EuGH äußert sich zu den Anforderungen beim Cookie-Einsatz

Dr. Carlo Piltz

Mit seiner Entscheidung im Fall Planet49 hat der EuGH in grundlegenden Fragen des geltenden Datenschutzrechts ein Stück mehr Klarheit geschaffen. Vorausgegangen war dieser Entscheidung ein Rechtsstreit, vor dem das Unternehmen Planet49 ein Gewinnspiel auf einer Website veranstaltet und in diesem Rahmen ein vorangekreuztes Feld mit einem Text platziert hatte, nach dem das Unternehmen auf dem Endgerät des Gewinnspielteilnehmers ein Cookie setzen darf, um dessen Surf- und Nutzerverhalten für Werbezwecke auswerten zu können. Und genau an dieser Frage, nämlich ob das besagte Kästchen vorangekreuzt sein darf oder nicht, entzündete sich der Streit.

Der EuGH entschied (wenig überraschend), dass diese Praxis keine wirksame Einwilligung im Sinne der ePrivacy-Richtlinie 2002/58/EG (EPRL) darstellt. Allerdings ist der Websitebetreiber nach wie vor dann nicht verpflichtet, eine Einwilligung für ein Cookie einzuholen, wenn es sich um ein für den Dienst technisch erforderliches Cookie handelt. Mit hoher Sicherheit meint dies Cookies, die die Spracheinstellungen oder die Inhalte des Warenkorbs des Websitebesuchers für weitere Besuche speichern. Welche Cookies darüber hinaus technisch erforderlich sind, bleibt vorerst höchstrichterlich ungeklärt und bedarf der Begründung im konkreten Einzelfall.

Ausdrücklich offen ließ das Gericht insoweit auch die Frage, ob es erlaubt ist, die Einwilligung in die Datenverarbeitung zu Werbezwecken von der Teilnahme an dem Gewinnspiel abhängig zu machen. Denn eine Einwilligung muss grundsätzlich nach Art. 4 Nr. 11 DSGVO „freiwillig“ sein. Und in Art. 7 Abs. 4 DSGVO existiert das sogenannte Kopplungsverbot, das es dem Grunde nach verbietet, eine vertragliche Leistung von einer Einwilligung in eine Datenverarbeitung abhängig zu machen. Ob man also ein Gewinnspiel von einer Datenverarbeitung für Werbezwecke abhängig machen darf, ist noch offen und wird früher oder später durch die Gerichte geklärt werden müssen.

Da es in Art. 5 Abs. 3 der EPRL nur um den „Zugriff“ bzw. die „Speicherung von Informationen (!)“ geht, entschied der EuGH darüber hinaus, dass es unbeachtlich sei, ob die verarbeitete Information personenbezogen ist oder nicht. D. h., unabhängig vom Personenbezug bedarf es einer Einwilligung entsprechend der Norm, wenn die Datenverarbeitung nicht zur Erbringung des Dienstes technisch erforderlich ist. Da die Auswertung des Surfverhaltens für Werbezwecke technisch nicht erforderlich ist, bedarf es für derartige Zwecke zukünftig einer ausdrücklichen, aktiven Einwilligung des Nutzers.

Zu guter Letzt urteilte der EuGH, dass Art. 5 Abs. 3 EPRL so ausgelegt werden muss, dass der Websitebesucher bzgl. eingesetzter Cookies über die Speicherdauer und den Zugriff auf die hierbei verarbeiteten Daten durch Dritte informiert werden muss. Ob diese Information allerdings schon im Rahmen der Einholung der Einwilligung, also beim Aufruf der Website, eingeholt werden muss oder ob es ausreicht, diese Angaben in der Datenschutzerklärung der Website zu platzieren, ist noch offen. Es sprechen gute Gründe dafür, dass die Informationen auch in der Datenschutzerklärung enthalten sein können. Auf diese muss dann aber mindestens, vor Abgabe der Einwilligung, deutlich hingewiesen werden, damit auf der Grundlage dieser Informationen die Einwilligung erteilt werden kann.

Was sollte nach diesem Urteil des EuGH also getan werden?

  • Wird ein Cookie beim Websitebesucher gesetzt, muss von diesem in Zukunft eine Einwilligung eingeholt werden, sofern das Cookie nicht technisch erforderlich ist.
  • Außerdem muss über die Speicherdauer und (mindestens) die Kategorien von Empfängern der durch das Cookie verarbeiteten Daten informiert werden.

[Oktober 2019]