.

News

Keine Cookies ohne Einwilligung

Jeder Webseiten-Betreiber braucht eine aktive Einwilligung seiner Nutzer, um Tracking betreiben zu dürfen. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung des „Trackings“ zur Nachverfolgung seines Surfverhaltens abwählen muss, gilt nicht als wirksam erteilte Einwilligung. Dies hat der Europäische Gerichtshof in einem aktuellen Urteil entschieden (EuGH, Az.:C-673/17).

Was sind Cookies?

„Cookies“ sind Textdateien mit Informationen, die es einem Webserver ermöglichen, einen Internetnutzer wiederzuerkennen. Tracking-Anbieter, wie Google Analytics setzen Cookies ein, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise dessen Surfverhalten und damit seine Interessen zu erfassen.

Das Urteil:

Im Fall vor dem EuGH geht es um eine Gewinnspielregistrierung, bei der die Einwilligungserklärung zum Setzen von Cookies mit der Teilnahme am Gewinnspiel verbunden war.

Um an dem Gewinnspiel teilnehmen zu können, mussten die Internetnutzer

a. ihre Postleitzahl und

b. Namen und Adresse eingeben.

1) Ankreuzfeld zur Einwilligung von Werbezusendungen.

2) Ankreuzfeld zur Einwilligung des Webanalysedienstes zum Tracking mit voreingestellten Häkchen

Die Besonderheit war, dass eine Teilnahme am Gewinnspiel nur möglich war, wenn zumindest das Häkchen im ersten Ankreuzkästchen (1) gesetzt wurde.

Rechtsgrundlage:

Den EUGH-Richters zufolge soll Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58 (EU DS-RiLi) den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind. Die Datenschutzrichtlinie wurde von der EU-Datenschutz-Grundverordnung abgelöst, die seit 25.05.2019 Geltung hat. Die Schutzrichtung ist deckungsgleich.

Auslegung der EUGH-Richter:

Für die EUGH-Richter ist die Deaktivierung eines Häkchens, damit kein Tracking erfolgt, keine taugliche Einwilligung. Nach der EU DS-RiLi und – nachfolgend – der Datenschutz-Grundverordnung (DSGVO) bedarf es eine aktive, freiwillige Handlung des Nutzers. Wer das Häkchen nicht selbst setzt, willige nicht aktiv ein.

Was gilt für Session-Cookies?

Die EuGH-Richter ziehen in ihrer Entscheidung Art. 5 Abs. 3 der Datenschutz-Richtlinie 2002/58 heran:

Folgt man dieser Auslegung, wäre eine Einwilligung nicht erforderlich, wenn…. der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Welche Regelung gilt? EU-DSGVO oder E-Privacy-Richtlinie?

In der Datenschutz-Grundverordnung ist die Erfassung und Verarbeitung von personenbezogenen Daten bei der Nutzung von vernetzten Geräten im Internet geregelt. Wenn das Tracking auf der Speicherung von Informationen oder dem Zugriff auf Informationen im Endgerät eines Nutzers, z. B. mittels Cookies, basiert, gelten die E-Privacy-Regelungen, über den Entwurf wird derzeit im Rat verhandelt.

Konsequenzen für Unternehmen und Werbungtreibende

Die Entscheidung stellt neue, strenge Anforderungen an Unternehmen, die Werbung an Internet-Nutzer ausliefern wollen, um sie zu einem Besuch auf ihre Webseite zu bewegen. Der europäische Gesetzgeber hat bereits im Jahr 2009 in der E-Privacy-Richtlinie vorgesehen, dass Betreiber von Webseiten für Tracking-Cookies die aktive Einwilligung der Nutzer einholen müssen. Der Vorgabe folgten aber nicht alle Mitgliedstaaten. Der deutsche Gesetzgeber setzte die Richtlinie nicht um. Das Telemediengesetz (TMG) erlaubt die Nutzung von Cookies mittels einer reinen Widerspruchslösung. Mehr Klarheit brachte die neue Datenschutzgrundverordnung (EU-DSGVO), die eine transparente und freiwillige Einwilligung vorschreibt. Das EUGH-Urteil bestätigt nun diese Anforderungen. Die EuGH-Richter gehen bewusst nicht auf § 15 TMG ein, sondern stellen auf Art. 5 Abs. 3 EU DS-RiLi für elektronische Kommunikation ein.

Der EuGH gibt mit seinem Urteil klar vor, dass die Schutzrichtung eindeutig ist, die DSGVO und die EU DS-RiLi zur elektronischen Kommunikation müssen miteinander betrachtet werden. Passives Weitersurfen oder Wegklicken des Banners reicht nicht aus. Dem Nutzer müssen Informationen über zur Verwendung seiner Daten zur Verfügung gestellt werden, also wie die Betreiber seine Interessen erfassen und mit Dritten teilen. Wird das Surfverhalten des Nutzers verfolgt, muss der Nutzer die Möglichkeit haben, das Tracking abzulehnen oder aktiv zuzustimmen.

Verschärfte Informationspflichten in der Datenschutzerklärung

Nach dem aktuellen EuGH-Urteil heißt es: „ Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Dienste-Anbieter dem Nutzer einer Website zu geben hat.“

Die EuGH-Richter verweisen auf Art. 5 Abs 3 der Datenschutz-Richtlinie 2002/58 in Verbindung mit Art. 10 der Datenschutz-Richtlinie 95/46 sowie auf Art. 13 EU-DSGVO. Dort sind die Informationen aufgeführt, die der Webseiten-Nutzer vom Verantwortlichen erhalten muss.

Verantwortliche müssen im Rahmen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Dies bedeutet, dass Verantwortliche vorab prüfen und dokumentieren müssen, auf welchen Erlaubnistatbestand sie die Verarbeitung stützen. Die Nutzer müssen über die Erlaubnistatbestände für sämtliche Verarbeitungen ihrer personenbezogenen Daten informiert werden (Informationspflichten nach Art. 13 f. DSGVO). Dies erfolgt in der Datenschutzerklärung.

Bei der Verwendung von IP-Adressen, technisch notwendigen Cookies, die für den Betrieb des Telemediendienstes notwendig sind, dient als Erlaubnistatbestand nach aktueller Rechtsauffassung das „berechtigte Interesse“ nach Artikel 6 Absatz 1 lit. f EU-DSGVO.

Was ist zu tun?

Unternehmen haben jetzt folgende Möglichkeiten:

  1. Unternehmen stellen ihre Trackingaktivitäten ein. Denn selbst die Erfassung von pseudonymisierten Daten steht unter dem Schutz der Datenschutzrichtlinie für elektronische Kommunikation 2002/58 (EU DS-RiLi).
  2. Bei technisch notwendigen Cookies ist ein Hinweis in der Datenschutzerklärung mit Verweis auf das „berechtigte Interesse“ ( Art. 6 Abs.1 lit. f EU-DSGVO) aufzunehmen.
  3. Unternehmen wollen Tracking betreiben, dann sollten sie ihre Nutzer über den Zweck der Datenerhebung, den Umfang und welche Drittanbieter Zugang zu den Informationen haben informieren. Sie müssen nach einer aktiven Einwilligung fragen, die durch ein aktives Kreuzchen, gesetzt wird.

Welche Relevanz hat das Telemediengesetz (TMG) gegenüber der EU-DSGVO?

Die Landesdatenschutzbehörden prüfen die Anforderungen an die EU-DSGVO, wenn personenbezogene Daten betroffen sind. Den Verweis auf das Telemediengesetz, dass eine Widerspruchslösung vorsieht, schützt die Unternehmen nicht vor Bußgeldern. Auch die Bundesregierung sieht sich nun in der Pflicht, das Telemediengesetz an die europäische Rechtslage anzupassen.