1. Worum geht es beim Urteil des EuGH?
Am 1.10.19 hat der Europäische Gerichtshof in Luxemburg (EuGH) vier Fragen des Bundesgerichtshofs, die sich auf das rechtmäßige Setzen und Lesen von Cookies* beziehen, in einem wichtigen Urteil beantwortet. Dieses dürfte mindestens in Deutschland bedeutende Konsequenzen für Websitebetreiber und Anbieter von Apps haben; denn bisher richtete sich in Deutschland die gängige Praxis im Setzen von Cookies nach dem im Telemediengesetz (TMG) niedergelegten “Opt-out” Prinzip.
2. Der rechtliche Status Quo in Deutschland
Nach §15 Abs. 3 TMG ist das Setzen von Cookies erlaubt, solange der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und “sofern der Nutzer dem nicht widerspricht.” Mit anderen Worten: widerspricht der Nutzer nicht aktiv, werden Cookies eingesetzt (“Opt-out”).
Dieser Ansatz wird bereits seit Jahren auch in Deutschland als EU-rechtswidrig stark kritisiert. In Art. 5 Abs. 3 der entsprechenden EU-Vorschrift, der sog. e-Privacy RL 2002/58/EG ist nämlich geregelt, dass der Einsatz von Cookies nur gestattet ist, “wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen […] über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.” Ein “Opt-in” Ansatz, also.
Die e-Privacy Richtlinie hätte bis zum 31.10.2003 in allen Mitgliedstaaten der EU in entsprechendes nationales Recht umgesetzt werden sollen, was allerdings in Deutschland nicht geschah. Stattdessen vertrat die Bundesregierung stets die Ansicht, dass das deutsche Telemediengesetz (und speziell §15) der Richtlinie schon genüge und dass darum keine Umsetzung der Richtlinie in deutsches Recht erforderlich sei. Das stützte die Meinung, dass eine “Opt-out”-Lösung weiterhin ausreichend sei.
3. Die gängige Praxis im Setzen von Cookies in Deutschland
Vor diesem Hintergrund erklärt sich auch die gängige Praxis beim Einsatz von Cookies in Deutschland. Eine Zwischenlösung, für die sich in vielen Fällen Websitebetreiber entschieden, ist, dem Nutzer zwar die Möglichkeit zu geben, durch das Setzen eines Häckchens dem Einsatz von Cookies zuzustimmen. Jedoch ist dabei das Häckchen meistens schon “voreingestellt”, sodass der Nutzer de facto doch wieder aktiv werden muss, um dem Einsatz von Cookies zu widersprechen (“Opt-out”).
Dieser Praxis hat der EuGH nun eine klare Absage erteilt: eine Einwilligung in den Einsatz von Cookies muss durch aktives Verhalten (“Opt-in”) des Benutzers erteilt werden. Ganz konkret: wenn ein Einwilligungskästchen zum Speichern von Daten durch Cookies schon vorab vom System angekreuzt ist, zählt dies nicht als wirksame Einwilligung.
Damit positioniert dich der EuGH indirekt auch zu der Frage, ob §15 TMG tatsächlich die e-Privacy Richtlinie umsetzt (wie von der Bundesregierung behauptet) oder nicht: das Zweite ist der Fall. Insbesondere seitdem der Wortlaut von Art. 5 Abs. 3 der e-Privacy Richtlinie durch die sog. “Cookie RL 2009/136/EG” geändert wurde, ist §15 TMG EU-rechtswidrig. Gemäß dem Gebot der “richtlinienkonformen Auslegung” nationaler Umsetzungsvorschriften muss daher §15 TMG ab sofort nach dem Wortlaut der e-Privacy Richtlinie interpretiert und angewendet werden.
Nachstehend fassen wir kurz die praktisch wichtigsten Aussagen des EuGHs zusammen.
4. Die praktisch wichtigsten Aussagen des EuGH Urteils zusammengefasst
Dürfen Cookies nach einem Opt-out Prinzip eingesetzt werden?
Wie bereits beschrieben, gehört das Opt-out Prinzip endgültig der Vergangenheit an. Dies heißt jedoch nicht, dass der Einsatz von Cookies grundsätzlich immer nur einwilligungsbasiert sein muss: die Ausnahmen gem. Art. 5 Abs. 3 e-Privacy Richtlinie bleiben bestehen. Daraus ergibt sich die folgende Alternative:
- sind die Cookies “einwilligungsfrei“, d.h. sie dienen ausschließlich “der Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz” oder sie sind “unbedingt erforderlich, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”, können sie weiterhin eingesetzt werden, ohne dass der Nutzer dem ausdrücklich zustimmen muss. Er muss nur informiert werden.
- handelt es sich um Cookies, die eine Einwilligung erfordern, so muss diese aktiv erteilt werden, im Übrigen im Einklang mit den in der DSGVO niedergelegten Erfordernissen an eine wirksame Einwilligung.
Spielt es hinsichtlich der Einwilligung eine Rolle, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
Die Antwort des EuGH ist, dass die einschlägigen EU-Vorschriften “…nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten … handelt oder nicht.”
Praktisch heißt dies, dass die Einwilligung in den Einsatz von Cookies, die zwar keine personenbezogenen Daten erheben oder verarbeiten, jedoch auch nicht “einwilligungsfrei” gem. Art. 5 abs. 3 e-Privacy RL sind, nach denselben Kriterien einzuholen ist, wie bei der Verarbeitung personenbezogener Daten (d.h., kein Opt-out Prinzip).
Welche Informationen hat der Diensteanbieter beim Setzen von Cookies dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Angabe, ob Dritte auf die Cookies Zugriff erhalten?
Die Antwort des EuGH ist, dass die e-Privacy RL “… dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.”
Fazit:die Funktionsdauer von Cookies und die Angabe, ob Dritte auf diese Zugriff haben können, müssen also den Nutzern mitgeteilt werden. Diese Information sollte in der Cookie-Erklärung der Website/App enthalten sein.
5. Wird das EuGH-Urteil weitere rechtliche Folgen haben?
Ja. Da es sich beim obigen Urteil um eine Klarstellung zum EU-Recht handelt, die insbesondere die Umsetzung der e-Privacy Richtlinie betrifft, müssen nun alle EU-Länder, die diese hiervon abweichend umgesetzt haben, die nationalen Gesetze mindestens in dieser Hinsicht entsprechend nachbessern oder ersetzen. Wie oben schon erwähnt, muss jedoch §15 des TMG ab sofort dahingehen interpretiert werden, dass Cookies nicht auf der Basis von Opt-outs gesetzt werden dürfen.
6. Vorteile von iubendas Tools (z.B. der Cookie Solution) in dieser Situation
- iubendas Produkte sind von Grund auf für die Einhaltung der striktesten Auslegung der EU-Vorschriften zu Cookies und anderer einschlägiger Vorschriften (z.B. DSGVO) entwickelt worden. Sie haben sich über Jahre hinweg in Ländern wie Italien, wo im Gegensatz zu Deutschland die Cookie RL damals strikt in nationales Recht übertragen wurde, sehr erfolgreich bewährt.
- iubendas Rechtstexte für Datenschutz- und Cookie-Erklärungen werden in 8 Sprachen von iubendas Juristen ständig auf dem neuesten Stand der Rechtslage in den EU-Ländern, wo diese Sprachen gesprochen werden, und einigen weiteren gehalten. Die Websites und Apps unserer Kunden werden dadurch über iubendas Server zeitnah aktualisiert. Somit werden auch z.B. die in Deutschland erwarteten o.g. Rechtsänderungen termingerecht in die Rechtstexte unserer Kunden einfließen. Ebenso werden wichtige ausländische Gesetze abgedeckt, wie der California Consumer Privacy Act (CCPA), der ab 1.1.2020 in Kraft tritt.
- Da iubendas Datenschutzerklärung und Cookie-Richtlinie vom Webseitenbetreiber / App-Anbieter flexibel konfigurierbar sind, können unsere Kunden jetzt schon die vom EuGH geforderten Informationen einbauen. Die mit iubenda erstellten Datenschutzerklärungen und Cookie-Richtlinien sind DSGVO- und TMG-, sowie e-Privacy Richtlinien-konform.
- iubendas Cookie Solution ist beim bedeutendsten europäischen Verband der Online-Werbe- und Verlagsbranche IAB Europe als TCF-konforme Consent Management Platform (“CMP”) registriert. Dadurch ist iubendas Cookie Solution auch zum Einsatz auf intensiv genutzten Verleger-Websites mit vielen Werbeanbietern sehr geeignet. Die Cookie Solution ermöglicht auch, die Cookies von individuellen TCF-konformen Werbeanbietern auch Dritten zugänglich zu machen oder nicht.
Übrigens: Als führendes “Legal Tech” Unternehmen trägt iubenda auch aktiv zur Weiterentwicklung des TCF (Trust and Consent Framework) bei.
* Cookies sind Textdateien, die der Anbieter einer Website oder App auf Benutzergeräten kurz- bis langfristig speichert und die danach von ihm oder Dritten abgerufen werden können. Je nach Cookie-Typ können sie vielfache Zwecken dienen. Unentbehrliche Cookies sind notwendig, damit eine Website oder App funktioniert (z.B. um das Einloggen zu ermöglichen), andere dienen dazu, um die angezeigten Website-Inhalte an die Vorlieben der Benutzer anzupassen, wiederum andere dienen dem Aufbau von Benutzerprofilen anhand derer die präsentierten Anzeigen bestimmt werden. Cookies, die aufgrund ihres Informationsinhalts in Verbindung mit anderen Daten Rückschlüsse auf die Identität eines Benutzers ermöglichen (die meisten), zählen darum zu “personenbezogenen Daten” im Sinne des Datenschutzes.
