Zusammenfassung der Entscheidung

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hat sich über mehrere nationale Instanzen gegen eine Vorgehensweise des Unternehmens Planet 49 GmbH zur Wehr gesetzt, welches ein Online-Gewinnspiel auf ihrer Website ausgerichtet hat. Schlussendlich wurde seitens des Bundesgerichtshofs („BGH“) im Oktober 2017 (v. 05.10.2017, Az.: I ZR 7/16, ZD 2018, 79, vgl. auch Vorinstanzen OLG Frankfurt a. M. v. 17.12.2015, Az.: 6 U 30/15, BeckRS 2016, 00893; LG Frankfurt a.M. v. 10.12.2014, Az.: 2-06 O 030/14, MMR 2015, 321) das Verfahren ausgesetzt und dem EuGH vom BGH im Rahmen eines Vorabentscheidungsverfahrens nach Art. 267 AEUV mehrere Fragen vorgelegt. Diese betrafen bislang aus datenschutzrechtlicher Sicht höchst umstrittene Probleme, insbesondere hinsichtlich der datenschutzrechtlichen Einordnung von Cookies, der Wirksamkeit einer Einwilligung bezogen auf diese Cookies sowie auf Vorgaben des Transparenzgebotes, in der Praxis zu erfüllen durch entsprechende Datenschutzhinweise nach Art. 13 DS-GVO.

Nach Ansicht des EuGH handelt es sich bei der Sammlung von Daten mittels Cookies grundsätzlich um eine Verarbeitung personenbezogener Daten im Sinne der DS-GVO (EuGH v. 01.10.2019, Az.: C-673/17, BeckRS 2019, 22831, Rn. 45).

Daher gilt das präventive Verbot mit Erlaubnisvorbehalt, wonach eine Datenverarbeitung grundsätzlich verboten ist, wenn diese nicht durch eine Rechtsgrundlage erlaubt ist. Mangels anderweitiger Rechtsgrundlage war nach Ansicht des EuGH das Einholen einer Einwilligung erforderlich. Das Werbeunternehmen hatte sich diese Einwilligung der Betroffenen bezogen auf das Setzen von Cookies eines Webanalysedienst dadurch eingeholt, dass ein bereits voreingestellter Haken in einem Kästchen gesetzt wurde und der Betroffene anschließend auf „OK“ geklickt hat . Nur wenn der Betroffene diesen Haken entfernt hätte, würde er keine entsprechende Einwilligung abgeben. Der EuGH stellte fest, dass unter Berücksichtigung des Art. 6 Abs. 1 Satz 1 lit. a DS-GVO i.V.m. Erwägungsgrund 32 zur DS-GVO ein voreingestellter Haken in einem Kästchen nicht den Anforderungen der DS-GVO an eine wirksame Einwilligung entspricht (vgl. dazu EuGH v. 01.10.2019, Az.: C-673/17, BeckRS 2019, 22831, Rn. 62).

Des Weiteren ist der EuGH in dieser Entscheidung neben den Vorgaben zum präventiven Verbot mit Erlaubnisvorbehalt auch auf Informationspflichten der verantwortlichen Stelle nach Art. 13 DS-GVO eingegangen und hat somit Vorgaben an eine rechtskonforme Datenschutzerklärung auf der Website konkretisiert. Nach Ansicht des Gerichtshofs sind bei einer Verwendung von Cookies Angaben zur Funktionsdauer der Cookies, mindestens hinsichtlich der entsprechenden Kriterien der Dauer, sowie zu der Frage, ob Dritte Zugriff auf diese Cookies erhalten, zwingend erforderlich.

Konsequenzen dieses Urteils

Hinsichtlich der Praxis ergeben sich aus diesem Urteil vielfältige Konsequenzen:

1. Rechtsgrundlage für das Setzen von Cookies

Bisher konnte eine Verwendung von Cookies auf der Homepage mit vertretbaren Argumenten aufgrund der in der Literatur vertretenen Ansichten zumindest auch auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO gestützt werden. Dies ist nach der Entscheidung des EuGH nunmehr nicht mehr möglich, vielmehr geht der EuGH auf diese Rechtsgrundlage erst gar nicht ein. Rechtsgrundlage für eine Datenverarbeitung von Cookies ist nach Ansicht des EuGH ausschließlich Art. 6 Abs. 1 Satz 1 lit. a DS-GVO, so dass zwingend eine Einwilligung vom Betroffenen einzuholen ist.

2. Prozess des Einholens einer Einwilligung auf der Homepage für eine Datenverarbeitung mittels Cookies

Nicht nur, dass eine Einwilligung erforderlich ist, sondern auch, dass nunmehr weitaus ausführlicher zwischen den einzelnen Einwilligungen differenziert werden muss, wird eine Umsetzung in der Praxis nicht erleichtern. Vielmehr wird der Prozess des Einholens von entsprechenden Einwilligungen in der Praxis erschwert werden, insbesondere im Hinblick auf Websiten, welche mehrere Cookies bzw. mehrere Cookiearten setzen wollen. Gerade wenn es sich um Cookies handelt, welche zu unterschiedlichen Zwecken gesetzt werden, beispielsweise technisch erforderliche Cookies oder Cookies zu den Themen Personalisierung, Marketing oder Analytics, muss dem Betroffenen nach Ansicht des EuGH eine Möglichkeit eröffnet werden, seine Einwilligung bezogen auf eine oder mehrere Arten von Cookies abgeben zu können. Demnach darf der Betroffene nicht mehr dazu „gezwungen“ werden, entweder eine generelle Einwilligung in eine Verwendung sämtlicher Cookies zu erteilen oder insgesamt zu verweigern (wie dies aktuell der Fall ist). Vielmehr muss der Betroffene hinsichtlich der einzelnen Einwilligungen differenzieren können und zwar durch ein aktives Handeln, also durch das jeweilige Setzen eines Hakens und anschließender bestätigender Handlung durch Anklicken des „OK“ Buttons.

3. Modifizierungen der Datenschutzerklärung der Homepage

Diese vorstehend dargestellten Ausführungen haben auch zur Folge, dass in der Datenschutzerklärung Ihrer Homepage Modifizierungen hinsichtlich der Angaben zu den Cookies bzw. den verschiedenen Cookiearten vorzunehmen sind. Zum einen betrifft dies Angaben zur Rechtsgrundlage, welche nun zwingend Art. 6 Abs. 1 Satz 1 lit. a DS-GVO zu lauten hat. Des Weiteren sind nach Ansicht des EuGH nunmehr auch detaillierte Angaben zu den verwendeten Cookies erforderlich, ausdrücklich auch Angaben zur Funktionsdauer der Cookies sowie zu der Frage, ob Dritte Zugriff auf diese Cookies erhalten. Gerade bei Websiten, welche eine Vielzahl von Cookies einsetzen, wird dies einen erheblichen Mehraufwand darstellen, da hinsichtlich dieser Vorgaben nach den einzelnen Cookies zu differenzieren ist.

Weitere Vorgehensweise

Wir raten dazu, zunächst zu analysieren, wie viele Cookies insgesamt und wie viele unterschiedliche Cookiearten auf Ihrer Homepage gesetzt werden. Vor dem Hintergrund der aktuellen Entscheidung des EuGH sollte dann kritisch hinterfragt werden, auf welche Cookies verzichtet werden kann, wodurch nachfolgende Arbeiten verschlankt werden können.

Des Weiteren bietet sich an, bis zur datenschutzkonformen Verwendung der Cookies diese für einen Übergangszeitraum zu deaktivieren.

Daran anschließend sollte eine Liste jedes einzelnen Cookies mindestens bestehend aus dem Zweck des Cookies, beispielsweise technisch erforderliche Cookies, Cookies zu den Themen Personalisierung, Marketing oder Analytics etc., der Funktionsdauer sowie der Zugriffsmöglichkeiten Dritter erarbeitet werden.

Sobald eine oben beschriebene Aufklärung des Sachverhalts bezüglich der konkreten Verwendung von Cookies erfolgt ist, gilt es durch technische Maßnahmen sicherzustellen, dass der Betroffene, also der Besucher der Homepage, eine Möglichkeit dahingehend eingeräumt wird, welche Cookies er akzeptiert, mithin seine Einwilligung für diese abgibt und für welche nicht. Dazu müsste Ihr IT Dienstleister kontaktiert und dieser Vorgang mit ihm abgesprochen werden. Es bietet sich in diesem Zusammenhang an, dass Betroffene aus eine Liste sämtlicher verwendeter Cookies, mindestens hinsichtlich der einzelnen Cookiearten, einen Haken bei denjenigen Cookies setzen müssen, welche sie akzeptieren möchten und diese Auswahl danach mit „OK“ bestätigen. Nur auf diese Weise kann den strengen Vorgaben des EuGH entsprochen werden.

Daran anschließend sind auch entsprechende Angaben in der Datenschutzerklärung der Homepage zu modifizieren, insbesondere hinsichtlich der Rechtsgrundlage (nunmehr nur noch Art. 6 Abs. 1 Satz 1 lit. a DS-GVO) sowie den konkreten Angaben zu den Cookies. Dies kann beispielsweise durch ein Einfügen der oben angesprochenen Übersichtsliste der Cookies in das Dokument erfolgen.

Quelle: DORNBACH GMBH Rechtsanwaltsgesellschaft