EuGH, Beschluss vom 01.10.2019, Az. C-673/17 – „Planet 49“
Cookies begegnen uns bei praktisch jeder Internet-Nutzung. Es handelt sich um kleine Textdateien, die der Anbieter einer Webseite oder App auf dem Endgerät des Benutzers mit dem Ziel speichert, diese bei einem erneuten Aufruf wieder abzurufen. Auf diese Weise kommt es zu einem “Wiedererkennungseffekt”, der für eine benutzerfreundlichere Bedienung der Webseite oder App verwendet werden kann, gleichzeitig jedoch ein „Tracking“ ermöglicht, welches dem Anbieter das Surfverhalten des Nutzers für Werbe- und Marktforschungszwecke verwertbar zur Verfügung stellt.
Bislang galt in Deutschland nach § 15 TMG die sogenannte „Opt-Out“-Lösung als zulässig. Dies bedeutet, dass der Nutzer (z.B. über ein Cookie-Banner) vorab über den Einsatz von Cookies informiert wird. Er kann der Erstellung von pseudonymisierten Nutzungsprofilen widersprechen, etwa indem er ein voreingestelltes Ankreuzkästchen abwählt.
Der Europäische Gerichtshof (EuGH) entschied nunmehr, dass die Opt-Out-Lösung im Verhältnis zum Europäischen Datenschutzrecht unzulässig ist, und stellte fest:
(i) Wird eine Informationsübertragung durch Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt, stellt dies keine wirksame Einwilligung des Nutzers im Sinne der DSGVO oder der Cookie-Richtlinie dar. Vielmehr verlangt das Unionsrecht für eine wirksame Einwilligung stets eine aktive Willensbekundung (sog. Opt-in, vgl. Art. 4 Nr. 11 DSGVO).
(ii) Dieses Erfordernis gilt auch dann, wenn es um die Einwilligung einer Übertragung von nicht personenbezogenen Daten mittels Cookies geht. Es macht somit bei den Anforderungen an die Einwilligung keinen Unterschied, ob es sich um personenbezogene Daten handelt oder nicht.
Die Entscheidung bestätigt den Stellenwert des Datenschutzes und die Rechte der Nutzer. Diese sollen aktiv festlegen, welcher Datennutzung sie zustimmen und welcher nicht. Eine Voreinstellung des Anbieters ist unzulässig.
Viele Webseiten arbeiten noch mit dem Opt-Out-System und müssen nunmehr umgestellt werden. Auch wenn bisher nicht viele Datenschutz-Verletzungsverfahren bekannt sind, muss letztlich nur ein Nutzer den Verstoß feststellen und diesen anzeigen. Je länger mit der Umstellung gewartet wird, desto höher ist die Wahrscheinlichkeit, dass ein Verstoß Konsequenzen nach sich zieht.