Der Europäische Gerichtshof (EuGH) hat entschieden, dass eine Einwilligung, mit der Internetnutzer das Speichern und Auslesen von Informationen (z.B. Cookies) auf ihren Geräten erlauben sollen, nur dann wirksam ist, wenn der Nutzer aktiv die Einwilligung erklärt.

Dagegen liegt keine wirksame Einwilligung vor, wenn Felder schon vorab angekreuzt sind oder die Einwilligung einfach wegen „Weitersurfens“ unterstellt wird (Urteil vom 1. Oktober 2019 (Az. C-673/17 – Planet49 GmbH).

Wenn eine Einwilligung nötig ist, aber nicht wirksam erteilt wird, ist die Datenverarbeitung (z.B. das Setzen oder Auslesen eines Cookies) rechtswidrig. Hier drohen sowohl die Untersagung der Datenverarbeitung als auch Bußgelder.

Viele Webseitenbetreiber fragen sich jetzt, wie dieses Urteil in der Praxis umgesetzt werden muss. Der LfDI, Dr. Stefan Brink, gibt hier gerne Hilfestellung.

Eine Einwilligung für das Speichern in oder Lesen von Informationen aus den Endgeräten der Nutzer ist immer dann nötig, wenn nicht eine der beiden folgenden Ausnahmen greift (Art. 5 Abs. 3 RL 2002/58/EG):

  1. der alleinige Zweck ist die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz

oder

  1. es ist unbedingt erforderlich, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen

Nutzer wünschen in der Regel nicht, dass Profile über ihr persönliches Nutzungsverhalten angelegt und ausgewertet werden oder dies Dritten (z.B. durch die Einbindung von externen Elementen wie Tools zur Reichweitenanalyse oder Social-Media-Plugins) ermöglicht wird.

Wann ist keine Einwilligung erforderlich?

Beispiele für einwilligungsfreie Cookies sind jene, die die Funktion „Einkaufswagen“ ermöglichen oder Einstellungen (wie Schriftgrößen o.ä.) speichern, wenn sie wirklich nur für diesen Zweck verwendet werden. Zu beachten ist hierbei aber, dass die Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies) in der Datenschutzerklärung dargestellt werden.

Wann ist eine Einwilligung in jedem Fall notwendig?

Wer etwa Cookies nutzt, um das Nutzerverhalten zu Werbezwecken zu analysieren und zu tracken oder durch Dritte analysieren zu lassen, benötigt dafür grundsätzlich die informiert, freiwillig, vorherig, aktiv, separat und widerruflich erklärte Einwilligung des Nutzers.

„Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. Beispiele sind Analyse-Tools, Social-Media-Plugins, externe Kartendienste und andere Elemente Dritter.

In einem solchen Fall müssen die folgenden Vorgaben für die Einwilligung beachtet werden:

  • Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“. Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
  • Die Einwilligung darf nicht voreingestellt sein – ein Opt-in im Sinne einer informiert, freiwillig, vorherig, aktiv und separat erklärten Einwilligung ist notwendig (vgl. Seite 5 der Orientierungshilfe).
  • Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
  • Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
  • Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
  • Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.

Die häufigsten Fragen mit den dazugehörigen Antworten zu den Themen Tracking, Plug-ins, Cookies, Einwilligungsbanner und Co. hat der LfDI auf einer FAQ-Webseite zusammengefasst. Nähere Informationen finden sich zusätzlich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.