28.03.2019

Cookie-Einwilligungen: Nach EuGH-Generalanwalt in Zukunft nur mit Opt-In zulässig?

In Deutschland wurde bisher noch generell von der Zulässigkeit der Opt-Out-Lösung ausgegangen. Danach sind Cookies zulässig, wenn der Nutzer auf sie hingewiesen wurden und ihnen nicht widersprochen hat. Der Gesetzgeber sieht das als vereinbar mit der Cookie-Richtlinie an.

Aktuell hat sich der EuGH-Generalanwalt Maciej Szpunar im Rahmen eines Vorabentscheidungsverfahrens in seinem Schlussantrag dazu äußern müssen, ob in dem konkreten Fall eine Opt-out Lösung mit europäischem Datenschutzrecht vereinbar ist (Schlussantrag v. 21.03.2019 – Az.: C-637/17). Seiner Einschätzung nach dürfen Cookies jedoch nur dann vom Webseitenbetreiber gesetzt werden, wenn dieser zuvor per Opt-In die Einwilligung des Besuchers eingeholt hat. Somit wären Opt-Out-Lösungen generell unzulässig.

Um welchen Fall handelte es sich?

Im konkreten Fall hatte der Verbraucherzentrale Bundesverband e.V. gegen einen deutschen Gewinnspielbetreiber geklagt. Dieser hat Einwilligungen seiner Webseitenbesucher in das Ausspielen personalisierter Werbung jeweils per Opt-Out eingeholt, indem die Checkbox, mit der die Einwilligung erteilt werden sollte, bereits angekreuzt war. Dies bedeutete für den Besucher, dass er nur aktiv werden musste, wenn er die Zustimmung nicht erteilen wollte. Nur dann musste er das gesetzte Kreuzchen aktiv per Mausklick entfernen.

Der Rechtsstreit war bereits in der letzten Instanz vor dem BGH angekommen. Dieser setzte das Verfahren allerdings aus und legte dem EuGH die Frage vor, ob diese konkrete Art und Weise Einwilligungen einzuholen mit europäischem Recht vereinbar ist. Wenn der EuGH die Frage beantwortet hat, wird das Verfahren vor dem BGH wieder aufgenommen.

Neben den EuGH-Richtern hat sich auch die Generalanwaltschaft des EuGH mit dem Fall und der Vorlagefrage zu befassen. Im vorliegenden Fall hat Generalanwalt Szpunar dazu die Cookie-Richtlinie und sowohl die Datenschutzrichtlinie als auch die DSGVO herangezogen. Da sich der Sachverhalt bereits 2013 zugetragen hat, ist das damalige Verhalten an der Datenschutzrichtlinie, das zukünftige Verhalten jedoch an der DSGVO zu messen, die seit dem 28.5.2018 die Richtlinie ablöst.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Der Inhalt des Schlussantrags: Opt-Out im konkreten Fall nicht mit EU-Recht vereinbar

Szpunar hat in seiner Beurteilung zunächst die gesetzlichen Vorgaben an eine Einwilligung in Cookies betrachtet und herausgearbeitet, dass diese nur eingehalten würden, wenn Einwilligungen ohne Zwang und in Kenntnis der Sachlage bzw. freiwillig und in informierter Weise erfolgen. Dies sei nicht der Fall, wenn der Nutzer nicht aktiv handeln muss, um seine Einwilligung zu erklären und somit erst Recht nicht, wenn er nur aktiv werden muss um sie nicht zu erteilen.

Des Weiteren hält Szpunar in seinen Äußerungen fest, dass eine Einwilligung immer gesondert erteilt werden müsse. Nur dann sei sie freiwillig und in Kenntnis der Sachlage erteilt. Im konkreten Fall hat der Nutzer jedoch nur eine Handlung vornehmen müssen und zwar die Teilnahme am Gewinnspiel per Mausklick zu bestätigen. Da das Kreuzchen für die Einwilligung schon vorhanden war, musste er nur ein Mal aktiv werden. Er hat also mit ein und derselben Handlung der Teilnahme am Gewinnspiel zugestimmt und die Einwilligung zum Setzen von Cookies erteilt. Dies erscheine wie eine alles umfassende Einwilligung, was nicht mit den Anforderungen an eine Einwilligung in Cookies vereinbar sei.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 8 und 8?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Welche Bedeutung hat der Schlussantrag für Cookie-Anwender?

Generalanwalt Szpunar hat sich eindeutig dazu geäußert, dass nun auch in Deutschland in bestimmten Konstellationen auf die strengere Opt-In-Lösung umgestellt werden müsse, damit die Anforderungen des europäischen Datenschutzrechts eingehalten werden.

An dieser Stelle ist jedoch darauf hinzuweisen, dass ein Urteil des EuGH in dem Fall noch nicht gefällt wurde. Die Generalanwälte schreiben ihre Stellungnahmen vor dem Urteil. Insbesondere müssen die EuGH-Richter der Auffassung in Schlussanträgen nicht folgen. Genauso wenig bindet der Schlussantrag im konkreten Fall die Anwender von Cookies. Erst, wenn das Urteil gefällt wurde und das Gericht der Meinung des Generalanwalts folgt, ist Klarheit gegeben.

Bisher sah es jedoch meistens so aus, dass die Richter den Schlussanträgen gefolgt sind. Daher empfiehlt es sich diesen Fall im Auge zu behalten, wenn man vorläufig weiterhin die Opt-Out-Lösung anwenden möchte. Cookie-Anwender sollten ohnehin Änderungen der Rechtslage verfolgen, denn in Zukunft wird auch die ePrivacy-Verordnung den Einsatz von Cookies regeln. Dort könnte die Opt-In-Lösung sowieso vorgeschrieben werden. Ob das jedoch wirklich so sein wird und wann die ePrivacy-Verordnung kommt, ist noch unklar.

Benötigen Sie eine Beratung oder haben Fragen zu diesem Thema? Sprechen Sie uns gerne an und wir helfen weiter!

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …