IT-Recht und Datenschutz31.12.2019 Newsletter
Newsflash: Die neue Diät in Deutschland: „Cookies“ nur nach (echter) Einwilligung?
Aus Anlass des Urteils des EuGH vom heutigen Tag möchten wir Sie auf die aktuellen Entwicklungen zum Einsatz von Tracking-Cookies zu Analyse- oder Marketingzwecken auf Webseiten hinweisen. Wir erwarten hier eine ganz erhebliche Änderung für die Praxis, mit großen wirtschaftlichen Auswirkungen für das Online Marketing.
Was war die bisherige Praxis?
Tracking-Cookies (oder ähnliche Techniken) wurden in Deutschland bisher häufig bereits zum Zeitpunkt des ersten Aufrufs der Webseite eingesetzt und haben ab dann (auch) personenbezogene Daten der Webseiten-Nutzer verarbeitet. Dem Nutzer wurde nur ein Widerspruchsrecht (Opt-Out) eingeräumt, sofern er mit dem Einsatz der Tracking-Cookies nicht einverstanden ist. Eine Einwilligung des Nutzers nach den Anforderungen der DSGVO im Sinne einer vorherigen ausdrücklichen Aktivität wurde bisher nicht eingeholt. Mithilfe eines Cookie-Banners und den dazugehörigen Datenschutzhinweisen wurde der Nutzer über den Einsatz der Tracking-Cookies informiert bzw. eine Einwilligung durch konkludentes Handeln (z.B. weitere Nutzung der Webseite) unterstellt.
Warum war die bisherige Praxis zulässig?
Obwohl diese Praxis auch in anderen EU-Ländern teilweise gebilligt war, wurde diese Praxis in Deutschland durch die unklare Gesetzeslage unterstützt. Obwohl die „E-Privacy Richtlinie“ 2002/58/EU seit 2009 eine Einwilligung für das Setzen solcher Cookies fordert, war nach Ansicht der Bundesregierung die Rechtslage in Deutschland großzügiger ausgestaltet. Das deutsche Telemediengesetz gestattete die Nutzung von Nutzerprofilen auf der Basis einer Widerspruchsmöglichkeit. Dieses Gesetz ist trotz der Kritik der deutschen Datenschutzbehörden bislang noch nicht aufgehoben oder geändert worden.
Was hat der EuGH entschieden?
Der Europäische Gerichtshof (EuGH) – Rs. C-673/17 – hat im Fall des deutschen Gewinnspielanbieters „Planet49“ auf Klage des Bundesverbands der Verbraucherzentralen und Verbraucherverbände (vzbv) über Fragen zum Einsatz von Tracking-Cookies entschieden, die eine Sammlung von Daten durch Dritte ermöglichen (sog. Third-Party-Cookies). Der Generalanwalt des EuGH vertrat in seinen Schlussanträgen bereits die Auffassung, dass das Setzen von Third-Party-Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analysezwecken) einer aktiven Einwilligung des Nutzers bedarf. Das gelte sowohl nach alter Rechtslage des BDSG bzw. TMG, als auch nach den Vorgaben der DSGVO.
Heute hat der EuGH bestätigt, dass eine wirksame Einwilligung nach den Vorgaben der E-Privacy Richtlinie 2002/58/EU, der alten Rechtslage des BDSG als auch der DSGVO aktiv erteilt werden muss. Keine wirksame Einwilligung liegt nach Ansicht des EuGH vor, wenn die Speicherung von Informationen mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (sog. Opt-out). Darüber hinaus hat der EuGH entschieden, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website vor der Abgabe einer Einwilligung mitzuteilen hat. Der EuGH hat sich dagegen zur Frage der Anwendbarkeit der nationalen Vorgaben im TMG nicht ausdrücklich geäußert. Jedoch widersprechen sich die vom EuGH heute bestätigten Anforderungen der E-Privacy Richtlinie 2002/58/EU und die nationalen Regelungen des TMG in Deutschland.
Wie gehen die Datenschutzbehörden vor?
Mehrere Datenschutz-Aufsichtsbehörden halten einen Einsatz von Cookies für bestimmte Zwecke gemäß der DSGVO ebenfalls nur auf Grundlage einer aktiven Einwilligung der Nutzer für zulässig. Die deutsche Datenschutzkonferenz (DSK) hat in einer Orientierungshilfe für Anbieter von Telemedien darauf hingewiesen, dass der Einsatz von technisch nicht notwendigen Cookies im Grundsatz nur nach wirksamer Einwilligung des Nutzers zulässig ist. Diese Einschätzung wird zudem von den französischen, den niederländischen Datenschutzbehörden als auch von der ICO in UK geteilt. Für die rechtliche Bewertung der Aufsichtsbehörden bilden nicht die eingesetzten technischen Verfahren oder die Art der eingesetzten Cookies den entscheidenden Maßstab. Vielmehr kommt es darauf an, welcher Zweck sich hinter dem Verarbeitungsprozess verbirgt. Die Behörden haben die Vielzahl möglicher Zwecke, die in der Praxis mit dem Einsatz von Cookies verfolgt werden, in bestimmte Kategorien eingeteilt: Funktionalität, Reichweitenmessung (Analytics) sowie (Marketing)-Tracking. Nach Ansicht der Datenschutzbehörden ist eine Einwilligung bei Cookies notwendig, soweit diese nicht technisch für die Bereitstellung der Webseite erforderlich sind.
Eine Einwilligung ist auf der Grundlage des Art. 7 DSGVO wirksam einzuholen. Dafür hat der Nutzer die Einwilligung informiert, separat, freiwillig und aktiv zu erteilen. Darüber hinaus ist beim Einsatz von Cookies zu beachten, dass die Cookies nicht vor der Einwilligungserteilung bereits eingesetzt und Daten übermittelt werden.
Was macht der europäische Gesetzgeber?
Am 18. September 2019 hat die EU-Ratspräsidentschaft einen neuen Vorschlag der E-Privacy Verordnung veröffentlicht. Nach Art. 8 des Entwurfs der E-Privacy-Verordnung ist die Verarbeitung von Daten mithilfe von Cookies nur zulässig, wenn die Verarbeitung für den zu erbringenden Dienst notwendig ist oder wenn der Endnutzer vorher eingewilligt hat. Die Anforderungen an eine Einwilligung entsprechen denen der DSGVO. Demnach werden die oben stehenden Entwicklungen auch durch die geplante E-Privacy-Verordnung bestätigt.
Was bedeuten diese Entwicklungen für die Praxis?
Dies führt aus unserer Sicht zu den nachfolgenden Konsequenzen:
- Der bisher übliche Einsatz der Cookies für Analyse- und Marketingzwecke mit den üblichen „Cookie-Bannern“ entspricht nicht den Vorgaben der DSGVO und der E-Privacy-Richtlinie.
- Der Nutzer muss vor dem Einsatz dieser Cookies eine nach den Anforderungen der DSGVO wirksame Einwilligung abgeben.
- Es sind z.B. Consent-Management-Lösungen notwendig, die die Einwilligungen wirksam einholen und hinreichend dokumentieren.
- Die bisher verwendeten Datenschutzhinweise sind in Bezug auf den Einsatz der Cookies anzupassen.
Für die Praxis stellt sich jetzt die schwierige Frage, zu welchem Zeitpunkt man die Umstellung vornimmt. Obwohl der EuGH nicht ausdrücklich zu den nationalen Vorschriften des TMG ausführt, bestätigt das Urteil vom heutigen Tage, dass die bisher verwendete Regelung des TMG nicht mehr dem geltenden Europarecht entspricht. Damit ist zunächst zu erwarten, dass der BGH im konkret zu entscheidenden Fall zugunsten des klagenden vzbv entscheidet. Außerdem ist der deutsche Gesetzgeber aufgerufen, die Gesetzeslage anzupassen.
Ob Unternehmen sich aber darauf berufen können, bis zum Zeitpunkt der Änderung des TMG abzuwarten, ist fraglich. Individuelle Klagen von Verbrauchern bzw. Verbraucherschutzverbänden und entsprechende Abmahnungen von Wettbewerbern sowie Maßnahmen der Datenschutzaufsichtsbehörden sind ab jetzt unmittelbar zu erwarten.