11.04.2019Fachbeitrag

Neuigkeiten zum Datenschutzrecht

Ist die Verwendung von Cookies nur mit ausdrücklicher Einwilligung zulässig?

Seit Jahren werden die rechtlichen Anforderungen an den Datenschutz erhöht. Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und in Bezug auf Cookies wird der Datenschutz durch die derzeit noch im Gesetzgebungsverfahren befindlichen Regelungen der E-Privacy-Verordnung ergänzt. Darüber hinaus ist seit dem 21. März 2019 absehbar, dass sich die Anforderungen, die für einen rechtskonformen Umgang mit Cookies einzuhalten sind, verschärfen werden. An diesem Tag hat der Generalanwalt am Europäischen Gerichtshof (EuGH) in einem vom Bundesgerichtshof (BGH) initiierten Vorlageverfahren seine Schlussanträge gestellt. In den Schlussanträgen spricht sich der Generalanwalt dafür aus, eine wirksame Einwilligung in die Verwendung von Cookies auf Webseiten an erheblich strengere Voraussetzungen zu knüpfen.

Welche Anforderungen nach der Rechtsauffassung des Generalanwalts auf Webseitenbetreiber zukommen, zeigen wir im Folgenden:

Ausgangslage

Webseiten nutzen Cookies – zum Teil um die Nutzbarkeit der Webseite zu gewährleisten und zum Teil, um Informationen über den Nutzer zu gewinnen. Cookies können zudem anhand ihrer Lebensdauer (Sessions-Cookies oder persistente Cookies), der Anwender der Cookies (Erstanbieter-Cookies oder Drittanbieter-Cookies) oder anhand einer Vielzahl anderer Merkmale unterschieden werden. Die Verwendung von Cookies ist seit der Geltung der sog. Cookie-Richtlinie – abgesehen von einer eng begrenzten Ausnahme – nur zulässig, wenn der Nutzer ausdrücklich einwilligt, nachdem er klare und umfassende Informationen über die Zwecke der Verarbeitung erhalten hat (sog. „informed opt-in-Verfahren“). Obwohl eine Umsetzung der Cookie-Richtlinie in deutsches Recht erforderlich gewesen wäre, wurden hierzulande bisher jedoch keine Umsetzungsakte vorgenommen. Die Regelungen des Telemediengesetzes (TMG), zu denen teilweise vertreten wird, dass sie die Vorgaben der Cookie-Richtlinie erfüllen, sehen aber bis heute nicht vor, dass die zulässige Verwendung der Cookies von einer Einwilligung des Nutzers abhängt. Der BGH hat daher dem EuGH mehrere Rechtsfragen im Zusammenhang mit der Einwilligung zur Cookie-Verwendung vorgelegt (BGH, Beschluss vom 5. Oktober 2017 zu dem Az.: I ZR 7/16). In dem Vorlageverfahren hat der Generalanwalt nun seine zuvor in Bezug genommenen Schlussanträge gestellt, denen für das Urteil des EuGH eine ganz erhebliche Indizwirkung zukommt, da der EuGH in der Regel den Schlussanträgen folgt.

Und welche Vorgaben macht der Generalanwalt dem Webseitenbetreiber in seinen Schlussanträgen?

Der Generalanwalt nahm in seinen Schlussanträgen den Standpunkt ein, dass die Verwendung der Cookies (einschließlich der Cookies von Drittanbietern) in der Regel nur dann zulässig ist, wenn der Nutzer zuvor seine Einwilligung zur Verwendung erteilt hat. Keine wirksame Einwilligung in die Verwendung soll es – nach Ansicht des Generalanwaltes – hingegen darstellen, wenn diese durch ein vorangekreuztes Kästchen vorgenommen wird. Eine wirksame Einwilligung, die nach Ansicht des Generalanwaltes vor allem freiwillig und informiert zu erfolgen hat, wollte der Generalanwalt unter diesen Voraussetzungen nicht mehr annehmen, da der Nutzer durch das Abwählen des vorausgefüllten Kästchens aktiv werden muss, um die Einwilligung zu verweigern.

Des Weiteren äußerte der Generalanwalt in seinen Schlussanträgen Bedenken, ob die Einwilligung in das Verwenden der Cookies wirksamer Weise mit anderen Willenserklärungen des Nutzers verbunden werden darf. Im konkret zu entscheidenden Fall war die Einwilligung in die Verwendung der Cookies an die Teilnahme an einem Gewinnspiel geknüpft und der Generalanwalt äußerte Sympathien dafür, dass jede weitere Willenserklärung sowie die Einwilligung in die Verwendung gesondert einzuholen ist.

Und zählen die Vorgaben nur für personenbezogene Daten?

Weiterhin spricht sich der Generalanwalt für eine erhebliche Erweiterung des Anwendungsbereichs aus, indem er dafür plädiert, nicht zu unterscheiden, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Diese Sichtweise begründet der Generalanwalt insbesondere damit, dass Art. 5 Abs. 3 der Cookie- Richtlinie auf den allgemeinen Schutz des Nutzers vor Eingriffen in seine Privatsphäre abzielt. Ob es sich dabei um personenbezogene Daten im Sinne der DSGVO handelt, sei nicht ausschlaggebend, da alle vom Nutzer gespeicherten Daten einen den Datenschutz betreffenden Bezug aufweisen. Die Begrenzung durch den Anwendungsbereich des Telemediengesetzes (TMG), der das Vorliegen von personenbezogenen Daten voraussetzt, stelle nach Ansicht des Generalanwalts eine unvollständige Umsetzung der europarechtlichen Vorgaben dar.

Klare und umfassende Information des Nutzers

Schließlich stellt der Generalanwalt darauf ab, dass der Nutzer der Webseite gemäß Art. 13 und 14 DSGVO bereits vor der Datenverarbeitung durch die Cookies umfassend über die Verarbeitungsmodalitäten zu informieren ist. Dabei hält der Generalanwalt fest, dass die Informationspflicht bei der Verwendung von Cookies seiner Ansicht nach u.a. auch die Aufklärung über die Funktionsdauer der Cookies und die Weiterleitung der gespeicherten Daten an Dritte umfasst und gibt insbesondere auch zu verstehen, dass er der Information, wie lange der Cookie vorgehalten werde, eine besondere Bedeutung für den Nutzer beimisst. Nur wenn dem Nutzer die Speicherdauer und darüber hinaus auch die Speicherzwecke bekannt sind, kann er die Angemessenheit der Speicherung beurteilen. Auch die Identität von Dritten, die Zugriff auf die erlangten Informationen haben, soll nach Ansicht des Generalanwalts für die Entscheidung über die Erteilung einer Einwilligung eine zentrale Bedeutung zukommen, sodass für die wirksame Erteilung einer Einwilligung ebenfalls darüber aufzuklären ist.

Fazit und Handlungsempfehlung

Die ganz überwiegende Anzahl der Webseiten nutzt Cookies. Zum einen sind Cookies für die Bereitstellung der Webseite erforderlich und steigern die Nutzerfreundlichkeit. Zum anderen werden Cookies vor allem im Bereich des Marketings als Messinstruments eingesetzt.

Die zulässige Verwendung von Cookies durch den Webseitenbetreiber wird voraussichtlich zeitnah zwingend voraussetzen, dass die Einwilligung aktiv und gesondert von anderen Willenserklärungen erteilt wird. Unternehmen, die auf ihrer Webseite Cookies verwenden (auch Cookies von Drittanbietern, z.B. zur Analyse des Nutzungsverhaltens), sollten daher – zumindest beim ersten Besuch ihrer Webseite – eine Einwilligung der Nutzer einholen.

Im Zusammenhang mit der Erteilung der Einwilligung ist der Nutzer vom Webseitenbetreiber klar und umfassend über die Verarbeitung seiner Daten zu informieren, wobei der Nutzer insbesondere über die Speicherdauer und die Speicherzwecke der Cookies sowie die Zugriffsberechtigten aufzuklären ist. Formal sollte der Nutzer seine Einwilligung und weitere Willenserklärungen getrennt erteilen können und die Einwilligung in die Verwendung der Cookies durch das Anklicken einer gesonderten Schaltfläche ermöglicht werden. Allein das Ankreuzen eines dafür vorgesehenen Kästchens ist voraussichtlich nicht ausreichend. Die Verwendung voreingestellter Kästchen genügt mit sehr hoher Wahrscheinlichkeit nicht den Anforderungen des EuGH und sollte daher in jedem Fall unterbleiben.

Ausnahmen von der Einwilligungspflicht können etwa vorliegen, wenn der Cookie ausschließlich der elektronischen Übertragung einer Nachricht dient. Das Vorliegen von Ausnahmen sollte – aufgrund der Gefahr hoher Bußgelder – stets im Einzelfall von einem Experten auf dem Gebiet des Datenschutzrechts geprüft werden.

PDF laden

Mehr zu diesen Themen