Wie so oft hat auch heute der EuGH der Ansicht des Generalanwalts angeschlossen und dessen Ausführungen aus seinem Schlussantrag vom 21. März 2019 bestätigt.
In dem Verfahren „Planet 49“ ging es um die Frage, ob bei einem Cookie-Banner die pauschale Einwilligung über ein Opt-Out-Verfahren rechtswirksam eingeholt werden kann. 2013 veranstaltete die deutsche Planet49 GmbH unter der Internetadresse www.dein-macbook.de ein Gewinnspiel zu Werbezwecken. Die Anmeldeseite enthielt u.a. Kästchen, das bereits mit einem Häkchen versehen war, womit der Internetnutzer in das Setzen von Cookies auf seinem Computer einwilligte. Das Häkchen konnte vom Internetnutzer jedoch auch entfernt werden.
Zwar ist für das Setzen von Cookies nach wie vor das TMG anwendbar, allerdings spielen hier auch die Vorgaben aus der DSGVO mit ein. Insofern stellte der EuGH klar, dass die getroffene Entscheidung auch unter der DSGVO Gültigkeit hat, da auch für die Zukunft Sicherheit geschafft werden soll.
Zum rechtlichen Hintergrund: Die noch geltende ePrivacy-Richtlinie, die 2009 durch die sog. Cookie-Richtlinie geändert wurde, sieht vor:
Art. 5
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Die deutsche Umsetzung hiervon erfolgte im TMG mit folgendem Wortlaut:
§ 15
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Hier war bisher strittig, ob bei der deutschen Formulierung eine aktive Einwilligung zwingend erforderlich ist, oder ob eine vorgegebene Auswahl ausreicht. Der Generalanwalt gab bereits in seinem Schlussantrag an, dass die Vorgaben der ePrivacy-Richtlinie nicht in vollem Umfang umgesetzt wurden.
Zwar erstreckt sich die DSGVO auch auf Cookies und sonstige Kennungen, soweit diese einen Personenbezug aufweisen. Die DSGVO legt insofern aber keine zusätzlichen Pflichten neben den Vorgaben der ePrivacy-Richtlinie auf.
Zu den einzelnen Fragen des BGH lautet das Fazit des EuGH wie folgt:
Vorlagefrage 1
a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der ePrivacy-Richtlinie in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
Antwort:
Nein. Das Setzen von Cookies bzw. der Zugriff auf Cookies ist unzulässig, sofern dies im Wege eines Opt-Out-Verfahrens erfolgt und die erforderliche Einwilligung nicht gesondert abgegeben werden kann, sondern nur gleichzeitig mit dem Abschluss eines Gewinnspiels. Es ist davon auszugehen, dass auch allein die Verwendung des Opt-Out-Verfahrens zu demselben Ergebnis geführt hätte.
b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der ePrivacy-Richtlinie in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
Antwort:
Nein. Das Einwilligungserfordernis des Art. 5 Abs. 3 ePrivacy-Richtlinie gilt sowohl im Falle von personenbezogenen Daten als auch im Falle nicht-personenbezogener Informationen.
c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der DSGVO vor?
Antwort:
Nein. Für Einwilligungen nach der DSGVO gelten dieselben Rechtmäßigkeitsanforderungen wie für Einwilligungen nach der ePrivacy-Richtlinie.
Vorlagefrage 2
Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der ePrivacy-Richtlinie vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Antwort:
Im Rahmen der nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderlichen Informationen muss der User auch auf die Funktionsdauer sowie die Frage, ob Dritte Zugriff auf die Cookies haben, hingewiesen werden.
Fazit:
Mit dem heutigen Urteil ist das weiterhin verbreitete Opt-Out-Modell endgültig am Ende. Denn auch wenn in Vorlageentscheidungen allein das vorlegende Gericht (hier der Bundesgerichtshof) und der nachfolgende Instanzenzug einer formalen Bindung unterliegen, geht von Urteilen des EuGH eine allgemeine präjudizielle Wirkung aus. Andere Gerichte sowie staatliche Stellen (z.B. Aufsichtsbehörden) werden bei gleich oder ähnlich gelagerten Sachverhalten nicht abweichend entscheiden bzw. vollziehen (können).
Cookies - seien sie personenbezogen oder nicht - müssen immer vom Kunden aktiv zugelassen werden. Dabei muss die Einwilligung für den konkreten Fall vorliegen und informiert gegeben werden. Dies ist nach Ansicht des EuGH nur in Kenntnis der Sachlage erfolgen. Folglich müssen dem Kunden alle Informationen an die Hand gegeben werden, die für seine Entscheidung erheblich sind. Diese Informationen entsprechen den Vorgaben aus Art. 13 DSGVO – insbesondere also Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können. Nach hiesiger Ansicht bezieht sich das Urteil nur auf Cookies, für die eine Einwilligung erforderlich ist. Technische Cookies sind nicht von dem Urteil betroffen.
Ob dies den Verbraucherinteressen tatsächlich gerecht wird oder Verbraucher nicht abgeschreckt werden aufgrund der Informationsflut auf der einen Seite und zu befürchtender Einschränkung bei der Usability auf der anderen Seite bleibt abzuwarten.