Logo Logo
Cookiebot

Das EuGH-Urteil interpretiert die DSGVO und die ePR so, dass vorab angekreuzte Kontrollkästchen auf Einwilligungsbannern ungültige Formen der Einwilligung sind, abgesehen von den unbedingt erforderlichen Cookies.

Testen Sie unseren kostenlosen Compliance-Test, um zu überprüfen, ob die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO/ePR-konform ist.

Active consent according the CJEU ruling is explicit consent, i.e. no pre-checked checkboxes.

Das oberste EU-Gericht schafft einen Präzedenzfall für stärkeren Datenschutz.



Am 1. Oktober 2019 hat die oberste Rechtsinstanz der EU, der Gerichtshof der Europäischen Union (EuGH), im Fall Planet49 entschieden, dass die einzige Form der gültigen Einwilligung zur Verarbeitung von Nutzerdaten in der EU die explizite Einwilligung ist, d.h. die Einwilligung, die von den Nutzern der Website aktiv und spezifisch erteilt wird, indem sie z.B. ein Kästchen ankreuzen.

Dieses Urteil ist das erste nach der DSGVO, das sich ausdrücklich mit der Einwilligung in Bezug auf Cookies und Tracking auf der Website befasst. Daher ist es für die Datenschutzbranche und für alle Website-Besitzer von großer Bedeutung, einen Präzedenzfall zu schaffen, der sich de facto auf die gesetzlichen Anforderungen an Cookies in Zukunft und bis zur Durchsetzung der ePrivacy-Verordnung auswirkt.

In diesem Blogbeitrag schaffen wir Klarheit im Bezug auf die Entscheidung des EuGH, klären die Terminologie der Einwilligung (explizit/implizit, aktiv/Soft Opt-in) und erläutern anschaulich, welche Konsequenzen für Website-Besitzer und -Betreiber folgen, nicht nur in der EU, sondern weltweit.

Dies ist ein Wendepunkt für den Datenschutz in der Europäischen Union.

Das Planet49-Urteil wird weitreichende Auswirkungen nicht nur auf den Datenschutz, sondern auch auf die Funktionsweise des Internets haben.

Der EuGH ist die höchste Rechtsinstanz der Europäischen Union, und sein Urteil - ein roter Faden, der die bestehenden EU-Datenschutzrechtsvorschriften zusammenbindet - schafft einen starken Präzedenzfall, der die Vorschriften über die Verarbeitung von Daten in der EU und von EU-Bürgern erheblich verändert.

Ein Präzedenzfall, der nur durch die Verabschiedung neuer Datengesetze, wie beispielsweise der kommenden ePrivacy-Verordnung, die für 2020 erwartet wird, aufgehoben werden kann.



Dürfen Cookie-Einwilligungen vorausgewählt sein?


Die offizielle Pressemitteilung des EuGHs verflüchtigt jede Verwirrung: Sie trägt den Titel Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzer und macht deutlich, "Ein voreingestelltes Ankreuzkästchen genügt daher nicht".

Nicht unbedingt notwendige Cookies dürfen nicht vorab angekreuzt werden, unabhängig davon, ob die verarbeiteten Daten als personenbezogen eingestuft werden.

.

Dies ist nun der einzige gültige Cookie-Einwilligungsbanner in der EU, nach dem EuGH-Urteil.



Der EuGH und Planet49


Der Gerichtshof der Europäischen Union (EuGH) ist die höchste Rechtsinstanz der EU. Er besteht aus einem Richter aus jedem EU-Land und elf Generalanwälten.

Der EuGH interpretiert das EU-Recht, um sicherzustellen, dass es in allen EU-Ländern in gleicher Weise angewendet wird, Rechtsstreitigkeiten zwischen nationalen Regierungen und EU-Institutionen zu regeln, und in diesem Fall interpretiert er das EU-Recht, um Präzedenzfälle zu schaffen.

Der Fall Planet49

Um den Kontext des EuGH-Urteils über eine gültige Einwilligung in der EU zu verstehen, lassen Sie uns kurz den Fall von Planet49 erläutern.

Es klingt wie ein Science-Fiction-Roman aus den 1950er Jahren, ist aber in Wirklichkeit ein deutsches Online-Gaming-Unternehmen, das 2013 eine Online-Promotion-Lotterie veranstaltete, bei der die Nutzer zur Teilnahme persönliche Daten angeben mussten.

Die Eingabefelder, in die die Benutzer ihre Daten eingeben sollten, wurden von zwei erläuternden Texten und von Kontrollkästchen begleitet, von denen eines vorab markiert war.

Die Verbraucherzentrale Bundesverband hat die Praxis von Planet49, die Einwilligung einzuholen, vor den deutschen Gerichten angefochten und schließlich den EuGH aufgefordert, das EU-Recht auszulegen, um zu klären, ob die Einwilligung durch vorab angekreuzte Kästchen generell eine gültige Form der Einwilligung in der gesamten Union ist.

Das Urteil des EuGHs vom Dienstag, den 1. Oktober 2019, hat jeden Zweifel am Fall Planet49 ausgeräumt, aber mehr noch: Es schafft einen starken Präzedenzfall dafür, wie die EU-Datenschutzbestimmungen nebeneinander auszulegen sind.

Das vollständige Urteil des EuGHs (CJEU) auf Englisch.



EuGH-Entscheidung über gültige Einwilligung


Die Entscheidung des EuGHs kann als ein Faden verstanden werden, der die Datenschutzrichtlinie für elektronische Kommunikation von 2002 (geändert 2009), die ältere Richtlinie von 1995 und die Datenschutz-Grundverordnung (DSGVO) von 2018 miteinander verbindet.

Diese EU-Datenschutzvorschriften sollen den Nutzer vor jeglichen Eingriffen in sein Privatlebens schützen, insbesondere vor dem Risiko, dass „Hidden Identifiers“ und andere ähnliche Instrumente ohne sein Wissen in die Endgeräte der Nutzer gelangen.



Active consent means explicit consent, according to the CJEU ruling.

Die EuGH-Entscheidung über eine gültige Einwilligung ändert die Praktiken der Analyse des auf Websites.

Das EuGH-Urteil betrifft die Auslegung von Artikel 2(f) und Artikel 5(3) der Datenschutzrichtlinie 2002/2009 in Verbindung mit Artikel 2(h) der Richtlinie von 1995 und Artikel 6(1)(a) der Datenschutz-Grundverordnung.

Die explizite Einwilligung ist die einzige gültige Einwilligung in den EU, bestimmt der EuGH

Der EuGH entschied, dass die oben genannten Artikel so auszulegen sind, dass die Einwilligung nicht gültig ist, wenn sie durch vorab angekreuzte Kontrollkästchen erfolgt, die die Nutzer abwählen müssen, um ihre Einwilligung zu verweigern.

Alle Benutzerdaten bedürfen der gleichen ausdrücklichen Einwilligung

Der EuGH hat auch entschieden, dass die Artikel aus den EU-Datenschutzgesetzen nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Informationspflicht über Dauer und Zugriff Dritter

Darüber hinaus hat der EuGH entschieden, dass Websites und Dienstleister ihre Nutzer über die Dauer der Cookies auf ihrer Website und darüber informieren müssen, ob Dritte Zugang zu Benutzerdaten haben oder nicht.



Zusammenfassung zum EuGH und gültiger Einwilligung


Die einzige gültige Form der Einwilligung zur Verarbeitung von Nutzerdaten in der EU ist die explizite Einwilligung. Vorausgewählte Kontrollkästchen auf den Cookie-Bannern der Website sind unzulässig, mit Ausnahme der unbedingt erforderlichen Cookies.

Die Einwilligung muss spezifisch sein und vom Benutzer aktiv erteilt werden, indem er ein Kästchen ankreuzt, nicht durch Deaktivieren eines bereits angekreuzten Kästchens. Die Einwilligung gilt auch nur, wenn die Nutzer über die Dauer der eingesetzten Cookies informiert wurden und darüber, ob Dritte Zugang zu ihren Daten haben.



Explizite Einwilligung vs. implizite Einwilligung


Jetzt fragen Sie sich vielleicht, was Sie mit dem Einwilligungsmanagement Ihrer Website tun sollen und wie Sie sicher sein können, dass Sie mit dem EuGH-Urteil, das in allen 28 EU-Mitgliedstaaten verbindlich ist, einverstanden sind?

Lassen Sie uns die Terminologie klären...

Die explizite Einwilligung wird in der Entscheidung des EuGH auch als aktive Einwilligung bezeichnet, da sie die Einwilligung als eine aktive, positive und spezifische Handlung des Endverbrauchers betrachtet.

Explizite Einwilligung 

Die explizite Einwilligung ist als die spezifische Art der Einwilligung, die eine Website bei der Verarbeitung sensibler personenbezogener Daten (wie politische Überzeugungen, religiöse Überzeugungen, Gesundheitsdaten) einholen muss, bekannt.

Mit dem EUGH-Urteil sollen jedoch alle Nutzerdaten - ob persönlich oder sensibel oder beides - erst nach expliziter Einwilligung der Endnutzer, auch aktive Einwilligung in der offiziellen Entscheidung des EUGH genannt, verarbeitet werden.

Implizite Einwilligung

Die implizite Einwilligung hingegen ist die Art der Einwilligung, die bisher in der EU gültig war, wenn Ihre Website nur personenbezogene Daten (nicht sensible personenbezogene Daten) verarbeitet.

Diese Art der Einwilligung wird auch als Soft Opt-In bezeichnet. Wenn ein Benutzer eine Website besucht, die mit einem Cookie-Einverständnis-Banner versehen ist, er aber nicht auf "okay" klickt, sondern weiter scrollt oder eine andere Unterseite der Domain besucht, stellt diese Aktivität seitens der Benutzer eine gültige Einwilligung dar, auch wenn sie dem Benutzer nicht bekannt ist.

Diese Art der Einwilligung ist in der EU nicht mehr gültig.

Es handelt sich jedoch nach wie vor um eine Form der Einwilligung, die in anderen Datenschutzgesetzen auf der ganzen Welt gültig ist, wie z.B. in der brasilianischen LGPD, die eng an die DSGVO angelehnt ist.

Vor der Entscheidung könnte ein gültiger Einverständnis-Banner vorab Kästchen für Notfall-, Präferenz- und statistische Cookies aktiviert haben - Marketing-Cookies nicht.

Mit dem EuGH-Urteil dürfen nur notwendige Cookies vorab ausgewählt werden.



Einwilligungsmanagement auf Ihrer Website


Mit dem Urteil des EuGHs ist es Websites nicht gestattet, Cookie-Einwilligungsbanner mit vorab angekreuzten Kontrollkästchen zu verwenden. Wir hier bei Cookiebot stehen an vorderster Front im Kampf um den Datenschutz und schützen die Privatsphäre Ihrer Endbenutzer, während wir ein ausgewogenes und gründliches Einwilligungsmanagement auf Ihrer Website einführen.

Cookiebot ist eine Einwilligungs-Management-Lösung, die Ihre Domain scannt und alle Cookies und Tracker findet, alles blockiert, bis unsere Endbenutzer ihre ausdrückliche Einwilligung gegeben haben, und dann alle Einwilligungen der Benutzer für die rechtliche Dokumentation sicher speichert.



Cookiebot enables compliance with the CJEU ruling by obtaining explicit consent from your end-users.

Unsere Einwilligungslösung erfüllt alle EU-Anforderungen, so dass Sie die Privatsphäre Ihrer Nutzer schützen können.



Cookiebot ermöglicht es Ihrer Website, die EuGH-Entscheidung (mit der ePrivacy-Richtlinie und der DSGVO) sowie andere Datenschutzgesetze weltweit, von der CCPA bis zur LGPD, zu erfüllen.

Testen Sie die Cookiebot-Lösung noch heute kostenlos.



Konsequenzen für Sie, den Website-Besitzer/Betreiber


Das EuGH-Urteil hat Konsequenzen für fast alle Websites in der EU, unabhängig von Größe und Form, wenn sie Cookies verwenden, die nicht nur für ihren einfachsten Betrieb unbedingt erforderlich sind.

Das EuGH-Urteil hat auch Folgen für Websites außerhalb der EU. Wenn sich Ihre Website außerhalb Europas befindet, Sie aber über europäische Nutzer verfügen und daher Daten von europäischen Bürgern verarbeiten, sind Sie verpflichtet, dem Urteil des EuGH zu folgen.

Sie holen die explizite Einwilligung der EU-Bürger ein, bevor Sie Cookies auf ihren Geräten setzen, die nicht unbedingt erforderlich sind.

Analysen und gültige Einwilligung

Es ist auch nicht verwunderlich, dass die Einhaltung des EuGH-Urteils erhebliche Veränderungen in der Art und Weise mit sich bringt, wie Sie Ihre Website betreiben.

Wenn Sie Google Analytics, Piwik oder ähnliche Analysetools verwenden, wie es die meisten Websites auf der ganzen Welt tun, um Ihre Website und deren Betrieb zu optimieren, kann diese Regelung Ihren Erkenntnis- und Statistikfluss einschränken.

Warum? Nun, Sie können keine vorab angekreuzten Kontrollkästchen auf Ihrem Cookie-Einverständnis-Banner haben, abgesehen von den unbedingt notwendigen. Das bedeutet, dass Sie sich darauf verlassen müssen, dass Ihre Benutzer den Kategorien aktiv einwilligen, die Ihnen statistische und analytische Informationen über ihr Verhalten auf Ihrer Domain liefern.

Die Einhaltung des EU-Präzedenzfalls des EuGHs bedeutet für die EU-Endnutzer eine viel stärkere und realere Privatsphäre, aber wahrscheinlich einen Verlust an analytischen Daten über Ihre Nutzer für Ihre Website.

Im Moment ist dies das neue Datenschutzumfeld in der EU. Es erhöht zweifellos die Vorfreude auf die lang erwartete ePrivacy-Verordnung, die 2020 als Gesetz in Kraft treten soll, da wir gespannt sein können, ob sie diese Entwicklung des Datenschutzes konsolidiert oder die Rechtsgrenze wieder verschiebt.



Ressourcen


Die offizielle Pressemitteilung zur Entscheidung des Gerichtshofs der Europäischen Union

Das vollständige Urteil des EuGHs

Auszug aus dem EuGH-Urteil der globalen Anwaltskanzlei Hogan Lovells

Europas Top-Gericht sagt, dass eine aktive Einwilligung zur Verfolgung von Cookies erforderlich ist, TechCrunch

Was ist die DSGVO?

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO-/ePR-konform

Jetzt kostenlos testen