EuGH Urteil vom 01.10.2019 zum Thema Tracking-Cookies und Tipps zur praktischen Umsetzung

01.11.2019 |

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 01.10.2019 die bislang in Deutschland übliche Praxis in Bezug auf die Verwendung von Cookies als europarechtswidrig eingestuft.

Er fordert in dem Urteil zum einen eine aktive Einwilligung in die Verwendung jedenfalls von Tracking-Cookies. Diese Einwilligung darf nicht durch Voreinstellungen vorgegeben werden. Der Nutzer muss die Auswahl vielmehr selbst aktiv treffen.

Zum anderen verlangt der EuGH umfassende Informationen über Art und Umfang des Einsatzes von Cookies sowie etwaige Datenübertragungen an Dritte. Erforderlich sind unter anderem Angaben zur Funktion der Cookies und zu Zugriffsmöglichkeiten von Dritten.

Mit dem Problem, wie diese Anforderungen konkret in der Praxis umgesetzt werden sollen, lässt der EuGH die betroffenen Unternehmen allerdings allein. Angepasst werden müssen auf der Grundlage des Urteils des EuGH sowohl die bislang üblichen Cookie-Banner als auch die Texte der Datenschutzerklärungen.

Wir geben Ihnen im Folgenden einen Überblick über die aktuelle Rechtslage nach dem Urteil des EuGH und konkrete Tipps zur praktischen Umsetzung.

Rechtslage

Hintergrund des Urteils des EuGH war ein Verfahren des Bundesverbandes der Verbraucherzentralen gegen eine Gewinnspielwerbung der Planet49 GmbH vor dem Landgericht Frankfurt und anschließend dem Oberlandesgericht Frankfurt (OLG Frankfurt) sowie dem Bundesgerichtshof (BGH). In dem Rechtsstreit ging es um eine Einwilligung zum Einsatz eines Traking-Cookies im Rahmen einer Gewinnspielwerbung, bei der in einer Checkbox der Einsatz des Tracking-Cookies voreingestellt war. Der maßgebliche Text lautete wie folgt:

[X] Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht.

Weitere Informationen über den Einsatz, die Datenübertragung und die Dauer der Nutzung des Tracking-Cookies erfolgten nicht.

Das OLG Frankfurt hatte im Rahmen des Rechtsstreits diese Möglichkeit des Opt-Out Verfahrens mit der voreingestellten Checkbox für den Tracking-Cookie noch als rechtskonform eingeordnet. Dies deshalb, weil, das deutsche Recht eine ausdrückliche Einwilligungserklärung durch ein Opt-In Verfahren in den datenschutzrechtlichen Bestimmungen nicht vorsehe. Im Rahmen des Revisionsverfahrens legte der BGH dem EuGH dann verschiedene Fragen zur Vereinbarkeit des deutschen Rechts mit dem europäischen Recht vor. Im Rahmen des Vorlageverfahrens stellte der EuGH nunmehr fest, dass die deutschen datenschutzrechtlichen Regeln zur Einholung einer Einwilligung betreffend die Verwendung von Tracking-Cookies nicht dem europäischen Recht genügen. Dies aus zwei Gründen:

Erstens weil für das Setzen von technisch nicht notwendigen Tracking-Cookies im Bereich der Webanalyse nach europäischem Recht stets ein Opt-In mit einer ausdrücklichen Einwilligung notwendig sei.

Zweitens weil eine Einwilligung eine informierte und freiwillige Entscheidung voraussetze, weshalb eine umfassende Information über den Cookie-Einsatz und die erhobenen und über möglicherweise an Dritte übertragenen Daten erfolgen müsse. Informiert werden müsse außerdem über die Dauer des Einsatzes der Cookies.

Eine bestimmte Frist, innerhalb derer auf das Urteil des EuGH reagiert werden muss, gibt es zwar nicht. Wir empfehlen aber, zeitnah die notwendigen Umstellungen vorzunehmen.

Folgen

Der EuGH hat mit seinem Urteil die bisher gängige Praxis im Bereich der Cookie-Banner in Deutschland auf den Kopf gestellt.

Das Urteil des EuGH betrifft zwar nur technisch nicht notwendige Tracking-Cookies. Sie hat aber generelle Auswirkungen: Erstens auf die Verwendung der technisch nicht notwendigen Tracking-Cookies auf der Landing Page einer Website. Zweitens auf die Gestaltung der bislang üblichen Cookie-Banner sowie drittens die Gestaltung der Datenschutzerklärung.

Erstens muss bei der Gestaltung der Landing Page einer Website daher strikt darauf geachtet werden, dass auf der Landing Page vor der Information des Nutzers über den Einsatz von Cookies und dessen aktiver Entscheidung, ob er technisch nicht notwendige Cookies akzeptieren will oder nicht, keinerlei technisch nicht notwendigen Cookies eingesetzt werden und keine Datenübertragungen an Dritte erfolgen. Dies gilt insbesondere für Tracking-Cookies oder sonstige Marketing Cookies, die in irgend einer Form Aufschluss über das Nutzverhalten geben. Beispiele hierfür sind Tracking Tools wie Google Analytics, LeadLab oder Piwik, Conversion Tools wie Facebook Pixel oder Remarketing Tools.

Nach wie vor auch auf der Landing Page ohne eine vorherige Zustimmung eingesetzt werden können aber technisch notwendige Cookies, die zur Sicherstellung der Funktionalität der Website erforderlich sind. Hierbei kann es sich beispielsweise um Cookies für Logins, Cookies für eine Länder- oder Sprachauswahl, Warenkorb-Cookies oder Consent-Cookies handeln, die für Cookie-Einwilligung notwendig sind. Für eine Übergangszeit wird hier in einigen Bereichen leider aber noch eine gewisse rechtliche Unsicherheit darüber verbleiben, ob ein bestimmter Cookie wirklich technisch notwendig ist oder nicht.

Zweitens müssen die bislang üblichen Cookie Banner angepasst werden. Den Nutzern muss die Möglichkeit gegeben werden, die technisch nicht notwendigen Cookies zu akzeptieren oder abzulehnen. Dabei dürfen auch grundsätzlich keine Voreinstellungen vorgenommen werden, etwa durch Voreinstellungen in Checkboxen. Der Nutzer der Website muss immer die Möglichkeit haben, eine aktive Entscheidung zu treffen, ob er die technisch nicht notwendigen Cookies akzeptieren will oder nicht.

Drittens ist wichtig, dass die aktive Entscheidung des Nutzers auf der Grundlage einer sachgerechten Information und freiwillig erfolgt. Es ist daher notwendig, dass den Nutzern bereits über den Cookie-Banner Informationen über die eingesetzten Cookies, und zwar über alle Cookies, zugänglich gemacht werden. Offen ist in diesem Zusammenhang, ob bestimmte Gruppen von Cookies mit einem identischen Zweck wie beispielsweise der Webanalyse und der Statistik gebildet werden können, was unserer Einschätzung nach zulässig sein dürfte. Gleichwohl verbleibt bei einem solchen Vorgehen aber ein gewisses Restrisiko.

Ergänzend ist zu beachten, dass trotz des Einsatzes der neuen Cookie-Banner die Informationen zum Impressum und die allgemein Datenschutzerklärung auch weiterhin sichtbar sein müssen. Daher empfehlen wir am unteren Ende des neu zu gestaltenden Cookie-Banners ein Link auf das Impressum und die Datenschutzerklärung vorzuhalten und gleichzeitig einen Hinweis auf die Freiwilligkeit der Erklärung zur Einwilligung in nicht notwendige Cookies vorzunehmen. Darüber hinaus ist darauf zu achten, dass ein Hinweis erfolgt, dass die Einwilligung jederzeit für die Zukunft widerrufen werden kann.

Tipps zur praktischen Umsetzung

Auf dem Markt werden eine Vielzahl von Cookie Consent Mangern angeboten. Der Markt ist allerdings ständig in Bewegung und wird sich durch das Urteil des EuGH sicherlich rasant weiter entwickeln. Die Angebote reichen von plattformübergreifenden Tools wie consentmanager, cookie first, oder piwik pro bis hin zu Tools für einzelne Plattformen wie WordPress mit borlabs cookie oder gdpr cookie compliance. Bitte beachten Sie, dass alle Tools in der Regel durch einen Fachmann konfiguriert und die Umsetzung rechtlich abschließend geprüft werden sollte.

Grundsätzlich könnte eine rechtskonforme Gestaltung eines Cookie-Banners wie aus dem hier verfügbaren PDF  ersichtlich umgesetzt werden. Bitte beachten Sie, dass es sich hier lediglich um eine Beispiel für eine mögliche Umsetzung handelt, die eine konkrete Konfiguration und abschließende rechtliche Prüfung nicht ersetzt.

Dr. Michael Heinrich

 

 

 



© 2019 HEINRICH PARTNER RECHTSANWÄLTE