH am 01. Oktober 2019 in der Rechtssache C‑673/17 (Verbraucherzentrale Bundesverband e.V. ./. Planet49 GmbH) wie folgt in seinem Urteil:
Cookies dürfen grundsätzlich nur mit der ausdrücklich erklärten Einwilligung des Nutzers verwendet werden.
Die Aufsichtsbehörde Rheinland-Pfalz hat ausweislich ihres aktuellen Newsletters vom 21.02.2020 https://www.datenschutz.rlp.de/de/newsletter/newsletterarchiv/lfdi-newsletter-nr-1-2020/ (dort unter “Maßnahmen/Sanktionen”) in mehreren Verfahren Websitebetreiber aufgefordert, die Weitergabe von Daten im Rahmen des Einsatzes von Cookies/Trackingverfahren künftig nur noch mit Zustimmung der Websitenutzer vorzunehmen. Dieses gilt insbesondere bei der Nutzung von Google Analytics und Google Remarketing. Der LfDI teilt in seinem Newsletter außerdem mit, dass das in einem ersten Gerichtsverfahren zuständige VG Mainz die Ansicht der Behörde geteilt habe und inzwischen weitere Gerichtsverfahren anhängig seien.
Handlungsempfehlung:
Unternehmen sollten überprüfen, ob
- sie die eingesetzten Tools tatsächlich benötigen/auswerten;
- ob sie die eingesetzten Tools durch solche ersetzen können, die die generierten Daten nicht an Dritte weitergeben;
- sie im Falle des Einsatzes von Google Analytics & Co (= Cookies/Tools, die Daten an Dritte weitergeben) das auf der Website eingesetzte Banner den Vorgaben des EuGH bzw. der Datenschutzkonferenz (DSK) entspricht.
Banner (und derer finden sich weiterhin unzählige im Netz), in denen die Fortsetzung der Nutzung der Website als Einwilligung unterstellt wird und bei denen dann letztlich nur bestätigend ein “OK” anzuklicken ist, entsprechen nicht den Vorgaben des EuGH. Ebensowenig sind Banner ordnungsgemäß, in denen zwar für einzelne Cookiearten jeweils gesondert ein Ankreuzkästchen für die Einwilligung vorgesehen ist, bei denen diese Kästchen jedoch bereits vorangekreuzt sind.Die Einwilligung ist durch das sog. Opt-In einzuholen. Weiterhin sind die Nutzer im Rahmen der Einwilligung hinreichend über die jeweiligen Cookies, also vor allem deren Zweck, sowie ggf. die Weitergabe der erfassten Daten an Dritte und schließlich auch über die Speicherdauer der erfassten Daten, zu informieren.
Nachfolgend noch einige Informationen zu der Frage, für welche Cookies denn nun die ausdrückliche Einwilligung des Websitenutzers einzuholen ist und wann der Einsatz von Cookies einwilligungsfrei sowie was ansonsten hier noch zu berücksichtigen ist:
Für welche Cookie-Arten ist die Einwilligung einzuholen?
Die Einwilligung ist in jedem Fall für sog. Werbe-Cookies, die Daten an Werbepartner oder andere Dritte weitergeben, einzuholen.
Cookies, die zur Nutzung der jeweiligen Website notwendig sind, können weiterhin ohne (informierte) EInwilligung verwendet werden. Deren einwilligungsfreie Rechtmäßigkeit ergibt sich nach zutreffender Ansicht des EuGH aus dem aktuell noch geltenden EU-Recht, der sog. e-Privacy Richtlinie (RL 2002/58 eu). Hier ist dann auch ein Vorankreuzen zulässig.
NIcht ausdrücklich geklärt hat der EuGH jedoch, ob auch solche Cookies, die aufgrund eines berechtigten Interesses des Unternehmens verwendet werden, einer Einwilligung bedürfen. Die Entscheidung hat sich mit solchen Cookies nicht ausdrücklich befasst. Ausweislich des vom EuGH dargestellten Sachverhaltes handelte es sich in dem Fall allein um Werbe-Cookies:
“Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.”
Die Ansichten darüber, welche Cookie-Arten von dem Urteils erfasst werden, gehen daher derzeit sehr weit auseinander. Verbraucherschützer wollen jede Art von Cookies, selbst Funktionscookies, mittels derer der Warenkorb verwaltet oder die Sprache festgelegt werden, von einer Einwilligung abhängig machen. Die gemäßigte Auffassung, die auch ich vertrete, sieht reine Funktionscookies sowie Cookies, die aus anderen Gründen einem gegenüber den Interessen des Nutzers vorrangigen berechtigten Interesse des Unternehmens entspringen und dabei nicht Daten an Werbepartner weitergeben, ebenfalls als nicht einwilligungspflichtig an. Abzulehnen ist die sehr weite Auslegung der Werbewirtschaft, nach der selbst Tracking-Cookies, die Daten an Werbepartner weitergeben, einwilligungsfrei sein sollen, da sie aus berechtigten Interessen des Unternehmens eingesetzt werden.
Wann ist der Einsatz von Cookies nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt – und wann nicht?
Bei der Frage der Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, dem sog. berechtigten Interesse, hat immer eine Abwägung des berechtigten (!) Interessen des Unternehmens mit den Interessen des Nutzers zu erfolgen. Entsprechend wird man ein (vorrangiges) berechtigtes Interesse wohl dann nicht annehmen können, wenn Daten nicht anonymisiert an Dritte weitergegen werden. Und auch bei einer anonymisierten Weitergabe an Dritte ist jedenfalls dann Vorsicht geboten, wenn die Übertragung in ein Nicht-EU/EWR-Land erfolgt. Das ist zum Beispiel bei Weitergabe der anonymisierten IP-Adresse im Rahmen der Verwendung von Google Analytics der Fall. Nach Ansicht der Behörden gibt es zur Erstellung von Statistiken zwecks Optimierung des Werbeauftritts auch andere Tools. Gleiches gilt aus Sicht der Behörden für die Verwendung von Google Maps, sofern ein gleichwertiger Einsatz anderer Tools möglich ist.
Sofern nach den oben genannten Kriterien eine Rechtfertigung für den Einsatz der jeweiligen Cookies zu bejahen ist (also insbes. keine Weitergabe der Daten an Dritte), entfällt die Notwendigkeit der Einwilligung mittels Opt-In. Ich erachte es – wie auch bei den sog. notwendigen bzw. den Funktions-Cookies – für sinnvoll, auch diese Cookie-Arten im Cookie-Banner aufzuführen, um den Verbraucher deutlich und umfassend über den Einsatz der Cookies zu informieren. Allerdings können die entsprechenden Ankreuzkästchen für diese Cookie-Arten vorangekreuzt sein.
Möglichkeit zum WIderruf der Einwilligung – was ist zu beachten?
Es ist im Rahmen der Einholung der Einwilligung außerdem darauf zu achten, dass dem Nutzer der jederzeitige Widerruf seiner Einwilligung ermöglicht wird. Dabei muss der Widerruf ebenso einfach zu erklären sein, wie die vorherige Einwilligung. Es haben sich inzwischen einige Anbieter von entsprechenden Bannertools etabliert, die Ihr IT-Service kennen wird.
Ausblick
Klarheit darüber, welche Cookies unter welchen Voraussetzungen zulässig sind, wird – hoffentlich – die immer noch ausstehende Novellierung der e-Privacy Richtlinie bringen. Die sog. e-Privacy Verordnung (zur Regelung der Verarbeitung elektronischer Kommunikationsdaten, die in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste erfolgt) sollte ursprünglich zeitgleich mit der DSGVO wirksam werden. Allerdings haben sich die Mitgliedstaaten bis heute noch nicht auf eine Fassung einigen können. Mit einer endgültigen Fassung, die dann anders als die e-Privacy Richtlinie nicht durch nationales Recht umgesetzt werden muss, sondern wie die DSGVO direkt gilt, wird nicht vor 2020 gerechnet.
Auf nationaler Ebene ist der deutsche Gesetzgeber nun zunächst damit befasst, das Telemediengesetz zu überarbeiten, um die aktuellen Widersprüche zu den Datenschutzbestimmungen der DSGVO und der e-privacy Richtlinie zu bereinigen.
Aktualisierung Februar 2020: Inzwischen ist wohl wieder Fahrt in Sachen e-privacy Verordnung aufgenommen worden, so dass vielleicht schon für 2021 mit einer gesetzlichen Regelung über den Einsatz von Cookies und Trackingtools gerechnet werden kann – vielleicht.
Das Urteil des EuGH vom 01.10.2019 in der Rechtssache C‑673/17 (Verbraucherzentrale gegen Planet 49) findet sich hier:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
Wie immer gilt: Haben Sie Fragen zu dem obigen Thema oder benötigen Sie Unterstützung bei der Umsetzung der Datenschutzvorschriften, wenden Sie sich gern an mich.
Kathrin-Elisabeth Commandeur
Rechtsanwältin