Skip to content

BfDI und Berliner Datenschutzbeauftragte: Personenbezogenes Webtracking nur mit Einwilligung - Cookie-Banner die lediglich auf Einsatz von Google Analytics und Co. hinweisen genügen nicht

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Berliner Beauftragte für Datenschutz und Informationsfreiheit haben nochmals ihre Ansicht bekräftigt, dass personenbezogenes Webtracking nur mit ausdrücklicher Einwilligung zulässig ist und es nicht genügt, wenn in einem Cookie-Banner auf den Einsatz hingewiesen wird.

Die Pressemitteilung des BfDI:

Personenbezogenes Webtracking nur mit Einwilligung

Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

Hierbei unterstützen kann die bereits im Frühjahr von den Datenschutz-Aufsichtsbehörden des Bundes und der Länder veröffentlichte „Orientierungshilfe für Anbieter von Telemedien“. In dieser wird im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Ältere Veröffentlichungen der Aufsichtsbehörden, beispielsweise zum Thema Google Analytics, gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse mitunter stark verändert haben.


Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Datenschutzbeauftragte: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar

Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont.

Bereits im Frühjahr haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Webseiten-Besucherinnen und -Besuchern zulässig ist. Trotzdem erhält die Berliner Datenschutzbeauftragte weiterhin eine Vielzahl von Beschwerden über Websites, die die Orientierungshilfe missachten.

Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden kann es demgegenüber, wenn eine Webseiten-Betreiberin eine Reichweitenerfassung durchführt und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden, wie es sich mittlerweile der Anbieter von Google Analytics vorbehält.

Maja Smoltczyk:
„Viele Webseiten-Betreiber berufen sich bei der Einbindung von Google Analytics auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die Google Analytics einsetzen. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.

Webseiten-Betreiber in Berlin sollten ihre Webseite umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der konkreten Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 20192 ausdrücklich bestätigt.“

Was eine wirksame Einwilligung ist, wird in Artikel 4 Nummer 11 der DatenschutzGrundverordnung (DSGVO) definiert. Danach ist eine „‘Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO sind Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher nicht als Einwilligung anzusehen.

Maja Smoltczyk:
„Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht

In Ausgabe 21/2019, S. 15 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht".

Siehe auch zum Thema: EuGH: Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers - Es reicht nicht wenn voreingestellte Checkbox abgewählt werden kann

EuGH: Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers - Es reicht nicht wenn voreingestellte Checkbox abgewählt werden kann

EuGH
Urteil vom 01.10.2019
C-673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH


Der EuGH hat entschieden, dass das Setzen von Cookies ein aktive Einwilligung des Internetnutzers erfordert. Es reicht nicht, wenn eine voreingestellte Checkbox abgewählt werden kann.

Nicht von der Pflicht zur Einwilligung erfasst, sind nach Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG solche Cookies, bei denen"der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."

Die Pressemitteilung des EuGH:

Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers - Ein voreingestelltes Ankreuzkästchen genügt daher nicht

Der deutsche Bundesverband der Verbraucherverbände wendet sich vor den deutschen Gerichten dagegen, dass die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.

Der Bundesgerichtshof (Deutschland) ersucht den Gerichtshof um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation.

Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät
eindringen.

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.


Tenor der Entscheidung:

1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.

3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.


Den Volltext der Entscheidung finden Sie hier:




Cookie-Einwilligung - BGH legt EuGH Fragen zu Voraussetzungen und Anforderungen hinsichtlich der Belehrung über Verwendung von Cookies vor

BGH
Beschluss vom 05.10.2017
I ZR 7/16
Cookie-Einwilligung
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 6 Abs. 1 Buchst. a; UKlaG
§ 1; BGB § 307; TMG § 12 Abs. 1, § 13 Abs. 1, § 15 Abs. 3


Wann und in welcher Form bzw. in welchem Umfang Website-Betreiber ihre Webseitenbesucher über die Nutzung von Cookies aufklären müssen, wird nicht einheitlich beantwortet. Der BGH hat dem EuGH nun einige Fragen zu Voraussetzungen und Anforderungen hinsichtlich Belehrung über die Verwendung von Cookies vorgelegt.

Leitsatz des BGH:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Ratesvom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. Nr. L 201 vom 31. Juli 2002, S. 37) in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnezen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (ABl. Nr. L 337 vom 18. Dezember 2009, S. 11) geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23. November 1995, S. 31) sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. Nr. L 119/1 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten

BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier: