INFORMATIONEN

EUGH-Urteil zur „Cookie-Zustimmung

Der EuGH hat in der Rechtssache Planet 49 seine lang erwartete Entscheidung veröffentlicht, die vom deutschen Gericht in einem Verfahren gefordert wurde, das von einer nichtstaatlichen Verbraucherschutzgruppe, die Online-Lotteriespieler vertritt, eingeleitet wurde.

Fragen des Gerichtshofs

Er befasste sich mit Bedenken, die nach der Annahme von Artikel 5 Absatz 3 der Richtlinie 2002/58 (der Datenschutzrichtlinie für elektronische Kommunikation) durch eine Änderung im Jahr 2009 längst hätten ausgeräumt werden müssen, wobei die Mitgliedstaaten die Richtlinie umsetzten und dann anachronistisch anwendeten:

Ist die Einholung der Zustimmung durch ein angekreuztes Kästchen gültig, wenn Cookies auf den Geräten der Website-Besucher gespeichert werden?

Wird die Warnung, die dem Nutzer bei der Einholung der Zustimmung gegeben wird, auch die Dauer des Betriebs der gesetzten Cookies und die Frage enthalten, ob Dritte Zugang zu diesen Cookies haben werden oder nicht?

Spielt es für die Umsetzung der Datenschutzvorschriften für elektronische Kommunikation eine Rolle, ob es sich bei den Daten, auf die über die gesetzten Cookies zugegriffen wird, um personenbezogene oder nicht-personenbezogene Daten handelt?

Gerichtliche Feststellungen

Der Gerichtshof hat auf alle diese Fragen geantwortet und gleichzeitig die Mitgliedstaaten darauf hingewiesen, dass ein uneinheitlicher Ansatz bei der Umsetzung und Anwendung der Datenschutzrichtlinie für elektronische Kommunikation nicht mit dem EU-Recht vereinbar ist. Außerdem hat er klare Anweisungen zur Bedeutung der Begriffe „spezifische“, „eindeutige“ und „in Kenntnis der Sachlage erteilte“ Einwilligung gegeben.

Die wichtigsten Feststellungen des Hofes lauten wie folgt:

Für angekreuzte Felder ist keine gültige Zustimmung erforderlich,

Bei der Einholung der Genehmigung sollten die Nutzer über das Ablaufdatum von Cookies und die gemeinsame Nutzung durch Dritte informiert werden,

Bei ein und demselben Antrag auf Zustimmung sollten die einzelnen Gründe nicht zusammengefasst werden,

Um rechtmäßig zu sein, sollte ein „aktives Verhalten mit der klaren Absicht“ (was ich als „Absicht“ verstehe), eine Zustimmung zu erhalten, vorliegen (in den Mitteilungen, in denen die Erlaubnis dadurch eingeholt wird, dass die Nutzer dazu gebracht werden, die Website weiter zu nutzen, wird diese Schwelle also meist nicht erreicht),

Diese Regeln gelten für Cookies unabhängig davon, ob es sich bei den abgerufenen Daten um personenbezogene Daten handelt.

Leider wurde jedoch eine andere sehr wichtige Frage vom Gericht nicht beantwortet: Was bedeutet die „freiwillig erteilte“ Einwilligung? Mit anderen Worten: Gilt es als „frei erteilte“ Einwilligung, die Zustimmung zur Platzierung von Cookies für die Online-Überwachung für verhaltensbezogene Werbung als Voraussetzung für den Zugang zu einem Online-Dienst, z. B. einer Online-Lotterie (wie im Fall von Planet49?), zu verlangen und einzuholen?

Folglich hat es den Anschein, dass die Zustimmung zur Platzierung von Cookies durch angekreuzte Kästchen oder durch Untätigkeit oder Eingreifen ohne die Absicht, die Zustimmung zu erteilen, noch vor Inkrafttreten der Datenschutz-Grundverordnung unrechtmäßig eingeholt worden ist. Es bleibt abzuwarten, ob die Aufsichtsbehörden Maßnahmen ergreifen werden, um eine dieser Datenerhebungen, die auf einer unrechtmäßig eingeholten Zustimmung beruhen, zu unterbinden, oder ob sie einen Neuanfang wagen werden.

Informiert“ bedeutet, in der Lage zu sein, über die Folgen einer erteilten Zustimmung zu entscheiden.

Eine der Fragen, die dem deutschen Gericht zur Vorabentscheidung vorgelegt wurden, betraf die Kategorien von Informationen, die den Nutzern im Sinne der Einholung einer Cookie-Zustimmung mitgeteilt werden sollten. Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation verlangt in Übereinstimmung mit der Richtlinie 95/46 (inzwischen ersetzt durch die Datenschutz-Grundverordnung), dass dem Verbraucher „spezifische und detaillierte Informationen“ zur Verfügung gestellt werden. Es ging um die Frage, ob (a) die Dauer des Betriebs der Cookies ebenfalls durch diesen Hinweis geschützt werden muss und (b) ob Dritte Zugang zu solchen Cookies haben könnten.

Der Gerichtshof erläuterte, dass die Bereitstellung „einfacher und detaillierter“ Daten voraussetzt, „dass ein Verbraucher in der Lage ist, die Auswirkungen einer von ihm erteilten Einwilligung leicht zu erkennen und sicherzustellen, dass die erteilte Einwilligung gut informiert ist. Damit der Nutzer die Funktionsweise der verwendeten Cookies verstehen kann, muss sie klar verständlich und hinreichend umfassend sein“ (Randnummer 74). Es scheint also wichtig zu sein, eine Sprache zu verwenden, die der Nutzer leicht versteht, und ein vollständiges Bild von der Funktionsweise der Cookies zu zeichnen, für die eine Einwilligung eingeholt wird.

Insbesondere stellte der Gerichtshof fest, dass „der Zweck der Erhebung von Informationen zu Werbezwecken“ in Bezug auf Cookies darin besteht, dass „die Dauer des Betriebs von Cookies und die Frage, ob Dritte Zugang zu diesen Cookies haben können, zu den spezifischen und detaillierten Informationen gehören“, die dem Verbraucher erteilt werden müssen (Randnummer 75).

Der Gerichtshof stellte klar, dass diese allgemeine Struktur der Bestimmung „darauf abzielt, den Einzelnen vor Eingriffen in seine Privatsphäre zu schützen, unabhängig davon, ob personenbezogene Daten von diesem Eingriff betroffen sind oder nicht“ (Randnummer 69). Dieses Ergebnis ist besonders wichtig im Zusammenhang mit der aktuellen legislativen Debatte über die Reform der Datenschutzrichtlinie für elektronische Kommunikation. Was sie schützen, ist der Hauptunterschied zwischen dem System der Datenschutz-Grundverordnung und der Datenschutzregelung für elektronische Kommunikation: Bei der Datenschutz-Grundverordnung geht es darum, die Sicherheit personenbezogener Daten und eine gleichberechtigte Datenverarbeitung zu gewährleisten, wenn personenbezogene Daten erhoben und verwendet werden. Im Gegensatz dazu geht es bei der ePrivacy-Regelung darum, die Privatsphäre des Einzelnen vor unnötigen Eingriffen zu schützen. Personenbezogene Daten können in die Privatsphäre/den privaten Interessenschwerpunkt einbezogen werden oder nicht.

Schlussfolgerung

Die Entscheidung des EuGH in der Rechtssache Planet49 schafft die dringend benötigte Klarheit darüber, wie die Begriffe „Cookie-Banner“ und „Cookie-Zustimmung“ in der Datenschutzrichtlinie für elektronische Kommunikation umgesetzt werden sollten, nachdem die nationalen Umsetzungsgesetze und Aufsichtsbehörden jahrelang uneinheitlich vorgegangen waren, was zu einer mangelnden Wirksamkeit der Durchsetzung und damit der Einhaltung der Vorschriften führte.

Es ist jedoch zu bedenken, dass jede Zustimmung, die für die Platzierung von Cookies (oder ähnlichen Technologien) auf den Geräten der Nutzer eingeholt wird, alle anderen drei Anforderungen erfüllen muss, bevor sie als „freiwillig erteilt“ gilt. Wenn nur eine dieser Voraussetzungen nicht erfüllt ist, wäre die Einwilligung ungültig.

Lückenanalyse – Ein wichtiges Instrument zur Gewährleistung der Einhaltung der DSGVO

28/01/2022 Keine Kommentare

Für jedes Unternehmen ist die Einhaltung der DSGVO keine Kleinigkeit, aber die Art und Weise, wie Sie sie angehen, macht den Unterschied aus. Mit den

mehr »

Was geschieht, wenn noch kein Datenschutzbeauftragter ernannt wurde?

06/02/2021 Keine Kommentare

Die Bestellung eines Datenschutzbeauftragten wirft eine ganze Reihe von Fragen auf. Welche Unternehmen benötigen einen Datenschutzbeauftragten (DSB), und wer kommt für das Amt des DSB

mehr »

Amazon und der Datenschutz: Der Internethändler riskiert eine Strafe von 746 Millionen Euro

20/09/2021 Keine Kommentare

Für viele Menschen schließen sich Amazon und das Thema Datenschutz nicht gegenseitig aus. Amazon droht nun mit 746 Millionen Euro die bisher höchste Strafe für

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

EUGH-Urteil zur „Cookie-Zustimmung

Fragen des Gerichtshofs

Gerichtliche Feststellungen

Informiert“ bedeutet, in der Lage zu sein, über die Folgen einer erteilten Zustimmung zu entscheiden.

Schlussfolgerung

Lückenanalyse – Ein wichtiges Instrument zur Gewährleistung der Einhaltung der DSGVO

Was geschieht, wenn noch kein Datenschutzbeauftragter ernannt wurde?

Amazon und der Datenschutz: Der Internethändler riskiert eine Strafe von 746 Millionen Euro

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen