Alle Blogbeiträge

Aktive Einwilligung und der Fall Planet49 | EuGH | DSGVO & ePR

Das EuGH-Urteil interpretiert die DSGVO und die ePR so, dass vorab angekreuzte Kontrollkästchen auf Einwilligungsbannern ungültige Formen der Einwilligung sind, abgesehen von den unbedingt erforderlichen Cookies.

Aktualisiert am 17. Februar 2021.

Mit dem finalen Urteil vom 28. Mai 2020 folgt die höchste rechtliche Instanz in Deutschland, der Bundesgerichtshof (BGH), der Einschätzung des EuGHs vom Vorjahr in Bezug auf den Fall Planet49. Demnach ist die aktive und freie Einwilligung des Nutzers unbedingt erforderlich bevor nicht-notwendige Cookies auf einer Website platziert werden. Vorab angekreuzte Auswahlkästchen werden im BGH-Urteil ebenso als gesetzwidrig eingestuft.

Am 1. Oktober 2019 hatte die oberste Rechtsinstanz der EU, der Gerichtshof der Europäischen Union (EuGH), bereits im Fall Planet49 entschieden, dass die einzige Form der gültigen Zustimmung zur Verarbeitung von Nutzerdaten in der EU die explizite Einwilligung ist, d.h. eine Einverständniserklärung, die von den Nutzern der Website aktiv und spezifisch erteilt wird, indem sie z.B. ein Kästchen ankreuzen.

Dieses Urteil war das erste nach Inkrafttreten der DSGVO, das sich ausdrücklich mit der Einwilligung in Bezug auf Cookies und Tracking auf der Website befasst. Daher ist es für die Datenschutzbranche und für alle Website-Besitzer von großer Bedeutung, da das Urteil einen Präzedenzfall geschafft hat, der sich gemeinsam mit dem BGH-Urteil de facto auf die gesetzlichen Anforderungen an Cookies in Zukunft und bis zur Durchsetzung der ePrivacy-Verordnung auswirkt.

In diesem Blogbeitrag schaffen wir Klarheit in Bezug auf die Entscheidung des EuGHs, klären die Terminologie der Einwilligung (explizit/implizit, aktiv/Soft Opt-in) und erläutern anschaulich, welche Konsequenzen für Website-Besitzer und -Betreiber folgen, nicht nur in der EU, sondern weltweit.

Dies ist ein Wendepunkt für den Datenschutz in der Europäischen Union.

Das Planet49-Urteil wird weitreichende Auswirkungen nicht nur auf den Datenschutz, sondern auch auf die Funktionsweise des Internets haben.

Der EuGH ist die höchste Rechtsinstanz der Europäischen Union, und sein Urteil – ein roter Faden, der die bestehenden EU-Datenschutzrechtsvorschriften zusammenbindet – schafft einen starken Präzedenzfall, der die Vorschriften über die Verarbeitung von Daten in der EU und von EU-Bürgern erheblich verändert.

Ein Präzedenzfall, der nur durch die Verabschiedung neuer Datengesetze, wie beispielsweise der kommenden ePrivacy-Verordnung, aufgehoben werden kann.

Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Prüfen Sie mit dem kostenlosen Compliance-Test von Cookiebot.

Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Dürfen Cookies vorausgewählt sein?

Die offizielle Pressemitteilung des EuGHs verflüchtigt jede Verwirrung: Sie trägt den Titel Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers und macht deutlich, “Ein voreingestelltes Ankreuzkästchen genügt daher nicht“.

Nicht unbedingt notwendige Cookies dürfen nicht vorab angekreuzt werden, unabhängig davon, ob die verarbeiteten Daten als personenbezogen eingestuft werden.

Logo banner powered by Cookiebot by Usercentrics
Dies ist ein gültiger Cookie-Banner in der EU, laut EuGH-Urteil.

EDPB-Guidelines zu gültiger Zustimmung

Im Mai 2020 verabschiedete das EDPB Leitlinien zur gültigen Zustimmung in der EU. Die EDPB-Richtlinien unterstützen das Urteil des EuGH in der Rechtssache Planet49, decken aber auch andere Aspekte dessen ab, was eine gültige Einwilligung nach der DSGVO darstellt. 

Die EDPB-Richtlinien geben Folgendes vor: 

  • Cookie-Banner dürfen keine vorher angekreuzten Kontrollkästchen haben.
  • Das fortgesetzte Scrollen und Browsen auf einer Website stellt keine gültige Zustimmung dar.
  • Cookie-Walls (d.h. erzwungene Einwilligung) stellen keine gültige Zustimmung dar.

Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Zustimmung in der EU.

EuGH und Planet49

Der Gerichtshof der Europäischen Union (EuGH) ist die höchste Rechtsinstanz der EU. Er besteht aus zwei Gerichten, dem Gerichtshof und dem Generalgericht – ersteres mit einem Richter aus jedem EU-Land plus elf Generalanwälten, letzteres mit zwei Richtern und elf Generalanwälten.

Der EuGH interpretiert das EU-Recht, um sicherzustellen, dass es in allen EU-Ländern in gleicher Weise angewendet wird, Rechtsstreitigkeiten zwischen nationalen Regierungen und EU-Institutionen zu regeln, und in diesem Fall interpretiert er das EU-Recht, um Präzedenzfälle zu schaffen.

Der Fall Planet49

Um den Kontext des EuGH-Urteils über die gültige Einwilligung in der EU zu verstehen, lassen Sie uns kurz den Fall von Planet49 erläutern.

Es klingt wie ein Science-Fiction-Roman aus den 1950er Jahren, ist aber in Wirklichkeit ein deutsches Online-Gaming-Unternehmen, das 2013 eine Online-Promotion-Lotterie veranstaltete, bei der die Nutzer zur Teilnahme persönliche Daten angeben mussten.

Die Eingabefelder, in die die Benutzer ihre Daten eingeben sollten, wurden von zwei erläuternden Texten und von Kontrollkästchen begleitet, von denen eines vorab markiert war.

Der Verbraucherzentrale Bundesverband (kurz: vzbv) hat die Praxis von Planet49, die Einwilligung einzuholen, vor den deutschen Gerichten angefochten und schließlich den EuGH aufgefordert, das EU-Recht auszulegen, um zu klären, ob die Einwilligung durch vorab angekreuzte Kästchen generell eine gültige Form der Einwilligung in der gesamten Union ist.

Das Urteil des EuGHs vom Dienstag, den 1. Oktober 2019, hat jeden Zweifel am Fall Planet49 ausgeräumt, aber mehr noch: Es schafft einen starken Präzedenzfall dafür, wie die EU-Datenschutzbestimmungen nebeneinander auszulegen sind.

Das vollständige EuGH-Urteil zu Planet49.

EuGH-Entscheidung über gültige Einwilligung

Die Entscheidung des EuGHs kann als ein Faden verstanden werden, der die Datenschutzrichtlinie für elektronische Kommunikation von 2002 (geändert 2009), die ältere Richtlinie von 1995 und die Datenschutz-Grundverordnung (DSGVO) von 2018 miteinander verbindet.

Diese EU-Datenschutzvorschriften sollen den Nutzer vor jeglichen Eingriffen in sein Privatleben schützen, insbesondere vor dem Risiko, dass „Hidden Identifiers“ und andere ähnliche Instrumente ohne sein Wissen in die Endgeräte der Nutzer gelangen.

Active consent means explicit consent, according to the CJEU ruling.
Die EuGH-Entscheidung über gültige Einwilligung ändert die Praktiken der Nutzer-Analyse auf Websites.

Das EuGH-Urteil betrifft die Auslegung von Artikel 2(f) und Artikel 5(3) der Datenschutzrichtlinie 2002/2009 in Verbindung mit Artikel 2(h) der Richtlinie von 1995 und Artikel 6(1)(a) der Datenschutz-Grundverordnung.

Die explizite Einwilligung ist die einzige gültige Zustimmung in der EU, bestimmt der EuGH

Der EuGH entschied, dass die oben genannten Artikel so auszulegen sind, dass die Einwilligung nicht gültig ist, wenn sie durch vorab angekreuzte Kontrollkästchen erfolgt, die die Nutzer abwählen müssen, um ihre Einwilligung zu verweigern.

Alle Benutzerdaten bedürfen der gleichen ausdrücklichen Einwilligung

Der EuGH hat auch entschieden, dass die Artikel aus den EU-Datenschutzgesetzen nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Informationspflicht über Dauer und Zugriff Dritter

Darüber hinaus hat der EuGH entschieden, dass Websites und Dienstleister ihre Nutzer über die Dauer der Platzierung von Cookies auf ihrer Website in Kenntnis setzen und darüber informieren müssen, ob Dritte Zugang zu Benutzerdaten haben oder nicht.

Zusammenfassung: EuGH und gültige Einwilligung

Die einzige gültige Form der Zustimmung zur Verarbeitung von Nutzerdaten in der EU ist die explizite Einwilligung. Vorausgewählte Kontrollkästchen auf den Cookie-Bannern der Website sind unzulässig, mit Ausnahme der unbedingt erforderlichen Cookies.

Die Einwilligung muss spezifisch sein und vom Benutzer aktiv erteilt werden, durch erstmaliges Ankreuzen eines Kästchens, nicht durch Deaktivieren eines bereits angekreuzten Kästchens. Die Einwilligung gilt auch nur, wenn die Nutzer über die Dauer der platzierten Cookies informiert wurden und darüber, ob Dritte Zugang zu ihren Daten haben.

Explizite vs. implizite Einwilligung

Jetzt fragen Sie sich vielleicht, was Sie mit dem Einwilligungsmanagement Ihrer Website tun sollen und wie Sie sicher sein können, dass Sie mit dem EuGH-Urteil, das in allen 27 EU-Mitgliedstaaten verbindlich ist, einvernehmlich sind?

Lassen Sie uns die Terminologie klären…

Die explizite Einwilligung wird in der EuGH-Entscheidung auch als aktive Einwilligung bezeichnet, da sie die Einwilligung als eine aktive, positive und spezifische Handlung des Endverbrauchers betrachtet.

Explizite Einwilligung 

Die explizite Einwilligung ist bekannt als die spezifische Art der Einwilligung, die eine Website bei der Verarbeitung sensibler personenbezogener Daten (wie z.B. politische/religiöse Überzeugungen oder Gesundheitsdaten) einholen muss.

Mit dem EuGH-Urteil sollen jedoch alle Nutzerdaten – ob persönlich oder sensibel oder beides – erst nach expliziter Einwilligung der Endnutzer, auch aktive Einwilligung in der offiziellen Entscheidung des EuGH genannt, verarbeitet werden.

Implizite Einwilligung

Die implizite Einwilligung hingegen ist die Art der Zustimmung, die bisher in der EU gültig war, wenn Ihre Website nur personenbezogene Daten (nicht sensible personenbezogene Daten) verarbeitet.

Diese Art der Einwilligung wird auch als Soft Opt-In bezeichnet. Wenn ein Benutzer eine Website besucht, die mit einem Cookie-Banner versehen ist, er aber nicht auf “OK” klickt, sondern weiter scrollt oder eine andere Unterseite der Domain besucht, stellt diese Aktivität seitens der Benutzer eine gültige Einwilligung dar, auch wenn sie dem Benutzer nicht bewusst ist.

Diese Art der Einwilligung ist in der EU nicht mehr gültig.

Es handelt sich jedoch nach wie vor um eine Form der Einwilligung, die in anderen Datenschutzgesetzen rund um die Welt gültig ist, wie z.B. in der brasilianischen LGPD, die eng an die DSGVO angelehnt ist.

Vor der Entscheidung konnte ein gültiger Einverständnis-Banner vorab Kästchen gekreuzt haben für Notwendige, Präferenz- und statistische Cookies – nicht aber Marketing-Cookies.

Mit dem EuGH-Urteil dürfen nur notwendige Cookies vorab ausgewählt werden.

Mit dem Urteil des EuGHs ist es Websites nicht gestattet, Cookie-Banner mit vorab angekreuzten Kontrollkästchen zu verwenden. Wir hier bei Cookiebot stehen an vorderster Front im Kampf um den Datenschutz und schützen die Privatsphäre Ihrer Endbenutzer, während wir ein ausgewogenes und gründliches Consent Management (dt. Zustimmungsmanagement) auf Ihrer Website einführen.

Cookiebot ist eine Consent Management-Lösung, die Ihre Domain scannt und alle Cookies und Tracker findet, all diese blockiert, bis unsere Endnutzer ihre ausdrückliche Zustimmung gegeben haben. Dann werden alle Einverständniserklärungen der Nutzer zum Zwecke der rechtlichen Dokumentation sicher gespeichert.

Logo banner powered by Cookiebot by Usercentrics
Unsere Einwilligungslösung erfüllt alle EU-Anforderungen zum Schutz der Privatsphäre Ihrer Nutzer.

Cookiebot ermöglicht es Ihrer Website, die EuGH-Entscheidung (mit der ePrivacy-Richtlinie und der DSGVO) sowie andere Datenschutzgesetze weltweit, von der CCPA bis zur LGPD, zu erfüllen.

Testen Sie die Cookiebot-Lösung noch heute kostenlos.

Konsequenzen für Sie, den Website-Besitzer/Betreiber

Das EuGH-Urteil hat Konsequenzen für fast alle Websites in der EU, unabhängig von Größe und Form, wenn sie Cookies verwenden, die nicht nur für ihren einfachsten Betrieb unbedingt erforderlich sind.

Das EuGH-Urteil hat auch Folgen für Websites außerhalb der EU. Wenn sich Ihre Website außerhalb Europas befindet, Sie aber über europäische Nutzer verfügen und daher Daten von europäischen Bürgern verarbeiten, sind Sie verpflichtet, dem Urteil des EuGH zu folgen.

Sie müssen die explizite Einwilligung der EU-Bürger einholen, bevor Sie Cookies auf deren Geräten setzen, die nicht unbedingt erforderlich sind.

Analysen und gültige Einwilligung

Es ist auch nicht verwunderlich, dass die Einhaltung des EuGH-Urteils erhebliche Veränderungen in der Art und Weise mit sich bringt, wie Sie Ihre Website betreiben.

Wenn Sie Google Analytics, Matomo oder ähnliche Analysetools verwenden, um Ihre Website und deren Betrieb zu optimieren, wie es die meisten Websites auf der ganzen Welt tun, kann diese Regelung Ihren Erkenntnis- und Statistikfluss einschränken.

Warum? Nun, Sie können keine vorab angekreuzten Kontrollkästchen auf Ihrem Cookie-Banner haben, abgesehen von den unbedingt notwendigen. Das bedeutet, dass Sie sich darauf verlassen müssen, dass Ihre Benutzer den Kategorien aktiv zustimmen, die Ihnen statistische und analytische Informationen über ihr Verhalten auf Ihrer Domain liefern.

Die Einhaltung des EU-Präzedenzfalls des EuGHs bedeutet für die EU-Endnutzer eine viel stärkere und realere Privatsphäre, aber für Ihre Website wahrscheinlich einen Verlust an analytischen Daten über dessen Nutzer.

Im Moment ist dies das neue Datenschutzumfeld in der EU. Es erhöht zweifellos die Vorfreude auf die lang erwartete ePrivacy-Verordnung, da wir gespannt sein können, ob sie diese Entwicklung des Datenschutzes konsolidiert oder die Rechtsgrenze wieder verschiebt.

FAQ

Was ist der EuGH?

Der Gerichtshof der Europäischen Union (EuGH) ist das höchste Rechtsorgan der EU und seine Urteile und Entscheidungen schaffen Präzedenzfälle dafür, wie das EU-Recht in jedem EU-Mitgliedstaat ausgelegt und durchgesetzt wird. Der EuGH besteht aus je einem Richter aus jedem EU-Land und elf Generalanwälten.

Erfahren Sie mehr über die DSGVO

Was ist das Planet49-Urteil des EuGH?

Das Urteil des EuGH im Fall Planet49 betraf die Auslegung des Einwilligungserfordernisses der DSGVO als rechtliche Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten. Die deutsche Online-Glücksspielfirma Planet49 erlangte die Einwilligung des Nutzers auf ihrer Website durch Ankreuzen von Kontrollkästchen, und der EuGH entschied, dass die Einwilligung nicht gültig ist, wenn sie durch Ankreuzen von Kontrollkästchen erteilt wird, die der Nutzer abwählen muss, um die Einwilligung zu verweigern.

Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Zustimmung in der EU

Was bedeutet das EuGH-Urteil für meine Website?

Das EuGH-Urteil bedeutet – zusammen mit den EDPB-Richtlinien zur gültigen Einwilligung vom Mai 2020 -, dass Ihre Website keine vorangekreuzten Checkboxen auf den Cookie-Bannern haben darf. Die einzige gültige Form der Einwilligung in der EU nach der DSGVO ist, wenn ein Nutzer eine klare und bestätigende Handlung vornimmt, wie z.B. das Ankreuzen eines Kontrollkästchens und anschließendes Klicken auf OK.

Erfahren Sie mehr über die DSGVO und die Einwilligung

Wie kann meine Website DSGVO-konform sein?

Ihre Website muss immer die vorherige Zustimmung ihrer Nutzer einholen, bevor sie deren personenbezogene Daten verarbeitet. Die meisten Cookies verarbeiten personenbezogene Daten wie IP-Adressen, Browser und Suchhistorie, und eine Consent Management Plattform kann ein einfacher Weg sein, um sicherzustellen, dass die gesamte Datenverarbeitung auf Ihrer Domain auf rechtmäßiger Basis erfolgt.

Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Ressourcen

Pressemitteilung des BGH zum Urteil im Fall Planet49

Die offizielle Pressemitteilung zur Entscheidung des Gerichtshofs der Europäischen Union

Das vollständige Urteil des EuGHs

Auszug aus dem EuGH-Urteil der globalen Anwaltskanzlei Hogan Lovells (in Englisch)

EDPB-Guidelines zu gültiger Zustimmung in der EU

TechCrunch: Europe’s top court says active consent is needed for tracking cookies (in Englisch)

Was sagt die DSGVO über Cookies?

Überblick über die DSGVO

Homepage vom Verbraucherzentrale Bundesverband

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.