EuGH präzisiert Anforderungen für den Einsatz von Cookies

flat illustraion of a funny pop-up about browser cookies

1. Einleitung

Wenn im Online-Kontext von "Cookies" gesprochen wird, ist wohl mittlerweile dem Großteil der Nutzer bekannt, dass es sich dabei um kein Süßgebäck handelt. Die Rede ist von den kleinen Textdateien, die von der aufgerufenen Website an den Browser des Users übermittelt und im Anschluss auf dessen eigenem Rechner abgelegt werden. Einerseits können diese Dateien die gewöhnliche Nutzung einer Website erleichtern; zB damit ausgewählte Artikel im Warenkorb eines Online-Shops gespeichert werden. Andererseits sind Cookies ein beliebtes Tool, um das Nutzerverhalten von Websitebesuchern zu "tracken" und unter anderem anhand eines digitalen Fingerabdrucks zielgerichtete Werbung zu schalten. Solche Cookies werden beim Besuch der eigenen Website oft von Drittanbietern gesetzt. Bleibt ein Cookie nur für die jeweilige Browser-Sitzung bestehen, spricht man von sogenannten Session-Cookies. Persistente Cookies bleiben hingegen für einen längeren und grds im Vorhinein festgelegten Zeitraum gespeichert. Schon in der Vergangenheit bereiteten die kleinen Textdateien einige juristische Probleme und erzeugten Verunsicherung. Nun sorgte vergangene Woche ein Urteil des Gerichtshofs der Europäischen Union ("EuGH") zwar für mehr rechtliche Klarheit, stellt sich jedoch auch gegen die bislang im Großteil des EU-Raums vorherrschende Praxis und den expliziten Wortlaut mancher nationaler Umsetzungsbestimmungen. Die in der Entscheidung besprochenen Voraussetzungen gelten nicht für notwendige bzw essentielle Cookies, da diese einer Ausnahmeregelung unterliegen.

2. Sachverhalt

Ein deutsches Unternehmen veranstaltete auf seiner Website ein Gewinnspiel. Um an diesem teilzunehmen, mussten die Nutzer einige persönliche Daten angeben und zumindest eine von zwei Checkboxen anhaken (bzw angehakt lassen). Mit der ersten Box sollte die Einwilligung für Direktwerbung erteilt werden.[i] Dieses Feld musste aktiv angeklickt werden, damit die Zustimmung erteilt wird. Die zweite Checkbox war bereits angeklickt und holte die Einwilligung zur Setzung von Cookies und Anwendung von Tools zur Analyse von Surf- und Nutzungsverhalten ein. Ein Verbraucherschutzverband empfand diese Art der Einwilligung als rechtswidrig und forderte den Website-Betreiber in Form einer Abmahnung zur Unterlassung dieser Geschäftspraktiken auf. Ein darauffolgender Rechtsstreit führte bis zum deutschen Bundesgerichtshof ("BGH"), welcher sich mit Auslegungsfragen zur Richtlinie 2002/58/EG idF 2009/136/EG ("e-Privacy-RL"), der Richtlinie 95/46/EG (Datenschutz-Richtlinie; "DSRL") und der Verordnung (EU) 29016/679 (Datenschutz-Grundverordnung; "DSGVO") an den EuGH wandte.

3. Entscheidung des EuGH

3.1 DSGVO anwendbar?

Als Vorfrage stellte der EuGH fest, dass in Anbetracht der zukünftigen Unterlassung der Tätigkeit sowohl DSRL als auch DSGVO zu berücksichtigen seien, obwohl die DSGVO erst nach der letzten mündlichen Verhandlung vor dem vorlegenden Gericht in Kraft trat.

3.2 "Prechecked Box" – konformes Einverständnis nach der e-Privacy-RL?

Mit der ersten Vorlagefrage wollte der BGH wissen, ob die Einwilligung zur Speicherung und Verarbeitung von Cookies durch ein vorangekreuztes Kästchen den Vorgaben einer Einwilligung der e-Privacy-RL entspricht. Grundsätzlich sieht Art 5 Abs 3 e-Privacy-RL ausdrücklich vor, dass der Einsatz von Cookies eine Einwilligung des Nutzers erfordert, jedoch enthält die Bestimmung keine Angaben wie diese zu erfolgen hat. Aus den Erwägungsgründen der e-Privacy-RL geht hervor, dass die Einwilligung dieselbe Bedeutung wie die "Einwilligung der betroffenen Person" im Sinne der DSRL hat. Laut der DSRL muss es sich dabei um eine konkrete, informierte und freie Willensbekundung handeln. Das Erfordernis einer Willensbekundung indiziere ein aktives Tun des Nutzers, daher entspreche eine im Vorhinein angeklickte Checkbox nicht diesen Anforderungen. Der EuGH entschied auch, dass die Einwilligung nicht für den konkreten Fall erfolgte, weil eine Bestätigung der Teilnahme an dem Gewinnspiel kein Einverständnis mit der Verwendung von Cookies bedeute und nicht angenommen werden könne, dass der User die Bedingungen – die er durch das vorausgewählte Kästchen akzeptierte – gelesen habe. Im Lichte der DSGVO sei diese Auslegung erst recht zu befürworten. Es handle sich daher um keine wirksame Einwilligung iSd e-Privacy-RL. Dieses Ergebnis klingt wohl für Datenschutzexperten offensichtlich, jedoch wurde die Frage nach der wirksamen Einwilligung nun auch im Hinblick auf die e-Privacy-RL ausdrücklich ausgesprochen.

3.3 Cookies ohne personenbezogene Daten

Besonders interessant war die Frage, ob es bei der Anwendung des Art 5 Abs 3 e-Privacy-RL zu Unterschieden führe, wenn bei der Verwendung von Cookies keine persönlichen Daten verarbeitet werden. Die oben beschriebene Einwilligung wäre auch nach den allgemeinen datenschutzrechtlichen Vorgaben (abseits der e-Privacy-RL) unwirksam gewesen, weil es sich laut dem Gerichtshof bei dem erfassten Nutzerverhalten um personenbezogene Daten handle. Der EuGH meinte dazu, dass Art 5 Abs 3 e-Privacy-RL den Nutzer vor Eingriffen in seine Privatsphäre schützen wolle, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen seien. Erwägungsgrund 24 der e-Privacy-RL stelle klar, dass auf Endgeräten von Nutzern gespeicherte Informationen Teil der Privatsphäre seien. Dieser Schutz gelte für alle gespeicherten Informationen und insbesondere für "Hidden Identifiers" oder ähnliche Instrumente, die ohne Wissen der Nutzer in deren Endgeräte eindringen. Im Ergebnis ist nach der Rechtsansicht des EuGH mit Blick auf die e-Privacy-RL für sämtliche Informationen, die auf dem Gerät des Users gespeichert werden sollen oder für den Zugriff auf Informationen, die darauf bereits gespeichert sind, eine Einwilligung einzuholen.

4. Funktionsdauer von Cookies als wesentliche Information

Generell müsse der Nutzer durch die zu erteilenden Informationen in die Lage versetzt werden, die Konsequenzen einer etwaigen Einwilligung leicht abschätzen zu können und volle Kenntnis von der Sachlage zu erhalten. Die Informationen müssten daher klar und verständlich erklären, wie die verwendeten Cookies funktionieren, wer Zugriff auf die Daten erhält und wie lange sie gespeichert bleiben. Die Funktionsdauer werde zwar nicht in der Auflistung der wesentlichen Informationen des Art 10 DSRL genannt, jedoch sei diese Aufzählung nicht abschließend. Die Angabe der Funktionsdauer der Cookies sei jedoch gemäß dem Grundsatz der Datenverarbeitung nach Treu und Glauben im konkret besprochenen Fall notwendig. Zusammenfassend entschied der EuGH in diesem Punkt, dass sowohl die Funktionsdauer der Cookies, als auch wer darauf zugreifen kann, wesentliche Informationen darstellen, die dem Website-User zu erteilen sind.

5. Anmerkungen und Situation in Österreich

In Österreich wurde die "Cookie-Bestimmung" der e-Privacy-RL in § 96 Abs 3 Telekommunikationsgesetz ("TKG") umgesetzt. Den Gesetzesmaterialien zu § 96 Abs 3 TKG ist zu entnehmen, dass eine Einwilligung auch durch die "Einstellung eines Browsers ausgedrückt werden kann".[ii] Damit ist gemeint, dass der User in die Verwendung von Cookies einwilligt, wenn er dies nicht durch entsprechende Einstellungen seines Webbrowsers unterbindet. Dies war zwar schon nach bisheriger Rechtsansicht überholt, trägt aber nicht gerade zur Rechtssicherheit des einzelnen Website-Betreibers bei. Aufgrund der wesentlich einfacheren Handhabung wird eine solche Lösung allerdings auch immer wieder im Hinblick auf die angedachte Neuregelung der datenschutzrechtlichen Bestimmungen für den Bereich der elektronischen Kommunikation durch die sogenannte e-Privacy-Verordnung diskutiert; dabei wird auch überlegt, ggf die Anbieter der Webbrowser stärker in die Pflicht zu nehmen. Noch leichter ersichtlich wird der derzeitige Mangel an klaren Regelungen, wenn man die Umsetzungen der e-Privacy-RL in den einzelnen Mitgliedstaaten betrachtet. EU-Richtlinien sind nämlich nicht bzw nur in Ausnahmefällen unmittelbar anwendbar; sie müssen erst in nationales Recht umgewandelt werden. Für Österreich spricht § 96 Abs 3 TKG etwa ausdrücklich nur von "personenbezogenen Daten" und nicht von "Informationen", die einer Einwilligungspflicht unterworfen sind. Die Umsetzungen anderer Mitgliedstaaten sind tlw sogar noch weiter vom Wortlaut der e-Privacy-RL entfernt. Die überwiegende Praxis im nahezu gesamten EU-Raum war es bisher, nur auf die Verwendung von Cookies hinzuweisen ("Cookie-Banner"). Dies ist im Lichte des besprochenen Urteils sowie generell der jüngeren Datenschutz-Judikatur des EuGH nicht mehr zu empfehlen. Der EuGH hat die Richtlinie insoweit ausgelegt, dass es einer konkreten und expliziten Einwilligung vor der Verwendung von Cookies bedarf. In der Praxis wird diese Anforderung auch von einem großen Teil der auf Österreich ausgerichteten Websites nicht erfüllt. Aus technischer Sicht werden bereits einige Lösungen angeboten, die auch zwischen verschiedenen Arten von Cookies bzw Einsatzgebieten (zB notwendige Cookies, zu Marketingzwecken, Statistik) unterscheiden und dem User eine Wahlmöglichkeit bieten. Dass die Entscheidung des EuGH in Sachen "Usability" für die Anwender vorteilhaft ist, lässt sich jedenfalls anzweifeln. Eine einheitliche Festlegung für alle Websites in den Browsereinstellungen mit einer Verpflichtung der Anbieter, dass ein Browser standardmäßig keine Cookies akzeptieren darf, würde Website-Betreiber weit weniger belasten und voraussichtlich auch die Nerven der einzelnen User schonen. Einen ähnlichen Vorschlag hat auch die Europäische Kommission für die neue e-Privacy-Verordnung gemacht.[iii] Ob dieser in der Zukunft seinen Weg in den finalen Verordnungstext findet, bleibt abzuwarten.

Max Königseder

[i] Mehr zur Einwilligung zu Direktwerbung <https://sv.law/direktwerbung-und-dsgvo>.

[ii] Feiler/Horn, Umsetzung der DSGVO in der Praxis (2018) 99.

[iii] Feiler/Horn, Umsetzung der DSGVO in der Praxis (2018) 99; Art 9 Abs 2 Entwurf der e-Privacy-Verordnung, KOM (2017) 10.