Dies ist ein Wendepunkt für den Datenschutz in der Europäischen Union.
Das Planet49-Urteil wird weitreichende Auswirkungen nicht nur auf den Datenschutz, sondern auch auf die Funktionsweise des Internets haben.
Der EuGH ist die höchste Rechtsinstanz der Europäischen Union, und sein Urteil – ein roter Faden, der die bestehenden EU-Datenschutzrechtsvorschriften zusammenbindet – schafft einen starken Präzedenzfall, der die Vorschriften über die Verarbeitung von Daten in der EU und von EU-Bürgern erheblich verändert.
Ein Präzedenzfall, der nur durch die Verabschiedung neuer Datengesetze, wie beispielsweise der kommenden ePrivacy-Verordnung, aufgehoben werden kann.
Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Prüfen Sie mit dem kostenlosen Compliance-Test von Cookiebot.
Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
Dürfen Cookies vorausgewählt sein?
Die offizielle Pressemitteilung des EuGHs verflüchtigt jede Verwirrung: Sie trägt den Titel Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers und macht deutlich, “Ein voreingestelltes Ankreuzkästchen genügt daher nicht“.
Nicht unbedingt notwendige Cookies dürfen nicht vorab angekreuzt werden, unabhängig davon, ob die verarbeiteten Daten als personenbezogen eingestuft werden.
EDPB-Guidelines zu gültiger Zustimmung
Im Mai 2020 verabschiedete das EDPB Leitlinien zur gültigen Zustimmung in der EU. Die EDPB-Richtlinien unterstützen das Urteil des EuGH in der Rechtssache Planet49, decken aber auch andere Aspekte dessen ab, was eine gültige Einwilligung nach der DSGVO darstellt.
Die EDPB-Richtlinien geben Folgendes vor:
- Cookie-Banner dürfen keine vorher angekreuzten Kontrollkästchen haben.
- Das fortgesetzte Scrollen und Browsen auf einer Website stellt keine gültige Zustimmung dar.
- Cookie-Walls (d.h. erzwungene Einwilligung) stellen keine gültige Zustimmung dar.
Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Zustimmung in der EU.
EuGH und Planet49
Der Gerichtshof der Europäischen Union (EuGH) ist die höchste Rechtsinstanz der EU. Er besteht aus zwei Gerichten, dem Gerichtshof und dem Generalgericht – ersteres mit einem Richter aus jedem EU-Land plus elf Generalanwälten, letzteres mit zwei Richtern und elf Generalanwälten.
Der EuGH interpretiert das EU-Recht, um sicherzustellen, dass es in allen EU-Ländern in gleicher Weise angewendet wird, Rechtsstreitigkeiten zwischen nationalen Regierungen und EU-Institutionen zu regeln, und in diesem Fall interpretiert er das EU-Recht, um Präzedenzfälle zu schaffen.
Der Fall Planet49
Um den Kontext des EuGH-Urteils über die gültige Einwilligung in der EU zu verstehen, lassen Sie uns kurz den Fall von Planet49 erläutern.
Es klingt wie ein Science-Fiction-Roman aus den 1950er Jahren, ist aber in Wirklichkeit ein deutsches Online-Gaming-Unternehmen, das 2013 eine Online-Promotion-Lotterie veranstaltete, bei der die Nutzer zur Teilnahme persönliche Daten angeben mussten.
Die Eingabefelder, in die die Benutzer ihre Daten eingeben sollten, wurden von zwei erläuternden Texten und von Kontrollkästchen begleitet, von denen eines vorab markiert war.
Der Verbraucherzentrale Bundesverband (kurz: vzbv) hat die Praxis von Planet49, die Einwilligung einzuholen, vor den deutschen Gerichten angefochten und schließlich den EuGH aufgefordert, das EU-Recht auszulegen, um zu klären, ob die Einwilligung durch vorab angekreuzte Kästchen generell eine gültige Form der Einwilligung in der gesamten Union ist.
Das Urteil des EuGHs vom Dienstag, den 1. Oktober 2019, hat jeden Zweifel am Fall Planet49 ausgeräumt, aber mehr noch: Es schafft einen starken Präzedenzfall dafür, wie die EU-Datenschutzbestimmungen nebeneinander auszulegen sind.
Das vollständige EuGH-Urteil zu Planet49.
EuGH-Entscheidung über gültige Einwilligung
Die Entscheidung des EuGHs kann als ein Faden verstanden werden, der die Datenschutzrichtlinie für elektronische Kommunikation von 2002 (geändert 2009), die ältere Richtlinie von 1995 und die Datenschutz-Grundverordnung (DSGVO) von 2018 miteinander verbindet.
Diese EU-Datenschutzvorschriften sollen den Nutzer vor jeglichen Eingriffen in sein Privatleben schützen, insbesondere vor dem Risiko, dass „Hidden Identifiers“ und andere ähnliche Instrumente ohne sein Wissen in die Endgeräte der Nutzer gelangen.
Das EuGH-Urteil betrifft die Auslegung von Artikel 2(f) und Artikel 5(3) der Datenschutzrichtlinie 2002/2009 in Verbindung mit Artikel 2(h) der Richtlinie von 1995 und Artikel 6(1)(a) der Datenschutz-Grundverordnung.
Die explizite Einwilligung ist die einzige gültige Zustimmung in der EU, bestimmt der EuGH
Der EuGH entschied, dass die oben genannten Artikel so auszulegen sind, dass die Einwilligung nicht gültig ist, wenn sie durch vorab angekreuzte Kontrollkästchen erfolgt, die die Nutzer abwählen müssen, um ihre Einwilligung zu verweigern.
Alle Benutzerdaten bedürfen der gleichen ausdrücklichen Einwilligung
Der EuGH hat auch entschieden, dass die Artikel aus den EU-Datenschutzgesetzen nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
Informationspflicht über Dauer und Zugriff Dritter
Darüber hinaus hat der EuGH entschieden, dass Websites und Dienstleister ihre Nutzer über die Dauer der Platzierung von Cookies auf ihrer Website in Kenntnis setzen und darüber informieren müssen, ob Dritte Zugang zu Benutzerdaten haben oder nicht.
Zusammenfassung: EuGH und gültige Einwilligung
Die einzige gültige Form der Zustimmung zur Verarbeitung von Nutzerdaten in der EU ist die explizite Einwilligung. Vorausgewählte Kontrollkästchen auf den Cookie-Bannern der Website sind unzulässig, mit Ausnahme der unbedingt erforderlichen Cookies.
Die Einwilligung muss spezifisch sein und vom Benutzer aktiv erteilt werden, durch erstmaliges Ankreuzen eines Kästchens, nicht durch Deaktivieren eines bereits angekreuzten Kästchens. Die Einwilligung gilt auch nur, wenn die Nutzer über die Dauer der platzierten Cookies informiert wurden und darüber, ob Dritte Zugang zu ihren Daten haben.
Explizite vs. implizite Einwilligung
Jetzt fragen Sie sich vielleicht, was Sie mit dem Einwilligungsmanagement Ihrer Website tun sollen und wie Sie sicher sein können, dass Sie mit dem EuGH-Urteil, das in allen 27 EU-Mitgliedstaaten verbindlich ist, einvernehmlich sind?
Lassen Sie uns die Terminologie klären…
Die explizite Einwilligung wird in der EuGH-Entscheidung auch als aktive Einwilligung bezeichnet, da sie die Einwilligung als eine aktive, positive und spezifische Handlung des Endverbrauchers betrachtet.
Explizite Einwilligung
Die explizite Einwilligung ist bekannt als die spezifische Art der Einwilligung, die eine Website bei der Verarbeitung sensibler personenbezogener Daten (wie z.B. politische/religiöse Überzeugungen oder Gesundheitsdaten) einholen muss.
Mit dem EuGH-Urteil sollen jedoch alle Nutzerdaten – ob persönlich oder sensibel oder beides – erst nach expliziter Einwilligung der Endnutzer, auch aktive Einwilligung in der offiziellen Entscheidung des EuGH genannt, verarbeitet werden.
Implizite Einwilligung
Die implizite Einwilligung hingegen ist die Art der Zustimmung, die bisher in der EU gültig war, wenn Ihre Website nur personenbezogene Daten (nicht sensible personenbezogene Daten) verarbeitet.
Diese Art der Einwilligung wird auch als Soft Opt-In bezeichnet. Wenn ein Benutzer eine Website besucht, die mit einem Cookie-Banner versehen ist, er aber nicht auf “OK” klickt, sondern weiter scrollt oder eine andere Unterseite der Domain besucht, stellt diese Aktivität seitens der Benutzer eine gültige Einwilligung dar, auch wenn sie dem Benutzer nicht bewusst ist.
Diese Art der Einwilligung ist in der EU nicht mehr gültig.
Es handelt sich jedoch nach wie vor um eine Form der Einwilligung, die in anderen Datenschutzgesetzen rund um die Welt gültig ist, wie z.B. in der brasilianischen LGPD, die eng an die DSGVO angelehnt ist.
Vor der Entscheidung konnte ein gültiger Einverständnis-Banner vorab Kästchen gekreuzt haben für Notwendige, Präferenz- und statistische Cookies – nicht aber Marketing-Cookies.
Mit dem EuGH-Urteil dürfen nur notwendige Cookies vorab ausgewählt werden.
Consent Management auf Ihrer Website
Mit dem Urteil des EuGHs ist es Websites nicht gestattet, Cookie-Banner mit vorab angekreuzten Kontrollkästchen zu verwenden. Wir hier bei Cookiebot stehen an vorderster Front im Kampf um den Datenschutz und schützen die Privatsphäre Ihrer Endbenutzer, während wir ein ausgewogenes und gründliches Consent Management (dt. Zustimmungsmanagement) auf Ihrer Website einführen.
Cookiebot ist eine Consent Management-Lösung, die Ihre Domain scannt und alle Cookies und Tracker findet, all diese blockiert, bis unsere Endnutzer ihre ausdrückliche Zustimmung gegeben haben. Dann werden alle Einverständniserklärungen der Nutzer zum Zwecke der rechtlichen Dokumentation sicher gespeichert.
Cookiebot ermöglicht es Ihrer Website, die EuGH-Entscheidung (mit der ePrivacy-Richtlinie und der DSGVO) sowie andere Datenschutzgesetze weltweit, von der CCPA bis zur LGPD, zu erfüllen.
Testen Sie die Cookiebot-Lösung noch heute kostenlos.
Konsequenzen für Sie, den Website-Besitzer/Betreiber
Das EuGH-Urteil hat Konsequenzen für fast alle Websites in der EU, unabhängig von Größe und Form, wenn sie Cookies verwenden, die nicht nur für ihren einfachsten Betrieb unbedingt erforderlich sind.
Das EuGH-Urteil hat auch Folgen für Websites außerhalb der EU. Wenn sich Ihre Website außerhalb Europas befindet, Sie aber über europäische Nutzer verfügen und daher Daten von europäischen Bürgern verarbeiten, sind Sie verpflichtet, dem Urteil des EuGH zu folgen.
Sie müssen die explizite Einwilligung der EU-Bürger einholen, bevor Sie Cookies auf deren Geräten setzen, die nicht unbedingt erforderlich sind.
Analysen und gültige Einwilligung
Es ist auch nicht verwunderlich, dass die Einhaltung des EuGH-Urteils erhebliche Veränderungen in der Art und Weise mit sich bringt, wie Sie Ihre Website betreiben.
Wenn Sie Google Analytics, Matomo oder ähnliche Analysetools verwenden, um Ihre Website und deren Betrieb zu optimieren, wie es die meisten Websites auf der ganzen Welt tun, kann diese Regelung Ihren Erkenntnis- und Statistikfluss einschränken.
Warum? Nun, Sie können keine vorab angekreuzten Kontrollkästchen auf Ihrem Cookie-Banner haben, abgesehen von den unbedingt notwendigen. Das bedeutet, dass Sie sich darauf verlassen müssen, dass Ihre Benutzer den Kategorien aktiv zustimmen, die Ihnen statistische und analytische Informationen über ihr Verhalten auf Ihrer Domain liefern.
Die Einhaltung des EU-Präzedenzfalls des EuGHs bedeutet für die EU-Endnutzer eine viel stärkere und realere Privatsphäre, aber für Ihre Website wahrscheinlich einen Verlust an analytischen Daten über dessen Nutzer.
Im Moment ist dies das neue Datenschutzumfeld in der EU. Es erhöht zweifellos die Vorfreude auf die lang erwartete ePrivacy-Verordnung, da wir gespannt sein können, ob sie diese Entwicklung des Datenschutzes konsolidiert oder die Rechtsgrenze wieder verschiebt.
FAQ
Was ist der EuGH?
Der Gerichtshof der Europäischen Union (EuGH) ist das höchste Rechtsorgan der EU und seine Urteile und Entscheidungen schaffen Präzedenzfälle dafür, wie das EU-Recht in jedem EU-Mitgliedstaat ausgelegt und durchgesetzt wird. Der EuGH besteht aus je einem Richter aus jedem EU-Land und elf Generalanwälten.
Was ist das Planet49-Urteil des EuGH?
Das Urteil des EuGH im Fall Planet49 betraf die Auslegung des Einwilligungserfordernisses der DSGVO als rechtliche Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten. Die deutsche Online-Glücksspielfirma Planet49 erlangte die Einwilligung des Nutzers auf ihrer Website durch Ankreuzen von Kontrollkästchen, und der EuGH entschied, dass die Einwilligung nicht gültig ist, wenn sie durch Ankreuzen von Kontrollkästchen erteilt wird, die der Nutzer abwählen muss, um die Einwilligung zu verweigern.
Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Zustimmung in der EU
Was bedeutet das EuGH-Urteil für meine Website?
Das EuGH-Urteil bedeutet – zusammen mit den EDPB-Richtlinien zur gültigen Einwilligung vom Mai 2020 -, dass Ihre Website keine vorangekreuzten Checkboxen auf den Cookie-Bannern haben darf. Die einzige gültige Form der Einwilligung in der EU nach der DSGVO ist, wenn ein Nutzer eine klare und bestätigende Handlung vornimmt, wie z.B. das Ankreuzen eines Kontrollkästchens und anschließendes Klicken auf OK.
Wie kann meine Website DSGVO-konform sein?
Ihre Website muss immer die vorherige Zustimmung ihrer Nutzer einholen, bevor sie deren personenbezogene Daten verarbeitet. Die meisten Cookies verarbeiten personenbezogene Daten wie IP-Adressen, Browser und Suchhistorie, und eine Consent Management Plattform kann ein einfacher Weg sein, um sicherzustellen, dass die gesamte Datenverarbeitung auf Ihrer Domain auf rechtmäßiger Basis erfolgt.
Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
Ressourcen
Pressemitteilung des BGH zum Urteil im Fall Planet49
Die offizielle Pressemitteilung zur Entscheidung des Gerichtshofs der Europäischen Union
Das vollständige Urteil des EuGHs
Auszug aus dem EuGH-Urteil der globalen Anwaltskanzlei Hogan Lovells (in Englisch)
EDPB-Guidelines zu gültiger Zustimmung in der EU
TechCrunch: Europe’s top court says active consent is needed for tracking cookies (in Englisch)