WISSENSWERTES | 14.10.2019
EuGH zu Cookies – Panik oder Besonnenheit?
Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-673/17 auf Vorlage des Bundesgerichtshofs (BGH) entschieden, dass für das Ablegen von Cookies zu Werbezwecken auf Endgeräten des Nutzers das Entfernen eines voreingestellten Häkchens in einem Ankreuzfeld („Opt-Out“) nicht genügt, sondern eine aktive Zustimmung des Nutzers erforderlich ist („Opt-In“). Das ist wenig überraschend, folgt der EuGH damit doch der bereits seit März dieses Jahres bekannten Auffassung des Generalanwalts.
Dennoch überschlugen sich die Meldungen in der Medienberichterstattung. Viele IT-Anbieter informierten nahezu panisch ihre Kunden. Häufigster Tenor war, dass ab sofort das Speichern jeglicher Cookies, auch sog. technisch notwendiger oder solcher im Rahmen von Analyse-Tools, einer den strengen Anforderungen der DSGVO entsprechenden (siehe dazu unseren früheren Beitrag) Einwilligung bedarf.
Trifft das tatsächlich zu? Nach einer sachlichen Analyse lässt sich ein differenzierteres Bild zusammensetzen.
Entscheidung über Einwilligungserfordernis?
Eine der Vorlagefragen des BGH lautete, ob die Erfordernisse einer Einwilligung sowie der klaren und umfassenden Information des Nutzers in der sog. Cookie-Richtlinie 2002/58/EG davon abhängig ist, ob es sich bei den in Cookies gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Das hat der EuGH verneint und festgestellt, dass solche Informationen Teil der Privatsphäre des Nutzers sind und sich der Schutz der in Deutschland nicht umgesetzten Richtlinie 2002/58/EG daher auf alle in dessen Endgeräten gespeicherten Informationen bezieht, unabhängig davon, ob es sich um personenbezogene Daten handelt.
Ist damit gleichzeitig auch gesagt, dass immer eine Einwilligung erforderlich ist?
Was sagt die Cookie-Richtlinie?
Weder hatte der BGH danach gefragt noch statuiert Art. 5 Abs. 3 der Richtlinie 2002/58/EG eine solche allgemeine Pflicht. Diese Vorschrift lautet:
„Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Die Richtlinie richtet sich zunächst einmal an die Mitgliedstaaten, enthält jedenfalls dem Wortlaut nach kein Einwilligungserfordernis und sieht selbst Ausnahmen vor.
Welcher Sachverhalt wurde entschieden?
Im Fall des EuGH aus dem Jahr 2013 ging es ausschließlich um eine als solche erkennbare werbliche Verwendung, bei der die Zustimmung des Nutzers schon voreingestellt, das Häkchen im Kontrollkästchen also gesetzt war. Es ist daher vom BGH, der die Sache nun anhand der EuGH-Vorgaben mit Wirkung für und gegen die dortigen Parteien entscheiden muss, gar keine Aussage zu anderen Sachverhaltskonstellationen zu erwarten.
Verhältnis zur Datenschutzgrundverordnung (DSGVO)
Zu klären wäre das Verhältnis zur DSGVO. Sie erlaubt, etwa im Rahmen einer Abwägung nach Art. 6 Abs. 1 lit. f) DSGVO, ausdrücklich Nutzungen personenbezogener Daten auch ohne Einwilligung des Betroffenen. Können dann die Anforderungen an die Nutzung von Informationen ohne Personenbezug in Cookies höher sein?
E-Privacy-Verordnung
Noch gewichtiger ist schließlich die Tatsache, dass der europäische Gesetzgeber eine generelle Zustimmungspflicht für Cookies wegen der damit verbundenen Lästigkeit entsprechender Pop-Up-Fenster für die Nutzer gerade nicht im Sinn hatte. Zum Ausdruck kommt das im derzeit aktuellsten Entwurf der alsbald zu verabschiedenden sog. E-Privacy-Verordnung vom 12. Juli 2019, deren Regelungen – analog denen der DSGVO – in den Mitgliedstaaten unmittelbar gelten werden. Dort sind praxisrelevante Ausnahmen vom Einwilligungserfordernis vorgesehen, so etwa für den weit verbreiteten Einsatz von Analyse-Tools wie Matomo, ehemals Piwik. Auch das muss in den Blick genommen werden.
Praxistipp
Unserer Ansicht nach ist Panik oder gar Hysterie hier wie so oft fehl am Platz. Wie immer bedarf es einer Prüfung des konkreten Sachverhalts, insbesondere Art und Einsatzzweck von Cookies sind an den inzwischen durchaus vielfältigen europarechtlichen Vorgaben zu messen. Zentral ist schon vor dem Hintergrund der DSGVO die transparente Aufklärung des Nutzers. Hieran wird sich auch mit der E-Privacy-Verordnung nichts ändern.