Der EuGH weist darauf hin, dass es für eine wirksame Einwilligung zur Verarbeitung personenbezogener Daten nicht ausreicht, wenn der Internetnutzer ein voreingestelltes Kästchen bestätigt (“Opt-Out”). Der Gerichtsentscheidung lag ein Vorabentscheidungsersuchen des BGH zugrunde, vor dem der Bundesverband der Verbraucherzentralen und die “Planet49 GmbH” darüber stritten, ob eine wirksame Einwilligung in die Erhebung von Webseiten-Cookies durch eine Opt-Out-Lösung möglich ist.
Die Entscheidung war durchaus zu erwarten. Seit Inkrafttreten der DSGVO im Mai 2018 besteht durchaus ein Konsens darüber, dass das TMG dahingehend ausgelegt werden muss, dass eine Einwilligung aktiv, durch z.B. Ankreuzen/-klicken, erfolgen muss und eine Opt-Out-Lösung nicht ausreicht.
Praxisrelevante Fragen bleiben offen:
- Braucht es für das Setzen eines Cookies zwingend eine Einwilligung?
- Wie können Einwilligungen nachgehalten und hinreichend dokumentiert werden?
In der EuGH Entscheidung ging es nicht um die Arten von eingesetzten Cookies. Im Fokus stand die Frage, welche Anforderungen an die Einwilligung zu stellen sind. Ob bei jedem Cookie-Einsatz eine Einwilligung vorliegen muss, ist für technische Sitzungscookies zu hinterfragen. Diese Cookies dienen dem technischen Aufbau der Seite und ermöglichen die Navigation des Nutzers auf der Webseite. Ein derartiger Cookie-Einsatz kann auf die berechtigten Interessen des Webseitenbetreibers gestützt werden (Art. EWG_DSGVO Artikel 6 Abs. EWG_DSGVO Artikel 6 Absatz 1 lit. f DSGVO).
Werden Einwilligungen eingeholt, so sind diese auch im Nachhinein nachzuweisen. Ob, wie und durch wen eingewilligt wurde, muss der Webseitenbetreiber in irgendeiner Form dokumentieren. Wie dies, insbesondere DSGVO-konform, zu leisten ist, beantwortet die DSGVO selbst nicht. Art. EWG_DSGVO Artikel 7 Abs. EWG_DSGVO Artikel 7 Absatz 1 DSGVO fordert lediglich den Nachweis der Einwilligung.
Für Webseitenbetreiber ist es empfehlenswert das EuGH-Urteil zum Anlass zu nehmen, ihre Internetpräsenz und insbesondere ihre Cookie-Bestätigung sowie die zugehörigen Datenschutzhinweise zu kontrollieren und ggf. nachzubessern. Sofern Einwilligungen der Nutzer für die Speicherung von Cookies eingeholt werden, müssen diese mittels einer Opt-In-Lösung (aktives bestätigen) eingeholt werden. In den Datenschutzerklärungen sollte außerdem über die Funktionsdauer der Cookies sowie über die Zugriffsmöglichkeiten Dritter informiert werden.
iComply GmbH
Große Langgasse 1A
55116 Mainz
Telefon: +49 (0) 6131 2762680
http://www.iwhistle.de
Operating Manager
Telefon: +49 6131 27626 80
E-Mail: vanvor@icomply.de