EuGH-Urteil zu Planet49 und zur Nutzung von Cookies: Wir stellen die wichtigsten Aspekte des Urteils vor und geben Handlungsempfehlungen für die Praxis.
Mit seinem Urteil vom 01.10.2019 hat der Europäische Gerichtshof (EuGH) in der Rechtssache Planet49 (Az.: C-673/17) klare und wichtige Vorgaben zur Ausgestaltung einer Einwilligung in die Speicherung von Cookies und den damit verbundenen Informationspflichten gemacht. Eine ausdrückliche Pflicht, grundsätzlich für die Nutzung von Cookies zwingend eine Einwilligung einzuholen, enthält das Urteil unserer Ansicht nach jedoch nicht. Wir stellen die wichtigsten Aspekte des Urteils vor und geben abschließend Handlungsempfehlungen für die Praxis.
Rechtsgrundlage: Ist eine Einwilligung jetzt zwingend?
Zur Rechtsgrundlage von Cookies führt der EuGH zwar aus, dass die ePrivacy-Richtlinie in Art. 5 Abs. 3 eine zwingende Einwilligung für (nicht zwingend erforderliche) Cookies vorsieht. Diese Aussage des EuGH ist jedoch bereits aus früheren Urteilen bekannt und insofern nicht neu. Deshalb gilt zusammengefasst:
- § 15 Abs. 3 Telemediengesetz (TMG) stellt gemäß der Datenschutzkonferenz (DSK) keine Umsetzung der ePrivacy-Richtlinie dar und eine richtlinienkonforme Auslegung kommt ebenso wie eine unmittelbare Anwendung der Richtlinie nicht in Betracht.
- Die Nutzung von Cookies mit personenbezogenen Daten unterliegt deshalb der Datenschutz-Grundverordnung (DSGVO) und kann nach wie vor sowohl auf eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) als auch auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden. Ein zwingendes Einwilligungserfordernis besteht damit (noch) nicht!
- Die nun ausstehende Entscheidung des Bundesgerichtshofs (BGH), der nach diesem EuGH-Urteil den Fall wieder zu beurteilen hat, könnte jedoch Auswirkung auf diese Ansicht zur Nutzung von Cookies haben; der BGH plant laut seinem Vorlagebeschluss vom 05.10.2017 (Az.: I ZR 7/16, Rn. 13) § 15 Abs. 3 TMG richtlinienkonform auszulegen.
- Das Bundeswirtschaftsministerium selbst wiederum plant, kurzfristig einen Entwurf zur Änderung des TMG vorzulegen, der sich auch am Planet49-Urteil des EuGH orientieren soll.
Wie wird eine wirksame Einwilligung ausgestaltet?
Der EuGH traf folgende wesentliche Aussagen zur Wirksamkeit einer Einwilligung in Cookies, die sowohl für das alte als auch das neue Datenschutzrecht unter der DSGVO gelten:
- Eine Einwilligung in Cookies erfordert ein aktives Verhalten des Nutzers, ansonsten bliebe unklar, ob der Nutzer sie in Kenntnis der Sachlage erteilt habe.
- Ein voreingestelltes Ankreuzkästchen stellt insofern keine wirksame Einwilligung in Cookies dar; ein echtes Opt-in erfordert eine aktive Zustimmung des Nutzers.
- Eine Einwilligung „für den konkreten Fall“ kann nicht aus der Bestätigung einer Absenden-Schaltfläche abgeleitet werden, über die auch andere Einwilligungen erteilt werden; jede Einwilligung erfordert insofern separate, nicht voreingestellte Ankreuzkästchen.
- Es ist in Hinblick auf die ePrivacy-Richtlinie bei der Beurteilung der Einwilligung in Cookies unerheblich, ob die darin gespeicherten Informationen personenbezogene Daten sind oder nicht (die Richtlinie hat Deutschland jedoch, wie ausgeführt, nicht komplett umgesetzt). Der Regelungsbereich der Richtlinie geht insofern über das Datenschutzrecht hinaus.
Welche Informationen müssen bei der Cookie-Nutzung mitgeteilt werden?
Zu den erforderlichen Informationen im Rahmen einer Einwilligung in Cookies, um die Funktionsweise der verwendeten Cookies zu verstehen, zählen laut dem EuGH nun insbesondere auch:
- Zugriff auf Cookies durch Dritte: Empfänger oder Kategorien von Empfängern der Daten
- Funktionsdauer der Cookies: Dauer der Verarbeitung der Daten
Für die Begründung wird auf den Grundsatz der Verarbeitung nach Treu und Glauben der alten Datenschutzrichtlinie bzw. auf die Art. 13 Abs. 1 lit. e, Abs. 2 lit. a DSGVO verwiesen.
Welche Handlungsempfehlungen gibt es jetzt für die Praxis?
Das Planet49-Urteil des EuGH hat bereits jetzt konkrete Auswirkungen. Diese betreffen in erster Linie die Ausgestaltung einer für die Nutzung von Cookies verwendeten Einwilligung sowie die Informationen, die bei der Nutzung von Cookies dem Nutzer mitgeteilt werden müssen. Über die Notwendigkeit und den Inhalt eines Cookie-Banners werden wir in Kürze in einem weiteren Blogartikel genauer eingehen, den wir dann hier verlinken.
Bei der Ausgestaltung der Einwilligung ist darauf zu achten, dass diese als echtes Opt-in ausgestaltet ist, also der Nutzer tatsächlich aktiv handeln muss, um zuzustimmen. Zudem dürfen mehrere Einwilligungen für verschiedene Zwecke nicht mit einem einzigen Absenden-Button abgehandelt werden, sondern es bedarf der gesonderten aktiven Handlung des Nutzers, etwa durch Ankreuzkästchen für die verschiedenen Datenverarbeitungen. Es darf also, wie im zugrundeliegenden Fall zum Planet49-Urteil, nicht die Einwilligung in Cookies durch ein voreingestelltes Ankreuzkästchen eingeholt werden, während man zugleich der Teilnahme an einem Gewinnspiel durch den Absenden-Button zustimmt.
Es ist nicht von der Hand zu weisen, dass der EuGH der festen Ansicht ist, dass Deutschland die ePrivacy-Richtlinie im TMG nicht vollständig umgesetzt hat. Bis der BGH jedoch eine Entscheidung dazu trifft, wie der § 15 Abs. 3 TMG auszulegen ist, oder der Gesetzgeber eine Änderung des TMG vornimmt, bleibt in der Praxis bei Cookies mit personenbezogenen Daten die Wahl zwischen Einwilligung und berechtigtem Interesse nach der DSGVO als Rechtsgrundlage bestehen.
In Vorbereitung auf ein BGH-Urteil bzw. eine gesetzliche Änderung des TMG, wodurch eine Einwilligung in (nicht zwingend erforderliche) Cookies nötig würde, sollten Unternehmen sich jedoch bereits jetzt darauf einstellen und Vorbereitungen treffen, die bisherige Praxis auf der eigenen Website zu überprüfen, Lösungen technisch zu evaluieren und ggf. Informationen zu Cookies anzupassen oder zu ergänzen.
Bis dahin bleibt es wie auch zuvor eine Abwägungsfrage und eine Frage des Risikos, wie man die Nutzung von Cookies ausgestaltet und auf welcher Grundlage. Spätestens mit der ePrivacy-Verordnung wird die Frage der Cookie-Nutzung in der ganzen EU einheitlich gesetzlich geregelt. Solange empfehlen wir, die Rechtsprechung bzw. die Gesetzgebung dazu aufmerksam zu verfolgen.