Logo Logo
Cookiebot

Das EuGH-Urteil interpretiert die DSGVO und die ePR so, dass vorab angekreuzte Kontrollkästchen auf Einwilligungsbannern ungültige Formen der Einwilligung sind, abgesehen von den unbedingt erforderlichen Cookies.

Probieren Sie unseren kostenlosen Compliance-Test aus, um zu überprüfen, ob die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO/ePR-konform ist.

Active consent according the CJEU ruling is explicit consent, i.e. no pre-checked checkboxes.


Aktualisiert am 9. Juni 2020.


Mit dem finalen Urteil vom 28. Mai 2020 folgt die höchste rechtliche Instanz in Deutschland, der Bundesgerichtshof (BGH), der Einschätzung des EuGHs vom Vorjahr in Bezug auf den Fall Planet49. Demnach ist die aktive und freie Einwilligung des Nutzers unbedingt erforderlich bevor nicht-notwendige Cookies auf einer Website platziert werden. Vorab angekreuzte Auswahlkästchen werden im BGH-Urteil ebenso als gesetzwidrig eingestuft.

Am 1. Oktober 2019 hatte die oberste Rechtsinstanz der EU, der Gerichtshof der Europäischen Union (EuGH), bereits im Fall Planet49 entschieden, dass die einzige Form der gültigen Zustimmung zur Verarbeitung von Nutzerdaten in der EU die explizite Einwilligung ist, d.h. eine Einverständniserklärung, die von den Nutzern der Website aktiv und spezifisch erteilt wird, indem sie z.B. ein Kästchen ankreuzen.

Dieses Urteil war das erste nach Inkrafttreten der DSGVO, das sich ausdrücklich mit der Einwilligung in Bezug auf Cookies und Tracking auf der Website befasst. Daher ist es für die Datenschutzbranche und für alle Website-Besitzer von großer Bedeutung, da das Urteil einen Präzedenzfall geschafft hat, der sich gemeinsam mit dem BGH-Urteil de facto auf die gesetzlichen Anforderungen an Cookies in Zukunft und bis zur Durchsetzung der ePrivacy-Verordnung auswirkt.

In diesem Blogbeitrag schaffen wir Klarheit in Bezug auf die Entscheidung des EuGHs, klären die Terminologie der Einwilligung (explizit/implizit, aktiv/Soft Opt-in) und erläutern anschaulich, welche Konsequenzen für Website-Besitzer und -Betreiber folgen, nicht nur in der EU, sondern weltweit.

Dies ist ein Wendepunkt für den Datenschutz in der Europäischen Union.

Das Planet49-Urteil wird weitreichende Auswirkungen nicht nur auf den Datenschutz, sondern auch auf die Funktionsweise des Internets haben.

Der EuGH ist die höchste Rechtsinstanz der Europäischen Union, und sein Urteil – ein roter Faden, der die bestehenden EU-Datenschutzrechtsvorschriften zusammenbindet – schafft einen starken Präzedenzfall, der die Vorschriften über die Verarbeitung von Daten in der EU und von EU-Bürgern erheblich verändert.

Ein Präzedenzfall, der nur durch die Verabschiedung neuer Datengesetze, wie beispielsweise der kommenden ePrivacy-Verordnung, die für 2020 erwartet wird, aufgehoben werden kann.

Mit Cookiebot erreichen Sie die Konformität aller geltenden Datengesetze. Schützen Sie die Privatsphäre Ihrer Wesbite-Nutzer mit Cookiebot.



Dürfen Cookies vorausgewählt sein?


Die offizielle Pressemitteilung des EuGHs verflüchtigt jede Verwirrung: Sie trägt den Titel Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers und macht deutlich, "Ein voreingestelltes Ankreuzkästchen genügt daher nicht".

Nicht unbedingt notwendige Cookies dürfen nicht vorab angekreuzt werden, unabhängig davon, ob die verarbeiteten Daten als personenbezogen eingestuft werden.

.


Gültiger Cookie-Banner nach der DSGVO von Cookiebot

Dies ist ein gültiger Cookie-Banner in der EU, laut EuGH-Urteil.



Der EuGH und Planet49


Der Gerichtshof der Europäischen Union (EuGH) ist die höchste Rechtsinstanz der EU. Er besteht aus einem Richter aus jedem EU-Land und elf Generalanwälten.

Der EuGH interpretiert das EU-Recht, um sicherzustellen, dass es in allen EU-Ländern in gleicher Weise angewendet wird, Rechtsstreitigkeiten zwischen nationalen Regierungen und EU-Institutionen zu regeln, und in diesem Fall interpretiert er das EU-Recht, um Präzedenzfälle zu schaffen.

Der Fall Planet49

Um den Kontext des EuGH-Urteils über die gültige Einwilligung in der EU zu verstehen, lassen Sie uns kurz den Fall von Planet49 erläutern.

Es klingt wie ein Science-Fiction-Roman aus den 1950er Jahren, ist aber in Wirklichkeit ein deutsches Online-Gaming-Unternehmen, das 2013 eine Online-Promotion-Lotterie veranstaltete, bei der die Nutzer zur Teilnahme persönliche Daten angeben mussten.

Die Eingabefelder, in die die Benutzer ihre Daten eingeben sollten, wurden von zwei erläuternden Texten und von Kontrollkästchen begleitet, von denen eines vorab markiert war.

Der Verbraucherzentrale Bundesverband (kurz: vzbv) hat die Praxis von Planet49, die Einwilligung einzuholen, vor den deutschen Gerichten angefochten und schließlich den EuGH aufgefordert, das EU-Recht auszulegen, um zu klären, ob die Einwilligung durch vorab angekreuzte Kästchen generell eine gültige Form der Einwilligung in der gesamten Union ist.

Das Urteil des EuGHs vom Dienstag, den 1. Oktober 2019, hat jeden Zweifel am Fall Planet49 ausgeräumt, aber mehr noch: Es schafft einen starken Präzedenzfall dafür, wie die EU-Datenschutzbestimmungen nebeneinander auszulegen sind.

Das vollständige EuGH-Urteil zu Planet49.



EuGH-Entscheidung über gültige Einwilligung


Die Entscheidung des EuGHs kann als ein Faden verstanden werden, der die Datenschutzrichtlinie für elektronische Kommunikation von 2002 (geändert 2009), die ältere Richtlinie von 1995 und die Datenschutz-Grundverordnung (DSGVO) von 2018 miteinander verbindet.

Diese EU-Datenschutzvorschriften sollen den Nutzer vor jeglichen Eingriffen in sein Privatleben schützen, insbesondere vor dem Risiko, dass „Hidden Identifiers“ und andere ähnliche Instrumente ohne sein Wissen in die Endgeräte der Nutzer gelangen.



Active consent means explicit consent, according to the CJEU ruling.

Die EuGH-Entscheidung über gültige Einwilligung ändert die Praktiken der Nutzer-Analyse auf Websites.



Das EuGH-Urteil betrifft die Auslegung von Artikel 2(f) und Artikel 5(3) der Datenschutzrichtlinie 2002/2009 in Verbindung mit Artikel 2(h) der Richtlinie von 1995 und Artikel 6(1)(a) der Datenschutz-Grundverordnung.

Die explizite Einwilligung ist die einzige gültige Zustimmung in der EU, bestimmt der EuGH

Der EuGH entschied, dass die oben genannten Artikel so auszulegen sind, dass die Einwilligung nicht gültig ist, wenn sie durch vorab angekreuzte Kontrollkästchen erfolgt, die die Nutzer abwählen müssen, um ihre Einwilligung zu verweigern.

Alle Benutzerdaten bedürfen der gleichen ausdrücklichen Einwilligung

Der EuGH hat auch entschieden, dass die Artikel aus den EU-Datenschutzgesetzen nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Informationspflicht über Dauer und Zugriff Dritter

Darüber hinaus hat der EuGH entschieden, dass Websites und Dienstleister ihre Nutzer über die Dauer der Platzierung von Cookies auf ihrer Website in Kenntnis setzen und darüber informieren müssen, ob Dritte Zugang zu Benutzerdaten haben oder nicht.



Zusammenfassung: EuGH und gültige Einwilligung


Die einzige gültige Form der Zustimmung zur Verarbeitung von Nutzerdaten in der EU ist die explizite Einwilligung. Vorausgewählte Kontrollkästchen auf den Cookie-Bannern der Website sind unzulässig, mit Ausnahme der unbedingt erforderlichen Cookies.

Die Einwilligung muss spezifisch sein und vom Benutzer aktiv erteilt werden, durch erstmaliges Ankreuzen eines Kästchens, nicht durch Deaktivieren eines bereits angekreuzten Kästchens. Die Einwilligung gilt auch nur, wenn die Nutzer über die Dauer der platzierten Cookies informiert wurden und darüber, ob Dritte Zugang zu ihren Daten haben.



Explizite vs. implizite Einwilligung


Jetzt fragen Sie sich vielleicht, was Sie mit dem Einwilligungsmanagement Ihrer Website tun sollen und wie Sie sicher sein können, dass Sie mit dem EuGH-Urteil, das in allen 27 EU-Mitgliedstaaten verbindlich ist, einvernehmlich sind?

Lassen Sie uns die Terminologie klären...

Die explizite Einwilligung wird in der EuGH-Entscheidung auch als aktive Einwilligung bezeichnet, da sie die Einwilligung als eine aktive, positive und spezifische Handlung des Endverbrauchers betrachtet.

Explizite Einwilligung 

Die explizite Einwilligung ist bekannt als die spezifische Art der Einwilligung, die eine Website bei der Verarbeitung sensibler personenbezogener Daten (wie z.B. politische/religiöse Überzeugungen oder Gesundheitsdaten) einholen muss.

Mit dem EuGH-Urteil sollen jedoch alle Nutzerdaten – ob persönlich oder sensibel oder beides – erst nach expliziter Einwilligung der Endnutzer, auch aktive Einwilligung in der offiziellen Entscheidung des EuGH genannt, verarbeitet werden.

Implizite Einwilligung

Die implizite Einwilligung hingegen ist die Art der Zustimmung, die bisher in der EU gültig war, wenn Ihre Website nur personenbezogene Daten (nicht sensible personenbezogene Daten) verarbeitet.

Diese Art der Einwilligung wird auch als Soft Opt-In bezeichnet. Wenn ein Benutzer eine Website besucht, die mit einem Cookie-Banner versehen ist, er aber nicht auf "OK" klickt, sondern weiter scrollt oder eine andere Unterseite der Domain besucht, stellt diese Aktivität seitens der Benutzer eine gültige Einwilligung dar, auch wenn sie dem Benutzer nicht bewusst ist.

Diese Art der Einwilligung ist in der EU nicht mehr gültig.

Es handelt sich jedoch nach wie vor um eine Form der Einwilligung, die in anderen Datenschutzgesetzen rund um die Welt gültig ist, wie z.B. in der brasilianischen LGPD, die eng an die DSGVO angelehnt ist.

Vor der Entscheidung konnte ein gültiger Einverständnis-Banner vorab Kästchen gekreuzt haben für Notwendige, Präferenz- und statistische Cookies – nicht aber Marketing-Cookies.

Mit dem EuGH-Urteil dürfen nur notwendige Cookies vorab ausgewählt werden.



Consent Management auf Ihrer Website


Mit dem Urteil des EuGHs ist es Websites nicht gestattet, Cookie-Banner mit vorab angekreuzten Kontrollkästchen zu verwenden. Wir hier bei Cookiebot stehen an vorderster Front im Kampf um den Datenschutz und schützen die Privatsphäre Ihrer Endbenutzer, während wir ein ausgewogenes und gründliches Consent Management (dt. Zustimmungsmanagement) auf Ihrer Website einführen.

Cookiebot ist eine Consent Management-Lösung, die Ihre Domain scannt und alle Cookies und Tracker findet, all diese blockiert, bis unsere Endnutzer ihre ausdrückliche Zustimmung gegeben haben. Dann werden alle Einverständniserklärungen der Nutzer zum Zwecke der rechtlichen Dokumentation sicher gespeichert.



Cookiebot enables compliance with the CJEU ruling by obtaining explicit consent from your end-users.

Unsere Einwilligungslösung erfüllt alle EU-Anforderungen zum Schutz der Privatsphäre Ihrer Nutzer.



Cookiebot ermöglicht es Ihrer Website, die EuGH-Entscheidung (mit der ePrivacy-Richtlinie und der DSGVO) sowie andere Datenschutzgesetze weltweit, von der CCPA bis zur LGPD, zu erfüllen.

Testen Sie die Cookiebot-Lösung noch heute kostenlos.



Konsequenzen für Sie, den Website-Besitzer/Betreiber


Das EuGH-Urteil hat Konsequenzen für fast alle Websites in der EU, unabhängig von Größe und Form, wenn sie Cookies verwenden, die nicht nur für ihren einfachsten Betrieb unbedingt erforderlich sind.

Das EuGH-Urteil hat auch Folgen für Websites außerhalb der EU. Wenn sich Ihre Website außerhalb Europas befindet, Sie aber über europäische Nutzer verfügen und daher Daten von europäischen Bürgern verarbeiten, sind Sie verpflichtet, dem Urteil des EuGH zu folgen.

Sie müssen die explizite Einwilligung der EU-Bürger einholen, bevor Sie Cookies auf deren Geräten setzen, die nicht unbedingt erforderlich sind.

Analysen und gültige Einwilligung

Es ist auch nicht verwunderlich, dass die Einhaltung des EuGH-Urteils erhebliche Veränderungen in der Art und Weise mit sich bringt, wie Sie Ihre Website betreiben.

Wenn Sie Google Analytics, Matomo oder ähnliche Analysetools verwenden, um Ihre Website und deren Betrieb zu optimieren, wie es die meisten Websites auf der ganzen Welt tun, kann diese Regelung Ihren Erkenntnis- und Statistikfluss einschränken.

Warum? Nun, Sie können keine vorab angekreuzten Kontrollkästchen auf Ihrem Cookie-Banner haben, abgesehen von den unbedingt notwendigen. Das bedeutet, dass Sie sich darauf verlassen müssen, dass Ihre Benutzer den Kategorien aktiv zustimmen, die Ihnen statistische und analytische Informationen über ihr Verhalten auf Ihrer Domain liefern.

Die Einhaltung des EU-Präzedenzfalls des EuGHs bedeutet für die EU-Endnutzer eine viel stärkere und realere Privatsphäre, aber für Ihre Website wahrscheinlich einen Verlust an analytischen Daten über dessen Nutzer.

Im Moment ist dies das neue Datenschutzumfeld in der EU. Es erhöht zweifellos die Vorfreude auf die lang erwartete ePrivacy-Verordnung, die 2020 als Gesetz in Kraft treten soll, da wir gespannt sein können, ob sie diese Entwicklung des Datenschutzes konsolidiert oder die Rechtsgrenze wieder verschiebt.



Ressourcen


Pressemitteilung des BGH zum Urteil im Fall Planet49 

Die offizielle Pressemitteilung zur Entscheidung des Gerichtshofs der Europäischen Union

Das vollständige Urteil des EuGHs

Auszug aus dem EuGH-Urteil der globalen Anwaltskanzlei Hogan Lovells (in Englisch)

TechCrunch: Europe’s top court says active consent is needed for tracking cookies (in Englisch) 

Was sagt die DSGVO über Cookies?

Überblick über die DSGVO

Homepage vom Verbraucherzentrale Bundesverband

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen