Europäischer Gerichtshof: Werbe-Cookies erfordern Opt-in-Zustimmung

In den vergangenen Monaten drängten die europäischen Datenschutzaufsichtsbehörden auf eine Opt-in-Einwilligung als Standardmodell für die Verwendung von Cookies, die für die Bereitstellung einer Website nicht unbedingt technisch notwendig sind, wie z. B. für Zwecke des Ad-Retargeting, des website- oder geräteübergreifenden Tracking und möglicherweise sogar für Tools zur Website-Analyse. In einer wegweisenden Entscheidung hat der Europäische Gerichtshof (EuGH), die höchste gerichtliche Instanz für die Auslegung des EU-Rechts, nun bestätigt, dass die Opt-out-Verfahren für viele Cookies und Web Beacons nicht mit den EU-Rechtsvorschriften vereinbar sind.

Der Präzedenzfall bestätigt die Auffassung der Behörden, dass passives Nutzerverhalten - z. B. die weitere Nutzung der Website oder das Wegklicken von Cookie-Overlays ohne aktives Akzeptieren von Cookies - keine gültige Zustimmung im Sinne der geltenden Cookie-Verordnungen darstellt. Wir beantworten die 7 wichtigsten Fragen zu dem Urteil und was es für Website-Anbieter bedeutet, die ihren Sitz außerhalb der EU haben, aber dennoch in den internationalen Anwendungsbereich der EU-Datenschutzgesetze fallen.

Worum ging es in der Rechtssache Planet 49?

In der Rechtssache "Planet49" vor dem Europäischen Gerichtshof (Urteil vom 1. Oktober 2019, C-673/17) bot ein deutsches Unternehmen seinen Website-Besuchern die kostenlose Teilnahme an einem Werbegewinnspiel an. Während des Anmeldevorgangs wurden die Teilnehmer aufgefordert, die Verwendung von Werbe-Cookies mittels eines Kästchens mit folgender Beschreibung zuzulassen:

"Ich bin damit einverstanden, dass der Webanalysedienst Remintrex für mich verwendet wird. Dies hat zur Folge, dass der Gewinnspielveranstalter [Planet49] nach der Anmeldung zum Gewinnspiel Cookies setzt, die es Planet49 ermöglichen, mein Surf- und Nutzungsverhalten auf Webseiten von Werbepartnern auszuwerten und somit eine auf meine Interessen abgestimmte Werbung durch Remintrex zu ermöglichen. Ich kann die Cookies jederzeit löschen. Mehr dazu lesen Sie hier."

Dieses Kästchen war bereits angekreuzt, so dass der Nutzer es abwählen und damit der Platzierung von Cookies auf seinem Gerät nicht zustimmen konnte. Das Ankreuzen dieses Kästchens war auch keine Bedingung für die Teilnahme an dem Gewinnspiel. Wenn der Nutzer dem Link mit dem Wort "hier" ganz am Ende des Hinweises folgte, wurde er zu einer Datenschutzerklärung mit zusätzlichen Informationen über die Funktionsweise von Cookies und Anweisungen zum Löschen der Cookies und zur Unterbindung der weiteren Verfolgung von Browseraktivitäten in der Zukunft geleitet.

Was sind die Anforderungen des EuGH?

Die Richter entschieden, dass die Teilnehmer des Gewinnspiels nicht wirksam in die Verwendung von Cookies eingewilligt haben. Sie kamen zu diesem Schluss, indem sie die EU-Datenschutzrichtlinie für elektronische Kommunikation auslegten, die in Bezug auf Cookies Vorrang vor der EU-Datenschutzgrundverordnung (DSGVO) hat - obwohl die Bedingungen für eine gültige Einwilligung nach der Datenschutzrichtlinie für elektronische Kommunikation denen der DSGVO entsprechen. In seiner Entscheidung kam der EuGH zu dem Schluss, dass die Erteilung einer gültigen Einwilligung ein "aktives Verhalten" erfordert und dass

"Eine Einwilligung [...] liegt nicht vor, wenn in Form von Cookies die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein vorher angekreuztes Kästchen ermöglicht wird, das der Nutzer abwählen muss, um seine Einwilligung zu verweigern".

In Anbetracht dieser Feststellung ist die wichtigste Erkenntnis des Urteils, dass die weit verbreitete Praxis, Cookies zuzulassen, wenn der Nutzer auf die Website zugreift, überholt zu sein scheint, selbst wenn die Website über eine Funktion verfügt, die es den Nutzern ermöglicht, die Einstellungen zu ändern und Cookies über einen Cookie-Banner zu deaktivieren. Das Setzen von Cookies, die für die Bereitstellung der Website nicht unbedingt erforderlich sind, wird nur dann als rechtmäßig angesehen, wenn der Nutzer dem aktiv zugestimmt hat.

Das Gericht gibt auch Hinweise zu den Informationen, die dem Nutzer zur Verfügung gestellt werden müssen, wenn er um seine Zustimmung gebeten wird. Gemäß der Datenschutzrichtlinie für elektronische Kommunikation müssen Website-Anbieter dem Nutzer "klare und umfassende Informationen" im Einklang mit der Datenschutz-Grundverordnung zur Verfügung stellen. Nach dem EuGH muss dies auch Informationen über "die Dauer des Betriebs von Cookies und darüber, ob Dritte Zugang zu diesen Cookies haben können" umfassen. Weitere Informationen können gemäß Art. 5(3) der Datenschutzrichtlinie für elektronische Kommunikation und der Datenschutz-Grundverordnung erforderlich sein.

Für welche Website-Cookies ist eine Zustimmung erforderlich?

Gemäß der EU-Datenschutzrichtlinie für elektronische Kommunikation gilt die Zustimmungspflicht nicht für Cookies, die für die Bereitstellung eines vom Nutzer ausdrücklich angeforderten Online-Dienstes technisch unbedingt erforderlich sind. Diese Ausnahme gilt insbesondere für viele Erstanbieter-Cookies, z. B. wenn sie für den Bestellvorgang in einem Online-Shop oder für einen Video-Streaming-Dienst, auf den der Nutzer zugreifen möchte, erforderlich sind.

Cookies, die für Marketingzwecke verwendet werden, dürften in vielen Fällen nicht als unbedingt notwendig für die Bereitstellung der Website angesehen werden und bedürfen daher der Zustimmung. Das EuGH-Urteil betrifft Cookies, die zu Werbenetzwerken beitragen. Folglich wird die Zustimmungspflicht auch für andere Cookies und Web-Beacons gelten, die für das Retargeting, die Sammlung von Verhaltensdaten für die Erstellung persönlicher Profile und die Personalisierung von Online-Werbung verwendet werden, insbesondere auch für solche, die von Dritten über Pixel-Tags platziert werden.

In der "Planet49"-Entscheidung verzichtet der EuGH jedoch darauf, eine detaillierte Anleitung für die Grenzziehung zu geben. Ob Webanalysetools wie Google Analytics eine Einwilligung erfordern oder nicht, ist noch lange nicht geklärt. Als Faustregel gilt, dass Unternehmen eher auf eine Einwilligung setzen sollten, wenn Drittanbieter beteiligt sind und die gesammelten Daten für individuelles Marketing statt für statistische Analysen verwendet werden.

Inwiefern ist dies alles für Nicht-EU-Unternehmen relevant?

Gute Frage! Unternehmen, die keine Niederlassungen in der EU haben, werden wahrscheinlich nicht von der Datenschutzrichtlinie für elektronische Kommunikation betroffen sein. Es ist jedoch zu bedenken, dass die Richtlinie spezifische Regeln vorsieht, die nur im Umfang ihres eigenen Anwendungsbereichs Vorrang vor der Datenschutz-Grundverordnung haben. Im Umkehrschluss bedeutet dies, dass die Datenschutz-Grundverordnung auch dann anwendbar bleibt, wenn die Datenschutzrichtlinie für elektronische Kommunikation nicht gilt. Und die Datenschutz-Grundverordnung hat eine große internationale Reichweite und gilt für jedes Nicht-EU-Unternehmen, das in irgendeiner Weise auf den EU-Markt abzielt.

Aber welchen Unterschied macht es, ob die Datenschutz-Grundverordnung oder die Datenschutzrichtlinie für elektronische Kommunikation für ein Nicht-EU-Unternehmen gilt? Die Antwort ist zweifach. Einerseits bietet die Datenschutz-Grundverordnung aus rechtlicher Sicht mehr Spielraum, um darüber zu streiten, ob für bestimmte Cookies überhaupt eine Einwilligung erforderlich ist, da Ausnahmen von der Einwilligungspflicht nicht wie in der Datenschutzrichtlinie für elektronische Kommunikation auf unbedingt notwendige Cookies beschränkt sind. So sind die deutschen Behörden beispielsweise der Ansicht, dass nach der Datenschutz-Grundverordnung einige Website-Analysetools verwendet werden können, ohne die Nutzer um ihre Zustimmung zu bitten, da die Verarbeitung personenbezogener Daten durch berechtigte Interessen der Website-Betreiber gerechtfertigt sei.

Andererseits ist es wahrscheinlich, dass die weniger spezifischen Bestimmungen der Datenschutz-Grundverordnung (DSGVO), insbesondere in Bezug auf Cookies für Marketingzwecke, im Allgemeinen im Einklang mit den Datenschutzbestimmungen für elektronische Kommunikation ausgelegt werden. In der Praxis wird die rechtliche Auslegung der Datenschutz-Grundverordnung davon beeinflusst werden, wie der Europäische Gerichtshof die Anforderungen der Datenschutzrichtlinie für elektronische Kommunikation versteht. Darüber hinaus müssen in den Fällen, in denen nach der DSGVO eine Einwilligung erforderlich ist, dieselben Bedingungen für die Erlangung einer gültigen Einwilligung erfüllt sein wie in dem oben genannten Fall.

Je nachdem, welche Gesetze im Einzelfall anwendbar sind, können Website-Anbieter, die die Datenschutzrichtlinie für elektronische Kommunikation nicht einhalten, mit Bußgeldern und Klagen von Wettbewerbern oder Verbraucherschutzorganisationen auf Unterlassung konfrontiert werden.

Welche Website-Architektur erfüllt die Anforderungen des EuGH?

Website-Anbietern wird dringend empfohlen, zu überprüfen, welche Cookies für ihre Dienste verwendet werden und unter welchen technischen Bedingungen sie auf dem Gerät des Nutzers abgelegt werden. Wir haben bereits über die Verwendung von Cookies geschrieben und die Empfehlungen der deutschen und britischen Aufsichtsbehörden erläutert. Da der EuGH keine der Feststellungen beanstandet, sondern ihren Ansatz bestätigt, bieten sie hilfreiche Anleitungen für die Gestaltung von Opt-in-Modellen mit einem risikoarmen Ansatz im Hinblick auf die rechtlichen Anforderungen der EU. Im Rahmen einer umfassenden Compliance-Bewertung sollte auch geprüft werden, ob der Wortlaut der Cookie- und Datenschutzrichtlinien im Lichte des Urteils angepasst werden muss.

Wie kann man die schrumpfenden Möglichkeiten der Monetarisierung von Nutzerdaten ausgleichen?

Eine Änderung der Verfahren für die Platzierung von Cookies und den Zugang zu Cookies gemäß den Empfehlungen der EU-Verwaltungsbehörden kann zumindest bei Nutzern, die die Website aus der EU besuchen, dazu führen, dass deutlich weniger Daten für Werbezwecke gesammelt werden, die auf Cookies zurückgehen. Anbieter von Inhalten, die ihre Dienste über Werbung von Dritten finanzieren, könnten über Cookie-Walls nachdenken, die es den Nutzern erlauben, die gewünschten Inhalte erst dann anzuzeigen, wenn sie ihre Zustimmung zu Cookies gegeben haben, oder über Paywalls für diejenigen Nutzer, die ihre Zustimmung verweigern ("consent-or-pay approach").

Wie wir vor kurzem zusammengefasst haben, ist die Einhaltung solcher Nutzerströme etwas unklar, wenn man bedenkt, dass nach der DSGVO und der Datenschutzrichtlinie für elektronische Kommunikation eine "frei erteilte" Zustimmung ohne Nachteile eingeholt werden muss. Marketing-Netzwerke wie Google AdSense überlassen ihren B2B-Kunden die Last, die Zustimmung ihrer Website-Besucher einzuholen. Die großen AdTech-Unternehmen bemühen sich jedoch um gemeinsame Branchenstandards für Transparenz und Zustimmung im Rahmen des IAB Europe Framework.

Gibt es weitere Neuigkeiten zur Cookie-Verwaltung in der EU?

Eine Reform der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy), die die Verwendung von Cookies in der EU regelt, befindet sich seit 2017 in der Gesetzgebungsphase. Das neue Gesetz sollte ursprünglich zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 in Kraft treten, wurde aber noch nicht verabschiedet und ist stattdessen Gegenstand politischer Auseinandersetzungen innerhalb der Institutionen der Europäischen Union. Sollte es verabschiedet werden, wird es wahrscheinlich eine Übergangsfrist von zwei Jahren bis zu seinem Inkrafttreten beinhalten.

Was sie im Hinblick auf die Zustimmungspflicht für Cookies bringen wird, lässt sich nur erahnen: Die aktuellen Debatten der Interessengruppen befassen sich größtenteils mit denselben regulatorischen Fragen, die nun vom EuGH für den aktuellen Stand der Gesetzgebung beantwortet wurden. Der jüngste Entwurf eines Kompromissvorschlags im Europäischen Rat scheint die Anforderungen an den Einsatz von Tracking-Technologien im Vergleich zur aktuellen Situation eher abzusenken, wurde aber von einigen EU-Mitgliedstaaten abgelehnt. Beobachter gehen davon aus, dass es vor Mitte 2020 keine wesentlichen politischen Fortschritte geben wird.