Mit seiner Entscheidung am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) über die datenschutzrechtliche Erforderlichkeit von aktiven Einwilligungen für Cookies entschieden: Demnach dürfen Webseiten Cookies nur dann speichern, wenn seitens des jeweiligen Nutzers eine aktive Einwilligung vorliegt. Darüber hinaus müssen die Nutzer vollumfänglich bezüglich der Verarbeitung ihrer Daten informiert werden. Dies gilt insbesondere für die Weitergabe von Daten an Dritte und andere Empfänger. In unserem Blogbeitrag erfahren Sie weitere Einzelheiten.
Ein bereits angekreuztes Kästchen genügt nicht den Anforderungen einer Einwilligung
Die Rechtssache C-673/17 betraf ein Vorabentscheidungsverfahren nach Art. 267 AEUV, das vom Bundesgerichtshof mit Entscheidung vom 5. Oktober 2017 eingereicht wurde. Das Verfahren ist bei dem Europäischen Gerichtshof am 30. November 2017 eingegangen. In der Rechtssache geht es um einen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Deutschland) und einer GmbH, die Online-Gewinnspiele anbietet. Inhaltlich ging es um die Einwilligung der Teilnehmer an einem von dieser GmbH zu Werbezwecken veranstalteten Gewinnspiel in die Weitergabe ihrer personenbezogenen Daten an Sponsoren und Kooperationspartner sowie in die Speicherung von Informationen auf dem Endgerät der Teilnehmer und den Zugang zu den gespeicherten Informationen. Der EuGH stellte in dem Urteil klar, dass ein vorangekreuztes Kästchen nicht die Anforderungen an eine Einwilligung erfüllt. Vielmehr muss eine aktive Handlung seitens des Nutzers stattfinden. Das betroffene Unternehmen verwendete ein derartiges vorangekreuztes Kästchen bei Online-Gewinnspielen für Werbezwecke. Außerdem sei die Einwilligung auch nicht gesondert erteilt worden, weil die Einwilligung ein Teil der Teilnahme an dem Gewinnspiel bildete.
EuGH: Kein Unterschied, ob es sich um personenbezogene Daten handelt
Bemerkenswert ist in diesem Zusammenhang das Statement des EuGHs, das es im Ergebnis gar nicht darauf ankommt, ob durch die Cookies personenbezogene Daten verarbeitet werden oder nicht. Die betroffene GmbH hatte nämlich argumentiert, dass es sich bei Cookies nur um pseudonymisierte Daten handelt, die keinen konkreten Bezug zu einer Person haben. Dieses Argument wehrte der EuGH mit der Begründung ab, dass das Unionsrecht Nutzer vor jedem Eingriff in die eigene Privatsphäre schützen will. Hierzu würde insbesondere die Gefahr gehören, dass sog. Hidden Identifiers oder ähnliche Tools in das Gerät des jeweiligen Nutzers eindringen. Darüber hinaus konstatierte der EuGHs in seinem Urteil, dass konkrete Angaben zu der Verarbeitung und den Zugriffsmöglichkeiten durch Dritte gemacht werden müssen. Durch diese Entscheidung dürfte endgültig klar sein, dass eine bloße Information der Nutzer nach dem bisherigen Telemediengesetz und ein Opt-Out-Verfahren definitiv nicht genügen. Aus der Entscheidung des EuGH ergeben sich explizite Anforderungen an Cookie-Banner. Diese erfüllen die Anforderungen an eine Einwilligung jedenfalls dann nicht, wenn sie einfach weggeklickt werden können und dennoch Cookies gespeichert werden. Der Cookie-Banner von hellotrust beinhaltet alle erforderlichen datenschutzrechtlichen Angaben und ermöglicht die rechtskonforme Einholung von Einwilligungen für Cookies.