Aus für Cookie-Walls? Aktualisierung der Leitlinien des EDSA zur Einwilligung in die Nutzung von Websites

3. Juni 2020

© BBH

Am 5.5.2020 hat der Europäische Datenschutzausschuss (EDSA) aktualisierte Leitlinien zur Cookie-Einwilligung auf seiner Website (Guidelines 05/2020 on consent under Regulation 2016/679) veröffentlicht. Bereits das Vorwort der Leitlinien hebt zwei wesentliche Aspekte hervor: Das Einholen einer Einwilligung durch den Einsatz von Cookie-Walls und einfaches Scrollen verstößt gegen die Datenschutz-Grundverordnung (DS-GVO). Die Leitlinien stellen klar: Eine datenschutzkonforme Einwilligung muss freiwillig, spezifisch und informiert sein, eine eindeutige Angabe von Wünschen enthalten sowie nachweisbar und widerruflich sein. Eine erzwungene Einwilligung ist nicht wirksam, da sie nicht dem Merkmal der Freiwilligkeit entspricht.

Die Rechtsprechung hat klargestellt: kein Opt-Out

Der Einsatz von Cookies auf Websites ist heutzutage nicht wegzudenken. Fast alle Websites legen sie auf den Rechnern der Nutzer ab, denn ihr Einsatz ist häufig nicht nur für den Besucher von Nutzen, sondern auch für den Betreiber von hohem Wert.

Mit Urteil  vom 1.10.2019 (Az. C-673/17 – Planet49) hatte der Europäische Gerichtshof (EuGH) entschieden, dass ein sog. Opt-Out für das Setzen sämtlicher Cookies nicht ausreicht: Cookies dürfen nur mit entsprechender Einwilligung der Nutzer gesetzt werden, es sei denn, sie sind technisch erforderlich. Betreiber von Websites sahen sich deshalb fortan gezwungen, Besucher ihrer Website detaillierter über die Verwendung von Cookies zu informieren und ggf. eine explizite Einwilligungserklärung einzuholen. Doch zur Frage, wie genau die Einwilligung ausgestaltet sein muss, enthielt das Urteil keine näheren Informationen. Auch auf nationaler Ebene hat der Bundesgerichtshof (BGH) am 28.5.2020 geurteilt (Az. I ZR 7/16), dass in Deutschland die aktive Einwilligung des Nutzers erforderlich ist und insbesondere ein voreingestelltes Häckchen dieser Voraussetzung nicht entspricht (hierüber werden wir in einem gesonderten Blogbeitrag berichten).

Cookie-Walls

Immer noch stößt man im Internet auf phantasiereiche Konstrukte, die einen Besuch der Website erst dann ermöglichen, wenn der Nutzer dem Einsatz von Cookies zustimmt. Nach den Vorgaben der Leitlinie soll eine Einwilligung nicht über sog. Cookie-Walls eingeholt werden können. Dem Nutzer darf es nicht deswegen verweigert werden, die Inhalte der Website zu betrachten, weil er der Setzung von Cookies nicht zustimmt. Diese Aussage steht im Einklang mit Erwägungsgrund 43 zur DS-GVO. Generell gilt, dass das Nutzen von Cookie-Walls dann zulässig ist, wenn dem Nutzer eine Alternative zur Einwilligung aufgezeigt wird, mit der er eine zumindest vergleichbare Leistung ohne Tracking nutzen kann. Möglich erscheint hierbei der Abschluss eines kostenpflichtigen Abos. Die Einwilligung darf für den Nutzer somit nicht die einzige Möglichkeit sein, die Mauer der Cookie-Wall zu Fall zu bringen.

Unwirksame Einwilligung durch Scrollen

Die Leitlinien des EDSA machen auch deutlich, dass es für eine datenschutzkonforme Einwilligung auch nicht ausreicht, wenn der Website-Besucher den Cookie-Hinweis bloß zur Kenntnis nimmt und weiterscrollt. Auch hier ist der ausdrückliche Hinweis des EDSA keine Überraschung, denn ein einfaches Scrollen durch eine Website lässt eine „eindeutige bestätigende Handlung“, wie Erwägungsgrund 32 zur DS-GVO sie fordert, nicht erkennen.

Fazit und Handlungsempfehlung

Die neuen Festlegungen in den Leitlinien können dazu beitragen, die Verwirrung rund um das Thema Cookie-Banner aufzulösen.

Die Aktualisierung der Leitlinien hat neben dem Weckruf für viele Website-Betreiber noch einen weiteren Effekt: Die Aufsichtsbehörden werden sich an den Leitlinien orientieren und die Ausgestaltung der Cookie-Banner stärker und strenger kontrollieren. Die verwendeten Cookie-Banner und die Einholung der Einwilligungserklärungen müssen den Vorgaben der DS-GVO genügen. Die Leitlinien des EDSA bieten dabei eine gute Grundlage.

Zu beachten sind einzelfallspezifische Besonderheiten des Trackings (z.B. Google Analytics). Denn die Frage des Inhalts der Einwilligung bezieht sich insbesondere auf technisch nicht erforderliche Cookies, welche vornehmlich im Rahmen von Tracking-Maßnahmen eingesetzt werden. Solche Cookies von Drittanbieteranwendungen aus Tracking- und Analysetools dürften unter Berücksichtigung der Wertung des EuGH-Urteils sowie der jüngsten BGH-Rechtsprechung nur noch eingesetzt werden, wenn eine Einwilligung vorliegt. Damit ist spätestens jetzt der Zeitpunkt gekommen, die Ausgestaltung des Cookie-Banners kritisch zu hinterfragen. Dabei sollte nicht vergessen werden, die Datenschutzerklärung entsprechend zu prüfen und – falls erforderlich – zu aktualisieren.

Aufgepasst: Die Einwilligung ist nicht nur bei dem Besuch von Websites einzuholen, für die Verwendung von Apps gelten die gleichen Grundsätze. Daher ist auch dort die Erforderlichkeit und Ausgestaltung einer Einwilligung zu prüfen.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen

15 April

Masterplan Geothermie für NRW: Startschuss für Förderprogramm zur Risikoabsicherung hydrothermaler Geothermie

Am 8.4.2024 hat das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie NRW den Masterplan Geothermie für NRW veröffentlicht. Als erste Maßnahme ging zeitgleich ein Förderinstrument zur Absicherung des Fündigkeitsrisiko als zentrales Hemmnis für Vorhaben mitteltiefer und tiefer geothermischer Systeme an...

Weiterlesen