Am 01.10.2019 entschied der Europäische Gerichtshof (EuGH) zur Zahl C-673/17 über die Frage, ob die Einwilligung zu Cookies durch ein bereits zuvor angekreuztes Feld zulässig ist. Die Antwort hat Praktiker nicht überrascht, und dennoch hat das Urteil große Resonanz und Sorge um mögliche Haftungsfälle ausgelöst. Zu Recht.
2013, Deutschland. Ein Anbieter veranstaltet auf seiner Webseite ein Gewinnspiel. Wer daran teilnehmen will, muss nicht nur seine Daten mitteilen, sondern auch über Ankreuzfelder zwei Hinweise akzeptieren. Darunter ein, in der Voreinstellung bereits angekreuztes, Feld mit der Einwilligung zur Setzung eines Tracking-Cookies durch einen Webanalysedienst.
Der EuGH wurde unter anderem um Klärung ersucht, wie die Frage der Einwilligung bei einem bereits zuvor angekreuzten Feld europarechtlich, insbesondere nach der DSGVO und der (noch) gültigen ePrivacy-Richtlinie zu beurteilen ist. Der EuGH hat letztendlich entschieden, dass eine rechtskonforme Einwilligung zur Setzung fakultativer, also nicht technisch zwingend erforderlicher, Cookies nur ausdrücklich und durch eine aktive Handlung erteilt werden kann. Ein vorangekreuztes Feld widerspricht diesem Grundsatz. Darüber hinaus hat sich der EuGH auch noch zu Fragen bezüglich der zwingend zu erteilenden Informationen bezüglich der Cookies geäußert.
Das Besondere an dieser Entscheidung waren jedoch zwei Aspekte:
- Der EuGH hat sich sowohl mit der 2013 geltenden, als auch mit der heute geltenden datenschutzrechtlichen Rechtslage auseinandergesetzt und
- die Antwort auf die Frage war nach der DSGVO eigentlich klar.
Der EuGH hält nämlich auch selbst fest, dass der europäische Gesetzgeber im Erwägungsgrund 32 der DSGVO sich klar zur Frage der Zustimmung bei vorangekreuzten Feldern geäußert hat: Eine Einwilligung „könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite“ erfolgen. Hingegen „bereits angekreuzte Kästchen […]sollten daher keine Einwilligung darstellen.“
Und das ist auch der Grund für das große Zittern um mögliche Haftungsfälle.
Tatsache ist, dass es viele Unternehmen vor dem In-Geltung-Treten der DSGVO am 25.05.2018 bevorzugten, die Felder für die Einwilligung zum Erhalt von Newsletter oder Werbemails vorab anzukreuzen, um so ihre Datenbanken möglichst schnell zu füllen. Diese Praxis haben viele dieser Unternehmen auch nach dem 25.05.2018 fortgesetzt und tun dies teils bis heute noch. Nun gab es schon vor der DSGVO gute Argumente (und vereinzelt auch Entscheidungen der nationalen Datenschutzbehörden), nach denen mit einem vorangekreuzten Feld keine gültige Einwilligung möglich ist. Spätestens mit der DSGVO war das aber klar. Und spätestens dann hätten die Verantwortlichen in den betreffenden Unternehmen handeln müssen. Indem sie das nicht getan haben, riskieren sie, für Schäden zu haften, welche ihr Unternehmen durch ihre Fehlentscheidung oder Untätigkeit erlitten hat.
Daher empfiehlt sich bei rechtlich nicht eindeutigen Sachverhalten, vor allem wenn es (neue) Technologien betrifft, folgendes Vorgehen.
- Einholung einer rechtlichen Stellungnahme zum Sachverhalt: Die Rechtsabteilung oder die externe Anwaltskanzlei soll den Sachverhalt analysieren und die rechtliche Situation dazu darlegen, insbesondere ob und in welcher Form die Technologie rechtskonform eingesetzt werden kann. Ein Verständnis für die genutzte Technologie ist dabei Grundvoraussetzung.
- Risikoeinschätzung bei mehreren Möglichkeiten: Ergeben sich mehrere Optionen, etwa aufgrund verschiedener Auslegungsmöglichkeiten, dann sollten diese danach bewertet werden, welches rechtliche Risiko ihre Nutzung voraussichtlich bergen könnte. Diese Einschätzung ist in der Praxis zwar schwierig und bietet keine Garantien, stellen für Nicht-Juristen aber eine wesentliche Entscheidungsgrundlage und –hilfe dar.
- Entscheidung anhand der Ergebnisse: Auf Basis dieser Stellungnahme und Risikoeinschätzung können dann die Zuständigen eine fundierte Entscheidung treffen, ohne sich ungewollt einem Haftungsrisiko auszusetzen. Sie müssen dabei nicht die risikoloseste Variante wählen. Es genügt darlegen zu können, dass sie von mehreren legitimen Möglichkeiten, von denen keine ein übermäßig hohes Risiko aufweist, eine gewählt haben.
Autor: Mag. Árpád Geréd
Seminartipp! Update Datenschutzrecht