In einem Verfahren gegen eine deutsche Gewinnspielseite hat der Generalanwalt beim EuGH Maciej Szpunar den Schlussantrag gestellt. Darin stellt er hohe Anforderungen an den rechtmäßigen Einsatz von Cookies auf Internetseiten, die deutlich über die von vielen deutschen Unternehmen zu Grunde gelegten Anforderungen des Telemediengesetzes hinausgehen.
Hintergrund
In dem bereits sechs Jahre dauernden Rechtsstreit hat der Verbraucherzentrale Bundesverband e.V. eine Internetseite mit einem Gewinnspiel verklagt. Auf dieser Internetseite war folgender Hinweistext mit voreingestelltem Haken eingestellt:
„Ich bin einverstanden, dass der Webanalysedienst [...] bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [...] GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches [...] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch [...] ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
In den weiterführenden Informationen konnte der Nutzer mehr über die gesetzten Cookies und über die personalisierte Werbung erfahren. Auf Vorlage des Bundesgerichtshofs hat nun der Europäische Gerichtshof (EuGH) zu entscheiden, ob dieses Vorgehen als wirksame Rechtsgrundlage für den Einsatz von Cookies dienen kann.
Der vorliegende Schlussantrag des Generalanwaltes ist zwar für den EuGH rechtlich nicht bindend. Er bietet jedoch einen guten Indikator für die spätere Entscheidung, da der EuGH sich bei seinen Urteilen regelmäßig an dem Schlussantrag des Generalanwaltes orientiert.
Keine wirksame Einwilligung durch opt-out
Der Generalanwalt stellt klar, dass ein voreingestellter Haken neben einem Hinweistext keine aktive Einwilligung darstellen könne. Hierfür müsse der Nutzer den Haken neben dem Hinweistext selbst aktiv setzen. Auch die nachgelagerte aktive Erklärung des Nutzers, an dem Gewinnspiel teilnehmen zu wollen, könne nicht als aktive Einwilligung in das zusätzliche Setzen der Cookies bewertet werden. Dieses Erfordernis gelte unabhängig davon, ob aus Cookies gewonnene Informationen einen Personenbezug haben.
Mehr Informationen für Nutzer notwendig
Weiterhin seien die den Nutzern erteilten Informationen sowohl nach der alten Datenschutzrichtlinie als auch nach der seit Mai 2018 gültigen EU Datenschutz-Grundverordnung unzureichend. Laut Generalanwalt hätten die Nutzer für eine rechtswirksame informierte Einwilligungserklärung sowohl über die Funktionsdauer der Cookies als auch über den Zugriff von Dritten auf die Informationen informiert werden müssen. Dabei müsse die Identität dieser Dritten konkret offengelegt werden. Ohne diese Informationen könne ein Nutzer seine Einwilligung nicht in Kenntnis der Sachlage erteilen.
Fazit und Handlungsempfehlungen
Mit seinen hohen Anforderungen an den rechtmäßigen Einsatz von Cookies ist der Generalanwalt auf einer Linie mit den europäischen und deutschen Datenschutzaufsichtsbehörden (vgl. beispielsweise das Positionspapier der Datenschutzkonferenz zur Anwendbarkeit des Telemediengesetzes). Spätestens, wenn der EuGH sich dem Schlussantrag des Generalanwaltes anschließen sollte, werden die Datenschutzaufsichtsbehörden diese Ansicht auch aktiv durchsetzen. Unternehmen, die weiterhin Cookies auf Grundlage von opt-out Einwilligungen mit unzureichend erteilten Informationen setzen, drohen gegebenenfalls Bußgelder und Abmahnungen. Um dieses Risiko zu minimieren, sollten Unternehmen möglichst bereits vor dem Urteil des EuGH eine Lösung in der Schublade haben, welche ihnen auch weiterhin den rechtmäßigen Einsatz von Cookies ermöglicht.
Zudem sollten Unternehmen die aktuell beim EU-Gesetzgeber verhandelte E-Privacy Verordnung im Blick behalten. Aktuell ist zwar nach wie vor unklar, wann und ob diese Verordnung in Kraft tritt. Voraussichtlich bringt die Verordnung bei Inkrafttreten jedoch weitere Anforderungen für den rechtmäßigen Einsatz von Cookies mit sich.