Cookie-Einwilligungen: Nach EuGH-Generalanwalt in Zukunft nur mit Opt-In zulässig?

In Deutschland wurde bisher noch generell von der Zulässigkeit der Opt-Out-Lösung ausgegangen. Danach sind Cookies zulässig, wenn der Nutzer auf sie hingewiesen wurden und ihnen nicht widersprochen hat. Der Gesetzgeber sieht das als vereinbar mit der Cookie-Richtlinie an.

Aktuell hat sich der EuGH-Generalanwalt Maciej Szpunar im Rahmen eines Vorabentscheidungsverfahrens in seinem Schlussantrag dazu äußern müssen, ob in dem konkreten Fall eine Opt-out Lösung mit europäischem Datenschutzrecht vereinbar ist (Schlussantrag v. 21.03.2019 – Az.: C-637/17). Seiner Einschätzung nach dürfen Cookies jedoch nur dann vom Webseitenbetreiber gesetzt werden, wenn dieser zuvor per Opt-In die Einwilligung des Besuchers eingeholt hat. Somit wären Opt-Out-Lösungen generell unzulässig.

Um welchen Fall handelte es sich?

Im konkreten Fall hatte der Verbraucherzentrale Bundesverband e.V. gegen einen deutschen Gewinnspielbetreiber geklagt. Dieser hat Einwilligungen seiner Webseitenbesucher in das Ausspielen personalisierter Werbung jeweils per Opt-Out eingeholt, indem die Checkbox, mit der die Einwilligung erteilt werden sollte, bereits angekreuzt war. Dies bedeutete für den Besucher, dass er nur aktiv werden musste, wenn er die Zustimmung nicht erteilen wollte. Nur dann musste er das gesetzte Kreuzchen aktiv per Mausklick entfernen.

Der Rechtsstreit war bereits in der letzten Instanz vor dem BGH angekommen. Dieser setzte das Verfahren allerdings aus und legte dem EuGH die Frage vor, ob diese konkrete Art und Weise Einwilligungen einzuholen mit europäischem Recht vereinbar ist. Wenn der EuGH die Frage beantwortet hat, wird das Verfahren vor dem BGH wieder aufgenommen.

Neben den EuGH-Richtern hat sich auch die Generalanwaltschaft des EuGH mit dem Fall und der Vorlagefrage zu befassen. Im vorliegenden Fall hat Generalanwalt Szpunar dazu die Cookie-Richtlinie und sowohl die Datenschutzrichtlinie als auch die DSGVO herangezogen. Da sich der Sachverhalt bereits 2013 zugetragen hat, ist das damalige Verhalten an der Datenschutzrichtlinie, das zukünftige Verhalten jedoch an der DSGVO zu messen, die seit dem 28.5.2018 die Richtlinie ablöst.

Der Inhalt des Schlussantrags: Opt-Out im konkreten Fall nicht mit EU-Recht vereinbar

Szpunar hat in seiner Beurteilung zunächst die gesetzlichen Vorgaben an eine Einwilligung in Cookies betrachtet und herausgearbeitet, dass diese nur eingehalten würden, wenn Einwilligungen ohne Zwang und in Kenntnis der Sachlage bzw. freiwillig und in informierter Weise erfolgen. Dies sei nicht der Fall, wenn der Nutzer nicht aktiv handeln muss, um seine Einwilligung zu erklären und somit erst Recht nicht, wenn er nur aktiv werden muss um sie nicht zu erteilen.

Des Weiteren hält Szpunar in seinen Äußerungen fest, dass eine Einwilligung immer gesondert erteilt werden müsse. Nur dann sei sie freiwillig und in Kenntnis der Sachlage erteilt. Im konkreten Fall hat der Nutzer jedoch nur eine Handlung vornehmen müssen und zwar die Teilnahme am Gewinnspiel per Mausklick zu bestätigen. Da das Kreuzchen für die Einwilligung schon vorhanden war, musste er nur ein Mal aktiv werden. Er hat also mit ein und derselben Handlung der Teilnahme am Gewinnspiel zugestimmt und die Einwilligung zum Setzen von Cookies erteilt. Dies erscheine wie eine alles umfassende Einwilligung, was nicht mit den Anforderungen an eine Einwilligung in Cookies vereinbar sei.

Welche Bedeutung hat der Schlussantrag für Cookie-Anwender?

Generalanwalt Szpunar hat sich eindeutig dazu geäußert, dass nun auch in Deutschland in bestimmten Konstellationen auf die strengere Opt-In-Lösung umgestellt werden müsse, damit die Anforderungen des europäischen Datenschutzrechts eingehalten werden.

An dieser Stelle ist jedoch darauf hinzuweisen, dass ein Urteil des EuGH in dem Fall noch nicht gefällt wurde. Die Generalanwälte schreiben ihre Stellungnahmen vor dem Urteil. Insbesondere müssen die EuGH-Richter der Auffassung in Schlussanträgen nicht folgen. Genauso wenig bindet der Schlussantrag im konkreten Fall die Anwender von Cookies. Erst, wenn das Urteil gefällt wurde und das Gericht der Meinung des Generalanwalts folgt, ist Klarheit gegeben.

Bisher sah es jedoch meistens so aus, dass die Richter den Schlussanträgen gefolgt sind. Daher empfiehlt es sich diesen Fall im Auge zu behalten, wenn man vorläufig weiterhin die Opt-Out-Lösung anwenden möchte. Cookie-Anwender sollten ohnehin Änderungen der Rechtslage verfolgen, denn in Zukunft wird auch die ePrivacy-Verordnung den Einsatz von Cookies regeln. Dort könnte die Opt-In-Lösung sowieso vorgeschrieben werden. Ob das jedoch wirklich so sein wird und wann die ePrivacy-Verordnung kommt, ist noch unklar.

Benötigen Sie eine Beratung oder haben Fragen zu diesem Thema? Sprechen Sie uns gerne an und wir helfen weiter!