Mit Urteil vom 1. Oktober 2019 in der Rechtssache C-673/17 hat der EuGH entschieden, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. Die Einwilligung müsse vielmehr klar, ausdrücklich, für den konkreten Einzelfall und unter Zurverfügungstellung der notwendigen Informationen erteilt werden. Damit positioniert sich der EuGH deutlich gegen die gängige Praxis von vorangekreuzten Einwilligungsfeldern und/oder rein informatorischen Cookie-Bannern.
Dem Urteil des EuGH liegt ein Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände– Verbraucherzentrale Bundesverband e. V. (vzbv) und der Planet49 GmbH, einem Anbieter von Online-Gewinnspielen zugrunde. Planet49 veranstaltete im Jahr 2013 ein Gewinnspiel zu Werbezwecken, in dessen Rahmen Nutzer ihre Postleitzahl, Adresse und ihren Nahmen angeben mussten, um teilnehmen zu können. Das hierzu zur Verfügung gestellte Online-Eingabeformular war dabei unter anderem mit einem Ankreuzkästchen versehen, das zwar bereits vorangekreuzt, aber nicht verpflichtend für die Gewinnspielteilnahme war. Wenn der entsprechende Haken im Ankreuzkästchen nicht entfernt wurde, erklärten die Gewinnspielteilnehmer ihr Einverständnis damit, dass Cookies auf ihrem Gerät gesetzt werden, die eine Auswertung des Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung ermöglichen. Hiergegen erhob der vzbv Klage vor den nationalen deutschen Gerichten mit der Begründung, dass (unter anderem) die auf die geschilderte Art erteilte Einwilligung nicht den einschlägigen Vorgaben im deutschen Recht entspreche. Während die unterinstanzlichen Gerichte der Klage zumindest teilweise stattgaben, legte der Bundesgerichtshof die Sache dem EuGH vor, verbunden mit Fragen zu den Anforderungen, die die ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) an eine wirksame Einwilligung und die Informationspflichten der Verarbeiter stellen.
Der EuGH betonte in seinem Urteil zunächst, dass Art. 5 Abs. 3 der ePrivacy-Richtlinie verlangt, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung im Sinne von Art. 2 der Datenschutzrichtlinie gegeben hat. Eine wirksame Einwilligung im Sinne der genannten Richtlinien – so der EuGH weiter – erfordere aber ein aktives Verhalten, wofür ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht genüge. Dabei mache es auch keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht wolle den Nutzer an dieser Stelle nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.
Hinsichtlich der für eine wirksame Einwilligung notwendigen klaren und umfassenden Informationen stellte der EuGH klar, dass diese den Nutzer in die Lage versetzen müssen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten müssen, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Daher müssten sie klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. Neben der Identität des für die Verarbeitung Verantwortlichen und den Zwecken der Verarbeitung, gehören zu den in diesem Rahmen nötigen Angaben laut EuGH auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf sie erhalten können.
Das Urteil des EuGH betrifft zwar grundsätzlich noch die „alte“ Rechtslage unter der Datenschutzrichtlinie, die mittlerweile durch die Datenschutz-Grundverordnung (DS-GVO) abgelöst wurde. Auch die ePrivacy-Richtlinie soll mit dem Entwurf für eine ePrivacy-Verordnung (COM/2017/010 final) reformiert werden, was sich derzeit allerdings noch im Trilogprozess befindet. Allerdings enthält dieser Entwurf im hier relevanten Bereich keine wesentlichen Änderungen, insbesondere keine Liberalisierung, sodass sich auch an der Auslegung durch den EuGH höchstwahrscheinlich nichts ändern würde. Zur DS-GVO äußerte sich der EuGH angesichts der Zukunftsrelevanz des Urteils sogar ausdrücklich: Die vorgenommene Auslegung sei erst recht im Licht der DS-GVO geboten, da hier sogar ausdrücklich eine aktive Einwilligung gefordert sei.
Das Urteil des EuGH bedeutet für die derzeitige Praxis von Webseiten, die Cookies einsetzen, das regelmäßig ein zumindest ein Umdenken erforderlich sein wird. Welche Art von Cookies konkret vom Urteil erfasst sind, darüber bestehen aufgrund einiger verallgemeinernder Formulierungen des EuGH zur Zeit unterschiedliche Auffassungen. Rein technische Cookies im Sinne von Art. 5 Abs. 3 S. 2 der ePrivacy-Richtlinie, deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder die zur Verfügungstellung des Dienstes unbedingt erforderlich sind, wird man darunter wohl nicht fassen können.
Das Urteil des EuGH vom 1.Oktober 2019 in der Rechtssache C-673/17 ist abrufbar unter