BLOG >>

Klarstellung zu Cookie Banner

Der EuGH hat in einer neuen Entscheidung (Rechtssache C‑673/17) eine für Betreiber von Webseiten wesentliche Frage geklärt. Gemäß dieser Entscheidung stellt ein voreingestelltes Ankreuzkästchen keine wirksame Einwilligung für die rechtmäßige Verwendung von Cookies dar – und zwar auch nicht für die Verwendung solcher Cookies, die keine personenbezogenen Daten verarbeiten. Ebensowenig werden die weit verbreiteten Banner den Anforderungen genügen, die einfach weggeklickt oder stehen gelassen werden und bereits zu diesem Zeitpunkt Daten verarbeiten. Eine Verarbeitung ist erst nach einer eindeutigen und aktiven Handlung möglich, die die Einwilligung zur Datenverarbeitung zum Ausdruck bringt. Zudem muss nunmehr aus technischer Sicht gewährleistet werden, dass bei einer Verweigerung der Zustimmung auch tatsächlich keine Daten gesammelt werden, was derzeit in der Praxis auch oftmals nicht der Fall ist.

In der Begründung ist der EuGH der Ansicht der Artikel-29-Datenschutzgruppe, die nun durch den Europäischen Datenschutzausschuss abgelöst wurde, gefolgt. Er hält fest, dass von einem Nutzer ein aktives und nicht passives Verhalten zu setzen ist, wenn die normative Bestimmung die Abgabe einer „Einwilligung“ des Nutzers verlangt. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Webseite.

Dies macht für viele Webseiten-Betreiber eine Änderung ihrer bisherigen Cookie-Banner erforderlich. Die allen Internet-Usern bekannten Cookie Banner, die den Besucher der Webseite aufmerksam machen, dass diese Webseite Cookies verwendet, aber keine Auswahlmöglichkeit geben, sollten somit in der EU bald der Vergangenheit angehören. Der Cookie Banner wird neben einem Link zu der relevanten Datenschutzerklärung des Webseiten-Betreibers nun stets eine aktive Einwilligung erfordern, wobei die Datenschutzerklärung dem Besucher klare und umfassende Informationen zur Verfügung stellen muss, damit er die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht bestimmen kann und gewährleistet ist, dass er die Einwilligung in voller Kenntnis der Sachlage erteilt. Vor Erteilung dieser Zustimmung dürfen die Cookies keine Daten der Besucher sammeln.

Fraglich ist, welche Auswirkungen diese Entscheidung des EuGH auf die geplante E-Privacy Verordnung hat. Der bisherige Entwurf sieht nämlich vor, dass eine Einwilligung auch, soweit dies technisch möglich und machbar ist, in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht (also dem Internet-Browser), gegeben werden kann. Zu erwähnen ist außerdem, dass der EuGH sich ausdrücklich nicht mit dem „Koppelungsverbot“ beschäftigen musste und daher dazu keine Aussage getroffen hat. Das Koppelungsverbot verbietet es, die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig zu machen, sofern diese Daten für die Erfüllung des Vertrags nicht erforderlich sind. Das wäre zB der Fall, wenn eine Website für Nutzer, die nicht zur Verarbeitung personenbezogener Daten zustimmen, nicht mehr zugänglich gemacht wird. Es ist somit aktuell nicht abschließend geklärt, ob eine solche Koppelung zulässig wäre.