28.03.2019
Cookie-Einwilligungen: Nach EuGH-Generalanwalt in Zukunft nur mit Opt-In zulässig?
In Deutschland wurde bisher noch generell von der Zulässigkeit der Opt-Out-Lösung ausgegangen. Danach sind Cookies zulässig, wenn der Nutzer auf sie hingewiesen wurden und ihnen nicht widersprochen hat. Der Gesetzgeber sieht das als vereinbar mit der Cookie-Richtlinie an.
Aktuell hat sich der EuGH-Generalanwalt Maciej Szpunar im Rahmen eines Vorabentscheidungsverfahrens in seinem Schlussantrag dazu äußern müssen, ob in dem konkreten Fall eine Opt-out Lösung mit europäischem Datenschutzrecht vereinbar ist (Schlussantrag v. 21.03.2019 – Az.: C-637/17). Seiner Einschätzung nach dürfen Cookies jedoch nur dann vom Webseitenbetreiber gesetzt werden, wenn dieser zuvor per Opt-In die Einwilligung des Besuchers eingeholt hat. Somit wären Opt-Out-Lösungen generell unzulässig.
Um welchen Fall handelte es sich?
Im konkreten Fall hatte der Verbraucherzentrale Bundesverband e.V. gegen einen deutschen Gewinnspielbetreiber geklagt. Dieser hat Einwilligungen seiner Webseitenbesucher in das Ausspielen personalisierter Werbung jeweils per Opt-Out eingeholt, indem die Checkbox, mit der die Einwilligung erteilt werden sollte, bereits angekreuzt war. Dies bedeutete für den Besucher, dass er nur aktiv werden musste, wenn er die Zustimmung nicht erteilen wollte. Nur dann musste er das gesetzte Kreuzchen aktiv per Mausklick entfernen.
Der Rechtsstreit war bereits in der letzten Instanz vor dem BGH angekommen. Dieser setzte das Verfahren allerdings aus und legte dem EuGH die Frage vor, ob diese konkrete Art und Weise Einwilligungen einzuholen mit europäischem Recht vereinbar ist. Wenn der EuGH die Frage beantwortet hat, wird das Verfahren vor dem BGH wieder aufgenommen.
Neben den EuGH-Richtern hat sich auch die Generalanwaltschaft des EuGH mit dem Fall und der Vorlagefrage zu befassen. Im vorliegenden Fall hat Generalanwalt Szpunar dazu die Cookie-Richtlinie und sowohl die Datenschutzrichtlinie als auch die DSGVO herangezogen. Da sich der Sachverhalt bereits 2013 zugetragen hat, ist das damalige Verhalten an der Datenschutzrichtlinie, das zukünftige Verhalten jedoch an der DSGVO zu messen, die seit dem 28.5.2018 die Richtlinie ablöst.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Der Inhalt des Schlussantrags: Opt-Out im konkreten Fall nicht mit EU-Recht vereinbar
Szpunar hat in seiner Beurteilung zunächst die gesetzlichen Vorgaben an eine Einwilligung in Cookies betrachtet und herausgearbeitet, dass diese nur eingehalten würden, wenn Einwilligungen ohne Zwang und in Kenntnis der Sachlage bzw. freiwillig und in informierter Weise erfolgen. Dies sei nicht der Fall, wenn der Nutzer nicht aktiv handeln muss, um seine Einwilligung zu erklären und somit erst Recht nicht, wenn er nur aktiv werden muss um sie nicht zu erteilen.
Des Weiteren hält Szpunar in seinen Äußerungen fest, dass eine Einwilligung immer gesondert erteilt werden müsse. Nur dann sei sie freiwillig und in Kenntnis der Sachlage erteilt. Im konkreten Fall hat der Nutzer jedoch nur eine Handlung vornehmen müssen und zwar die Teilnahme am Gewinnspiel per Mausklick zu bestätigen. Da das Kreuzchen für die Einwilligung schon vorhanden war, musste er nur ein Mal aktiv werden. Er hat also mit ein und derselben Handlung der Teilnahme am Gewinnspiel zugestimmt und die Einwilligung zum Setzen von Cookies erteilt. Dies erscheine wie eine alles umfassende Einwilligung, was nicht mit den Anforderungen an eine Einwilligung in Cookies vereinbar sei.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Welche Bedeutung hat der Schlussantrag für Cookie-Anwender?
Generalanwalt Szpunar hat sich eindeutig dazu geäußert, dass nun auch in Deutschland in bestimmten Konstellationen auf die strengere Opt-In-Lösung umgestellt werden müsse, damit die Anforderungen des europäischen Datenschutzrechts eingehalten werden.
An dieser Stelle ist jedoch darauf hinzuweisen, dass ein Urteil des EuGH in dem Fall noch nicht gefällt wurde. Die Generalanwälte schreiben ihre Stellungnahmen vor dem Urteil. Insbesondere müssen die EuGH-Richter der Auffassung in Schlussanträgen nicht folgen. Genauso wenig bindet der Schlussantrag im konkreten Fall die Anwender von Cookies. Erst, wenn das Urteil gefällt wurde und das Gericht der Meinung des Generalanwalts folgt, ist Klarheit gegeben.
Bisher sah es jedoch meistens so aus, dass die Richter den Schlussanträgen gefolgt sind. Daher empfiehlt es sich diesen Fall im Auge zu behalten, wenn man vorläufig weiterhin die Opt-Out-Lösung anwenden möchte. Cookie-Anwender sollten ohnehin Änderungen der Rechtslage verfolgen, denn in Zukunft wird auch die ePrivacy-Verordnung den Einsatz von Cookies regeln. Dort könnte die Opt-In-Lösung sowieso vorgeschrieben werden. Ob das jedoch wirklich so sein wird und wann die ePrivacy-Verordnung kommt, ist noch unklar.
Benötigen Sie eine Beratung oder haben Fragen zu diesem Thema? Sprechen Sie uns gerne an und wir helfen weiter!
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance