Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 01.10.2019 - C-673/17
EuGH 01.10.2019 - C-673/17 - URTEIL DES GERICHTSHOFS (Große Kammer) - 1. Oktober 2019 ( *1) - „Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Richtlinie 2002/58/EG – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Cookies – Begriff der Einwilligung der betroffenen Person – Einwilligungserklärung mittels eines mit einem voreingestellten Häkchen versehenen Ankreuzkästchens“
Leitsatz
In der Rechtssache C-673/17
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Entscheidung vom 5. Oktober 2017, beim Gerichtshof eingegangen am 30. November 2017, in dem Verfahren
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.
gegen
Planet49 GmbH
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, der Vizepräsidentin R. Silva de Lapuerta, der Kammerpräsidenten J.-C. Bonichot, M. Vilaras und T. von Danwitz, der Kammerpräsidentin C. Toader, des Kammerpräsidenten F. Biltgen, der Kammerpräsidentin K. Jürimäe, des Kammerpräsidenten C. Lycourgos sowie der Richter A. Rosas (Berichterstatter), L. Bay Larsen, M. Safjan und S. Rodin,
Generalanwalt: M. Szpunar,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 13. November 2018,
unter Berücksichtigung der Erklärungen
des Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V., vertreten durch Rechtsanwalt P. Wassermann,
der Planet49 GmbH, vertreten durch die Rechtsanwälte M. Jaschinski, J. Viniol und T. Petersen,
der deutschen Regierung, vertreten durch J. Möller als Bevollmächtigten,
der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von F. De Luca, avvocato dello Stato,
der portugiesischen Regierung, vertreten durch L. Inez Fernandes, M. Figueiredo, L. Medeiros und C. Guerra als Bevollmächtigte,
der Europäischen Kommission, vertreten durch G. Braun, H. Kranenborg und P. Costa de Oliveira als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 21. März 2019
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Richtlinie 2002/58) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) und von Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).
Es ergeht im Rahmen eines Rechtsstreits zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland) (im Folgenden: Bundesverband) und der Planet49 GmbH, einer Gesellschaft, die Online-Gewinnspiele anbietet, wegen der Einwilligung der Teilnehmer an einem von dieser Gesellschaft zu Werbezwecken veranstalteten Gewinnspiel in die Weitergabe ihrer personenbezogenen Daten an Sponsoren und Kooperationspartner sowie in die Speicherung von Informationen auf ihrem Endgerät und den Zugang zu den gespeicherten Informationen.
Rechtlicher Rahmen
Unionsrecht
Richtlinie 95/46
Art. 1 der Richtlinie 95/46 sieht vor:
„(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“
Art. 2 der Richtlinie 95/46 bestimmt:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
…
‚Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“
In Art. 7 der Richtlinie 95/46 heißt es:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
…“
Art. 10 der Richtlinie 95/46 lautet:
„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
weitere Informationen, beispielsweise betreffend
die Empfänger oder Kategorien der Empfänger der Daten,
die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“
Richtlinie 2002/58
Die Erwägungsgründe 17 und 24 der Richtlinie 2002/58 lauten:
Für die Zwecke dieser Richtlinie sollte die Einwilligung des Nutzers oder Teilnehmers unabhängig davon, ob es sich um eine natürliche oder eine juristische Person handelt, dieselbe Bedeutung haben wie der in der Richtlinie [95/46] definierte und dort weiter präzisierte Begriff ‚Einwilligung der betroffenen Person‘. Die Einwilligung kann in jeder geeigneten Weise gegeben werden, wodurch der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch das Markieren eines Feldes auf einer Internet-Website.
…
Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der [am 4. November 1950 in Rom unterzeichneten] Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte ‚Spyware‘, ‚Web-Bugs‘, ‚Hidden Identifiers‘ und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen oder die Nutzeraktivität zurückzuverfolgen, und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.“
Art. 1 der Richtlinie 2002/58 bestimmt:
„(1) Diese Richtlinie sieht die Harmonisierung der Vorschriften der Mitgliedstaaten vor, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der [Europäischen Union] zu gewährleisten.
(2) Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Ergänzung der Richtlinie [95/46] im Hinblick auf die in Absatz 1 genannten Zwecke dar. …“
Art. 2 der Richtlinie 2002/58 sieht vor:
„Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie [95/46] und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (‚Rahmenrichtlinie‘) [ABl. 2002, L 108, S. 33] auch für diese Richtlinie.
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck
‚Nutzer‘ eine natürliche Person, die einen öffentlich zugänglichen elektronischen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst notwendigerweise abonniert zu haben;
…
‚Einwilligung‘ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne [der] Richtlinie [95/46];
…“
Art. 5 Abs. 3 der Richtlinie 2002/58 lautet:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Verordnung 2016/679
Der 32. Erwägungsgrund der Verordnung 2016/679 lautet:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“
Art. 4 der Verordnung 2016/679 bestimmt:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
…“
Art. 6 der Verordnung 2016/679 sieht vor:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
…“
Art. 7 Abs. 4 der Verordnung 2016/679 lautet:
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Art. 13 der Verordnung 2016/679 bestimmt in den Abs. 1 und 2:
„(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
…
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten …
…
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
…“
Art. 94 der Verordnung 2016/679 lautet:
„(1) Die Richtlinie [95/46] wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie [95/46] eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.“
Deutsches Recht
§ 307 Abs. 1 Satz 1 des Bürgerlichen Gesetzbuchs (im Folgenden: BGB) lautet: „Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen.“
In § 307 Abs. 2 Nr. 1 BGB heißt es: „Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung … mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist …“
§ 12 des Telemediengesetzes vom 26. Februar 2007 (BGBl. 2007 I S. 179) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: TMG) lautet:
„(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
(2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.“
Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei automatisierten Verfahren, die eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung oder Verwendung personenbezogener Daten vorbereiten, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten.
Nach § 15 Abs. 3 TMG darf der Diensteanbieter für Zwecke der Werbung oder der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der auf sein Widerspruchsrecht hingewiesene Nutzer dem nicht widerspricht.
Nach der Begriffsbestimmung in § 3 Abs. 1 des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. 1990 I S. 2954) in der auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.
Nach der Begriffsbestimmung in § 3 Abs. 3 BDSG ist Erheben das Beschaffen von Daten über den Betroffenen.
Nach § 4a Abs. 1 Satz 1 BDSG, mit dem Art. 2 Buchst. h der Richtlinie 95/46 umgesetzt wird, ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.
Ausgangsrechtsstreit und Vorlagefragen
Am 24. September 2013 veranstaltete Planet49 auf der Website www.dein-macbook.de ein Gewinnspiel zu Werbezwecken.
Um an dem Gewinnspiel teilnehmen zu können, mussten die Internetnutzer ihre Postleitzahl eingeben. Daraufhin wurde eine Internetseite mit Eingabefeldern für ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzkästchen versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzkästchen (im Folgenden: erstes Ankreuzkästchen) nicht mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“
Der zweite Hinweistext, dessen Ankreuzkästchen (im Folgenden: zweites Ankreuzkästchen) mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzkästchen gesetzt wurde.
Der elektronische Link, der im Hinweistext zum ersten Ankreuzkästchen den Worten „Sponsoren und Kooperationspartner“ und „hier“ unterlegt war, führte zu einer Liste, die 57 Unternehmen, ihre Adressen, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E-Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:
„Durch Anklicken auf dem Link ‚Abmelden‘ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt Planet49 für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“
Wurde der im Hinweistext zum zweiten Ankreuzkästchen dem Wort „hier“ unterlegte elektronische Link angeklickt, wurde folgende Information angezeigt:
„Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.
Anschließend kann [Planet49] aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E-Mail-Werbung mehr.
Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.
Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.
Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.
Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an [Planet49] [Adresse] richten. Es genügt jedoch auch eine E-Mail an unseren Kundenservice [E-Mail-Adresse].“
Wie der Vorlageentscheidung zu entnehmen ist, sind Cookies Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.
Im Rahmen einer erfolglos gebliebenen Abmahnung machte der Bundesverband, der in die Liste qualifizierter Einrichtungen gemäß § 4 des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) vom 26. November 2001 (BGBl. 2001 I S. 3138) eingetragen ist, geltend, die von Planet49 mit dem ersten und dem zweiten Ankreuzkästchen verlangten Einverständniserklärungen genügten nicht den in § 307 BGB, § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb vom 3. Juli 2004 (BGBl. 2004 I S. 1414) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung und den §§ 12 ff. TMG aufgestellten Anforderungen.
Der Bundesverband erhob beim Landgericht Frankfurt am Main (Deutschland) eine Klage, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt wird, solche Einverständniserklärungen nicht mehr zu verlangen und an den Bundesverband 214 Euro nebst Zinsen ab dem 15. März 2014 zu zahlen.
Das Landgericht Frankfurt am Main gab der Klage teilweise statt.
Auf die Berufung von Planet49 kam das Oberlandesgericht Frankfurt am Main (Deutschland) zu dem Ergebnis, dass der Antrag des Bundesverbands, Planet49 zu verurteilen, den in Rn. 27 des vorliegenden Urteils wiedergegebenen Hinweistext zum zweiten, mit einem voreingestellten Häkchen versehenen Ankreuzkästchen nicht mehr in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen, unbegründet sei. Zum einen habe der Nutzer gewusst, dass er dieses Häkchen entfernen könne, und zum anderen sei die Einwilligungserklärung drucktechnisch hinreichend deutlich gestaltet und informiere über die Art und Weise der Nutzung von Cookies; die Identität Dritter, die auf die erhobenen Informationen zugreifen könnten, müsse nicht offenbart werden.
Der vom Bundesverband im Wege der Revision angerufene Bundesgerichtshof (Deutschland) ist der Ansicht, dass der Ausgang des Rechtsstreits von der Auslegung von Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 und von Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 abhänge.
Der Bundesgerichtshof hat Zweifel, ob die von Planet49 mittels des zweiten Ankreuzkästchens eingeholte Einwilligung der Nutzer der Website www.dein-macbook.de im Hinblick auf diese Bestimmungen wirksam ist und welchen Umfang die in Art. 5 Abs. 3 der Richtlinie 2002/58 vorgesehene Informationspflicht hat. Daher hat er beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
-
Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?
Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
-
Zu den Vorlagefragen
Vorbemerkungen
Vorab ist die Anwendbarkeit der Richtlinie 95/46 und der Verordnung 2016/679 auf den Sachverhalt des Ausgangsverfahrens zu prüfen.
Nach Art. 94 Abs. 1 der Verordnung 2016/679 wurde die Richtlinie 95/46 mit Wirkung vom 25. Mai 2018 durch diese Verordnung aufgehoben und ersetzt.
Dieses Datum liegt zwar nach dem Datum der letzten mündlichen Verhandlung vor dem vorlegenden Gericht, die am 14. Juli 2017 stattfand, und nach dem Datum, an dem der Gerichtshof mit dem Vorabentscheidungsersuchen des vorlegenden Gerichts befasst worden ist.
Das vorlegende Gericht hat jedoch ausgeführt, da die Verordnung 2016/679, auf die sich im Übrigen ein Teil der ersten Frage beziehe, am 25. Mai 2018 in Kraft getreten sei, werde sie zum Zeitpunkt der Entscheidung des Ausgangsrechtsstreits voraussichtlich zu berücksichtigen sein. Außerdem ist es, wie die deutsche Regierung in der mündlichen Verhandlung vor dem Gerichtshof dargelegt hat, angesichts dessen, dass das vom Bundesverband angestrengte Verfahren darauf abzielt, dass Planet49 ihr Verhalten künftig unterlässt, nicht ausgeschlossen, dass die Verordnung 2016/679 aufgrund der nationalen Rechtsprechung zur relevanten Rechtslage bei Unterlassungsklagen in zeitlicher Hinsicht im Rahmen des Ausgangsrechtsstreits anwendbar ist; dies zu prüfen ist Sache des vorlegenden Gerichts (vgl., zu einer Feststellungsklage, Urteil vom 16. Januar 2019, Deutsche Post, C-496/17, EU:C:2019:26, Rn. 38).
Unter diesen Umständen und in Anbetracht der Tatsache, dass nach Art. 94 Abs. 2 der Verordnung 2016/679 Verweise in der Richtlinie 2002/58 auf die Richtlinie 95/46 als Verweise auf die Verordnung gelten, ist es im vorliegenden Fall nicht ausgeschlossen, dass die Richtlinie 2002/58 nach Maßgabe der Art der Anträge des Bundesverbands und des betroffenen Zeitraums in Verbindung mit der Richtlinie 95/46 oder der Verordnung 2016/679 anzuwenden ist.
Die vorgelegten Fragen sind daher auf der Grundlage sowohl der Richtlinie 95/46 als auch der Verordnung 2016/679 zu beantworten.
Zu den Buchst. a und c der ersten Frage
Mit den Buchst. a und c seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 dahin auszulegen sind, dass eine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Zunächst ist festzustellen, dass nach den Angaben in der Vorlageentscheidung die Cookies, die im Endgerät eines Nutzers, der an einem von Planet49 veranstalteten Gewinnspiel teilnimmt, gespeichert werden können, eine Nummer enthalten, die den Registrierungsdaten dieses Nutzers zugeordnet wird, der im Teilnahmeformular für das Gewinnspiel seinen Namen und seine Adresse angeben muss. Das vorlegende Gericht fügt hinzu, aufgrund der Verknüpfung dieser Nummer mit diesen Daten entstehe ein Personenbezug der durch die Cookies gespeicherten Daten, wenn der Nutzer ins Internet gehe, so dass es sich bei der Sammlung der Daten mittels Cookies um eine Verarbeitung personenbezogener Daten handele. Diese Angaben sind von Planet49 bestätigt worden, die in ihren schriftlichen Erklärungen hervorgehoben hat, dass die Einwilligung, auf die sich das zweite Ankreuzkästchen beziehe, die Sammlung und Verarbeitung personenbezogener Daten und nicht von anonymen Informationen erlauben solle.
Nach dieser Klarstellung ist darauf hinzuweisen, dass Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten dazu verpflichtet, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Insoweit folgt aus den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes, dass die Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 26. März 2019, SM [unter algerische Kafala gestelltes Kind], C-129/18, EU:C:2019:248, Rn. 50, und vom 11. April 2019, Tarola, C-483/17, EU:C:2019:309, Rn. 36).
Außerdem sind nach ständiger Rechtsprechung des Gerichtshofs bei der Auslegung einer Vorschrift des Unionsrechts nicht nur ihr Wortlaut und die mit ihr verfolgten Ziele zu berücksichtigen, sondern auch ihr Kontext und das gesamte Unionsrecht. Die Entstehungsgeschichte einer Vorschrift des Unionsrechts kann ebenfalls relevante Anhaltspunkte für ihre Auslegung liefern (Urteil vom 10. Dezember 2018, Wightman u. a., C-621/18, EU:C:2018:999, Rn. 47 und die dort angeführte Rechtsprechung).
Zum Wortlaut von Art. 5 Abs. 3 der Richtlinie 2002/58 ist festzustellen, dass er zwar ausdrücklich vorsieht, dass der Nutzer zur Speicherung und zum Abruf von Cookies auf seinem Endgerät „seine Einwilligung gegeben“ haben muss. Dagegen enthält er keine Angaben dazu, wie die Einwilligung zu geben ist. Die Worte „seine Einwilligung gegeben“ legen jedoch eine Auslegung des Wortlauts nahe, wonach der Nutzer tätig werden muss, um seine Einwilligung zum Ausdruck zu bringen. Insoweit geht aus dem 17. Erwägungsgrund der Richtlinie 2002/58 hervor, dass für die Zwecke dieser Richtlinie die Einwilligung des Nutzers in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch „das Markieren eines Feldes auf einer Internet-Website“.
Zum Kontext von Art. 5 Abs. 3 der Richtlinie 2002/58 ist hervorzuheben, dass ihr Art. 2 Buchst. f, in dem der Begriff „Einwilligung“ im Sinne der Richtlinie definiert wird, insoweit auf die „Einwilligung der betroffenen Person“ im Sinne der Richtlinie 95/46 Bezug nimmt. Im 17. Erwägungsgrund der Richtlinie 2002/58 heißt es hierzu, dass für die Zwecke dieser Richtlinie die Einwilligung des Nutzers dieselbe Bedeutung haben sollte wie der in der Richtlinie 95/46 definierte und dort weiter präzisierte Begriff „Einwilligung der betroffenen Person“.
Nach Art. 2 Buchst. h der Richtlinie 95/46 bezeichnet der Ausdruck „Einwilligung der betroffenen Person“„jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“.
Wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.
Diese Auslegung wird durch Art. 7 der Richtlinie 95/46 bestätigt, der eine abschließende Liste der Fälle enthält, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann (vgl. in diesem Sinne Urteile vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 30, und vom 19. Oktober 2016, Breyer, C-582/14, EU:C:2016:779, Rn. 57).
Nach Art. 7 Buchst. a der Richtlinie 95/46 setzt die Rechtmäßigkeit einer solchen Verarbeitung insbesondere voraus, dass die betroffene Person ihre Einwilligung „ohne jeden Zweifel“ gegeben hat. Diesem Erfordernis kann aber nur ein aktives Verhalten, mit dem die betroffene Person ihre Einwilligung bekundet, genügen.
Insoweit erscheint es praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat; unklar bleibt jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde. Es kann nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.
Schließlich ist in Bezug auf die Entstehungsgeschichte von Art. 5 Abs. 3 der Richtlinie 2002/58 festzustellen, dass die ursprüngliche Fassung dieser Bestimmung lediglich vorsah, dass der Nutzer das Recht haben muss, die Speicherung von Cookies zu verweigern, nachdem er gemäß der Richtlinie 95/46 klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhalten hatte. Durch die Richtlinie 2009/136 wurde der Wortlaut dieser Bestimmung erheblich geändert, indem die genannte Fassung durch die Wendung „seine Einwilligung gegeben hat“ ersetzt wurde. Die Entstehungsgeschichte von Art. 5 Abs. 3 der Richtlinie 2002/58 deutet somit darauf hin, dass die Einwilligung des Nutzers nun nicht mehr vermutet werden darf und sich aus einem aktiven Verhalten des Nutzers ergeben muss.
Angesichts der vorstehenden Gesichtspunkte liegt eine wirksame Einwilligung im Sinne von Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 somit nicht vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein vom Diensteanbieter voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Hinzuzufügen ist, dass die in Art. 2 Buchst. h der Richtlinie 95/46 angesprochene Willensbekundung u. a. „für den konkreten Fall“ erfolgen muss, was so zu verstehen ist, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.
Im vorliegenden Fall kann daher entgegen dem Vorbringen von Planet49 die Tatsache, dass ein Nutzer die Schaltfläche für die Teilnahme an dem von dieser Gesellschaft veranstalteten Gewinnspiel betätigt, nicht ausreichen, um von einer wirksamen Einwilligung des Nutzers zur Speicherung von Cookies auszugehen.
Die vorstehende Auslegung ist erst recht im Licht der Verordnung 2016/679 geboten.
Wie der Generalanwalt in Nr. 70 seiner Schlussanträge im Wesentlichen festgestellt hat, erscheint der Wortlaut von Art. 4 Nr. 11 der Verordnung 2016/679, wo der Ausdruck „Einwilligung der betroffenen Person“ im Sinne der Verordnung definiert wird, und insbesondere ihres Art. 6 Abs. 1 Buchst. a, auf den sich Buchst. c der ersten Frage bezieht, noch enger als der Wortlaut von Art. 2 Buchst. h der Richtlinie 95/46, denn er verlangt eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder „einer sonstigen eindeutigen bestätigenden Handlung“, in der ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck kommt.
Die Verordnung 2016/679 sieht mithin nunmehr ausdrücklich eine aktive Einwilligung vor. Hierzu ist festzustellen, dass nach dem 32. Erwägungsgrund der Verordnung die Einwilligung u. a. durch Anklicken eines Kästchens beim Besuch einer Internetseite zum Ausdruck kommen könnte. Dagegen wird in diesem Erwägungsgrund ausdrücklich ausgeschlossen, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ eine Einwilligung darstellen können.
Folglich liegt eine wirksame Einwilligung im Sinne von Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 nicht vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Schließlich ist hervorzuheben, dass das vorlegende Gericht den Gerichtshof nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „ohne Zwang“ (Art. 2 Buchst. h der Richtlinie 95/46) bzw. „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 der Verordnung 2016/679) erteilten Einwilligung vereinbar ist, wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt. Unter diesen Umständen braucht der Gerichtshof diese Frage nicht zu prüfen.
Nach alledem ist auf die Buchst. a und c der ersten Frage zu antworten, dass Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Zu Buchst. b der ersten Frage
Mit Buchst. b seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 unterschiedlich auszulegen sind, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
Wie in Rn. 45 des vorliegenden Urteils dargelegt, ergibt sich aus der Vorlageentscheidung, dass bei der Speicherung der im Ausgangsverfahren in Rede stehenden Cookies eine Verarbeitung personenbezogener Daten vorliegt.
Nach dieser Klarstellung ist jedenfalls festzustellen, dass in Art. 5 Abs. 3 der Richtlinie 2002/58 von der „Speicherung von Informationen“ und vom „Zugriff auf Informationen, die bereits … gespeichert sind“, die Rede ist, ohne diese Informationen näher zu bestimmen oder zu präzisieren, dass es sich bei ihnen um personenbezogene Daten handeln muss.
Wie der Generalanwalt in Nr. 107 seiner Schlussanträge ausgeführt hat, soll diese Bestimmung damit den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind.
Diese Auslegung wird durch den 24. Erwägungsgrund der Richtlinie 2002/58 bestätigt, wonach die in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer sind, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.
Nach alledem ist auf Buchst. b der ersten Frage zu antworten, dass Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 nicht unterschiedlich auszulegen sind, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Wie sich bereits aus Rn. 46 des vorliegenden Urteils ergibt, verlangt Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er „gemäß der Richtlinie [95/46]“ u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Wie der Generalanwalt in Nr. 115 seiner Schlussanträge hervorgehoben hat, müssen die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.
In einer Situation wie der des Ausgangsverfahrens, in der nach den Angaben in den dem Gerichtshof vorgelegten Akten die Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen, zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den klaren und umfassenden Informationen, die der Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 erhalten muss.
Hierzu ist festzustellen, dass in Art. 10 der Richtlinie 95/46, auf die Art. 5 Abs. 3 der Richtlinie 2002/58 Bezug nimmt, und in Art. 13 der Verordnung 2016/679 die Informationen aufgeführt sind, die die Person, bei der die sie betreffenden Daten erhoben werden, von dem für die Verarbeitung Verantwortlichen erhalten muss.
Zu diesen Informationen gehören nach Art. 10 der Richtlinie 95/46 neben der Identität des für die Verarbeitung Verantwortlichen und den Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind, weitere Informationen, beispielsweise betreffend die Empfänger oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
Die Dauer der Verarbeitung der Daten zählt zwar nicht zu diesen Informationen, doch geht aus dem Wort „zumindest“ in Art. 10 der Richtlinie 95/46 hervor, dass die dortige Aufzählung nicht abschließend ist. Die Information über die Funktionsdauer der Cookies steht aber im Einklang mit dem in diesem Artikel aufgestellten Erfordernis einer Verarbeitung nach Treu und Glauben, denn in einer Situation wie der des Ausgangsverfahrens impliziert eine lange oder unbegrenzte Funktionsdauer, dass zahlreiche Informationen über die Nutzungsgewohnheiten und die Häufigkeit etwaiger Besuche des Nutzers auf den Websites der Werbepartner des Veranstalters des Gewinnspiels gesammelt werden.
Diese Auslegung wird durch Art. 13 Abs. 2 Buchst. a der Verordnung 2016/679 bestätigt, wonach der für die Verarbeitung Verantwortliche, um eine faire und transparente Verarbeitung zu gewährleisten, der betroffenen Person u. a. Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer zur Verfügung stellen muss.
Bei den Angaben dazu, ob Dritte Zugriff auf die Cookies erhalten können, handelt es sich um eine Information, die zu den in Art. 10 Buchst. c der Richtlinie 95/46 und in Art. 13 Abs. 1 Buchst. e der Verordnung 2016/679 aufgeführten Informationen gehört, denn dort sind ausdrücklich die Empfänger oder Kategorien von Empfängern der Daten genannt.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Kosten
Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Lenaerts
Silva de Lapuerta
Bonichot
Vilaras
von Danwitz
Toader
Biltgen
Jürimäe
Lycourgos
Rosas
Bay Larsen
Safjan
Rodin
Verkündet in öffentlicher Sitzung in Luxemburg am 1. Oktober 2019.
Der Kanzler
A. Calot Escobar
Der Präsident
K. Lenaerts
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK
Persönlicher Ansprechpartner
E-Mail-Service