Der Europäische Gerichtshof ist mit seiner Entscheidung (Urteil vom 01.10.2019, Az. C-673/17) über die Zustimmung zum Setzen von Cookies den Anträgen des Generalanwalts gefolgt und fordert eine eindeutige aktive Einwilligung durch den Nutzer, sodass ein voreingestelltes Ankreuzkästchen nicht genügt. Dies ist im Hinblick auf die europäische Rechtslage kaum überraschend (siehe Erwägungsgrund 32 S. 3 DSGVO). Bemerkenswert ist jedoch, dass nach dem ePrivacy-Recht eine Einwilligung in Cookies unabhängig davon gefordert wird, ob personenbezogene oder „nur“ andere Daten vorliegen. Zudem stellt der EuGH hohe Anforderungen an die Informationen, die Website-Betreiber zu Cookies bereitstellen müssen.
1. Vorgeschichte der Entscheidung
Planet49 veranstaltete ein Gewinnspiel zu Werbezwecken und verwendete für das Teilnahmeformular zwei mit Ankreuzkästchen versehene Hinweistexte. Das erste Ankreuzkästchen enthielt eine Werbeeinwilligung, welcher jeder Teilnehmer aktiv durch Setzen eines Häkchens zustimmen musste. Das zweite Ankreuzkästchen war vorangekreuzt. Es sah das Setzen von Cookies vor, die Planet49 eine Auswertung des Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch einen Webanalysedienst ermöglichen sollten. Ein über einen Link erreichbarer Hinweistext klärte über die einzelnen Cookies und deren Funktionsweise auf.
Diese Vorgehensweise mahnte der Bundesverband der Verbraucherzentralen (qualifiziert gemäß § 4 UKlaG) ab und erhob – teilweise erfolgreich – Klage vor dem Landgericht Frankfurt am Main. Auf die Berufung hin wies das Oberlandesgericht Frankfurt die Klage insgesamt ab. Der im Wege der Revision angerufene Bundesgerichtshof hegte Zweifel, ob die mittels des zweiten Ankreuzkästchens eingeholte Einwilligung wirksam ist und welche Informationen ein Diensteanbieter dem Nutzer zu erteilen hat – insbesondere, ob auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten, von Belang sind. Diese Fragen legte er dem EuGH vor.
2. Entscheidung des EuGH
Der EuGH entschied zunächst, dass die sog. „Cookie-Richtlinie“ (d.h. Art. 5 Abs. 3 EU-ePrivacy-Richtlinie) unabhängig davon gilt, ob mithilfe der Cookies personenbezogene Daten verarbeitet werden oder nicht. Ferner stellte er klar, dass für Einwilligungen nach der Cookie-Richtlinie dieselben Anforderungen gelten wie nach der DSGVO. Die Einwilligung muss daher aktiv und eindeutig erteilt werden. Ein voreingestelltes Ankreuzkästchen ist nicht hinreichend eindeutig. Das Setzen von Cookies darf daher nicht durch ein voreingestelltes Ankreuzkästchen erlaubt werden, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Zur zweiten Frage entschied der EuGH, dass Website-Betreibern den Nutzern ihrer Website Informationen zur Funktionsdauer der Cookies erteilen müssen und dazu, ob Dritte Zugriff auf die Cookies erhalten können. Dies stützt der EuGH unter anderem darauf, dass der Nutzer seine Einwilligung in voller Kenntnis der Sachlage erteilen können muss.
Trotz des sechs Jahre andauernden Verfahrens stellte der EuGH klar, dass sich das Urteil auch auf die seit Ende Mai 2018 geltende DSGVO bezieht.
3. Entscheidung gilt nicht für technisch notwendige Cookies
Die Einwilligung muss nur dann in der geforderten aktiven, eindeutigen Art und Weise erfolgen, wenn es überhaupt einer Einwilligung bedarf. Nach der Cookie-Richtlinie sind Cookies einwilligungsbedürftig, sofern sie für die Bereitstellung der Website oder das Ausführen von spezifischen Funktionen der Website nicht unbedingt erforderlich sind. Hierzu zählen neben Werbe- / Marketing-Cookies auch Funktionscookies und Leistungs- oder Performance-Cookies. Im Gegensatz dazu gibt es aber auch Cookies, die für die ordnungsgemäße Funktionsweise der Website notwendig sind. Dies trifft etwa auf Session-Cookies zu, die helfen, sich einen Warenkorb während einer Browser-Sitzung zu merken. Diese notwendige Cookies bedürfen nach wie vor keiner Einwilligung.
Es ist allerdings nicht immer eindeutig, welche Cookies als „notwendig“ eingestuft werden können. Wird ein Warenkorb-Cookie über die Browser-Sitzung hinaus gespeichert, um zu verhindern, dass der Einkauf verloren geht, wenn der User das Browserfenster schließt und dann später zurückkehrt, kann man an der Notwendigkeit zum Beispiel zweifeln. Das Risiko einer falschen Beurteilung der Notwendigkeit von Cookies trägt der Website-Betreiber.
Jedenfalls stellt die EuGH-Entscheidung klar, dass es nach der Cookie-Richtlinie unerheblich ist, ob überhaupt personenbezogene Daten erhoben werden oder z.B. völlig anonyme Zugriffszahlen. Mithin muss der User auch aktiv und eindeutig in das Setzen solcher Cookies einwilligen, die anonym Daten erheben, sofern diese nicht technisch notwendig sind.
4. Anforderungen an die Einwilligung und deren Folgen
Wie der EuGH klargestellt hat, muss der Nutzer aktiv und ohne Voreinstellung ein Häkchen setzen, dass er die nicht notwendigen Cookies akzeptiert. Dabei ist er – entsprechend der EuGH-Entscheidung – umfassend über die Art der Cookies (Zweck, Speicherdauer, Zugriffsmöglichkeit durch Dritte, Funktionsdauer) aufzuklären. Aus dem Erfordernis der Einwilligung „ohne jeden Zweifel“ folgt zugleich, dass es nicht genügt, wenn der Nutzer auf der jeweiligen Website weitersurft. Es dürfen in diesem Fall keine Cookies gesetzt werden, da das Weitersurfen zwar an und für sich eine aktive Handlung darstellt, jedoch in Bezug auf das Setzen von Cookies nicht hinreichend eindeutig als Zustimmung gedeutet werden kann. Website-Betreiber müssen daher sicherstellen, dass das Weitersurfen nicht zur Folge hat, dass Cookies gesetzt werden, die nicht notwendig sind.
5. Anspruch auf Website-Nutzung ohne Cookies?
Der EuGH befasst sich nicht ausdrücklich mit der Frage, ob dem User auch die Möglichkeit eingeräumt werden muss, ganz ohne Cookies eine Website nutzen zu können. Dieser Gedanke wird zum Teil dem Erfordernis der Freiwilligkeit der Einwilligung entnommen. Freiwilligkeit setzt Abwesenheit von Zwang voraus. Ein solcher Zwang könnte in der Vorenthaltung der Nutzung einer Website liegen, wenn nicht bestimmten Cookies zugestimmt wird.
Ein Anspruch auf Cookie-freie Websites sollte jedoch abgelehnt werden. Das Erfordernis der Einwilligung „ohne jeden Zwang“ zielt vor allem auf Fälle, in denen zwischen User und Betreiber ein klares Ungleichgewicht besteht oder die Erfüllung von Verträgen etc. an eine Einwilligung gekoppelt wird. Beides liegt bei der reinen Nutzung einer Website nicht vor. Zudem besteht grundsätzlich auch kein Anspruch des Users auf Benutzung einer bestimmten Website oder auf die Verfügbarkeit eines bestimmten Inhalts. Schließlich kann der User ein Cookie-freies Surfen bereits heute durch Einstellungen in seinem Browser erreichen, muss dann aber technische Einschränkungen im Kauf nehmen.
6. Handlungsempfehlung für Website-Betreiber
Nach der EuGH-Entscheidung sollten Website-Betreiber nicht mehr, wie in Deutschland bisher weit verbreitet, Cookies allein nach der DSGVO beurteilen und sich unter Berufung auf berechtigte Interessen auf ein Opt-Out-Verfahren verlassen. Nach der Cookie-Richtlinie – und sehr wahrscheinlich nach der für 2020 erwarteten ePrivacy-Verordnung (Entwurf von 2017 als PDF) – bedarf es vielmehr für nicht-notwendige Cookies einer Einwilligung. Zudem ist nun klargestellt, dass das bloße Weitersurfen durch den User nach Einblendung eines Cookie-Hinweises keine Einwilligung darstellen kann. Schließlich müssen die Informationen zu Cookies in den Datenschutzerklärungen überprüft und ggf. fehlende Informationen zur Speicherdauer und Drittzugriffen ergänzt werden.
Daraus ergeben sich folgende Handlungsmöglichkeiten für Website-Betreiber, um Cookies datenschutzkonform setzen zu können:
- Rechtssichere Einwilligung: Wer weiterhin Cookie-basierte Webanalysen oder Werbung einsetzen möchte, sollte hierfür eine eindeutige Einwilligung einholen. Empfehlenswert ist eine Lay-Over-Lösung. Beim Besuchen der Website legt sich dabei sofort ein Fenster oder Banner über den eigentlichen Content, welches den User entsprechend der EuGH-Rechtsprechung über Cookies aufklärt informiert und ihm die Möglichkeit gibt, nicht-notwendige Cookies abzulehnen und nur mit den notwendigen fortzufahren. Zugleich könnte hier dem User die Möglichkeit eingeräumt werden, komplett ohne Cookies fortzufahren, wobei dies mit unten angeführten Problemen verbunden sein wird.
- Verzicht auf Cookies: Der radikalere Weg ist der komplette Verzicht auf nicht-notwendige Cookies. Auf den ersten Blick ist dies auch User-freundlicher, da auf Overlays und Einwilligungen verzichtet werden kann. Ob der Verzicht auf Cookies aber technisch überhaupt machbar ist, hängt vom Inhalt der Seite und den angebotenen Funktionen ab. Dabei ist zu berücksichtigen, dass sich die „Cookie-Richtlinie“ gar nicht ausdrücklich auf Cookies bezieht, sondern auch für technische Alternativen gilt, die auf anderem Wege Informationen im Endgerät des Nutzers speichern (z.B. DOM-Storage). Abgesehen von etwaigen technischen Hürden bei der Erstellung der Website verliert man als Betreiber im Zweifel wesentliche Informationen über die Dauer der Nutzung der Website und das Verhalten der User. Auch etwaige Einnahmen durch tracking-basierte Werbung wären passé.