Cookies erfordern ausdrückliche Einwilligung – so der EuGH
Mit Urteil vom 01. Oktober 2019 hat das höchste Gericht über Cookies und den Datenschutz entschieden. Damit hat das Gericht zentrale Weichen für die ePrivacy im Internet gestellt. Verantwortliche müssen handeln. Der Websitebetreiber muss sehr genau informieren und vor allem, eine ausdrückliche, aktive Einwilligung einholen. Die blossen Slider mit OK-Button genügen diesen Anforderungen nicht. Neue Aufgaben für die Webdesigner und Gestaltung von Internetauftritten.
Zunächst ist auf das Verfahren, sodann auf Aspekte der Begründung bzw. Ergebnisse und sodann auf die Konsequenzen einzugehen.
VORGESCHICHTE – DAS VERFAHREN
Der Bundesverband der Verbraucherzentralen hatte ein von Planet49 unter www.dein-macbook.de betriebenes Gewinnspiel als rechtsverletzend abgemahnt. Ohne Erfolg, Planet49 nahm die geforderten Veränderungen nicht vor, verzichtete insbesondere nicht auf die Opt-Out-Lösung für die erhobenen Cookies, so dass der vzbv die Sache zu Gericht brachte.
Nachdem das Landgericht Frankfurt a.M. den Verbraucherschützern teilweise Recht gab, hob das Oberlandesgericht einen Teil wieder auf, so dass die Sache zum Bundesgerichtshof kam.
Der BGH legte die Sache jedoch dem EuGH vor, da es seiner Auffassung nach ganz wesentlich um die Auslegung der Datenschutzrichtline 95/46/EG, der ePrivacy (und Cookie-) Richtlinie 2002/58/EG sowie der Datenschutzgrundverordnung (DSGVO) gehe.
Letzteres ist immerhin einen weiteren Satz wert. Das Gewinnspiel wurde nämlich lange vor der Datenschutzgrundverordnung, zu Zeiten der Datenschutzrichtlinie, nämlich am 24.09.2013 veranstaltet.
Die Abmahnung des vzbv datierte mithin lange vor Inkrafttreten des DSGVO. Der BGH legte in seinem Vorlagebeschluss jedoch zugrunde, dass die Entscheidung in der Sache voraussichtlich erst erfolgen werde, wenn die DSGVO uneingeschränkt anzuwenden sei. Aus diesem Grunde berücksichtigte der EuGH also nunmehr auch das aktuelle Recht.
In Ermangelung der Verabschiedung der schon lange geplanten ePrivacy Verordnung hat er aber tatsächlich die nach wie vor anzuwendende ePrivacy Richtlinie 2002/58 seinem Verfahren zugrunde gelegt.
ENTSCHEIDUNG IN DER SACHE
Der EuGH hat den Rechtsstreit zwischen vzbv und Planet49 nicht entschieden. Das ist gar nicht seine Aufgabe gewesen. Er hatte, auf Vorlage des BGH, diesem Fragen zur Auslegung europäischen Rechts im Zusammenhang mit dem Datenschutzrecht, den Anforderungen an eine Einwilligung, insbesondere den Informationsanforderungen für den Einsatz von Cookies, zu beantworten.
Der BGH hatte zwei Fragen, erstere unterteilt in 3 Teilbereiche vorgelegt, die allesamt „pro Datenschutz“ und „pro Verbraucher“ entschieden worden sind.
So ist beispielsweise der Begriff der Einwilligung in der ePrivacy Richtlinie nicht definiert und nach den Ausführungen des Gerichts daher auf die Datenschutzrichtlinie und nunmehr die Datenschutzgrundverordnung, Verordnung 2016/678, zurückzugreifen.
Einwilligung i.S.d. Art. 4 Nr. 11 DSGVO
‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene
Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu
verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Der Teil der ersten Frage, ob Cookies per Opt-Out-Regelung genutzt werden dürfen, wurde daher, d.h. mit Rückgriff auf den Einwilligungsbegriff der Datenschutzgrundverordnung, verneint.
Zuvor befasste sich das Gericht mit der Frage, ob Cookies und die mit oder anläßlich dessen erhobenen und gespeicherten Daten, denn personenbezogene Daten seien und bejahte dies.
Natürlich gilt es die Besonderheiten jedes Einzelfalls zu berücksichtigen, aber die Begründung des Gerichts, nimmt dabei den Standpunkt des Betroffenen ein, was die Auslegungsspielräume für „kreative Lösungen“ doch stark einschränkt.
Mit diesen Zwischenergebnissen gewinnt natürlich sodann die Vorlagefrage 2, nach dem Umfang der Informationen, die der Einholung einer „informierten und belehrten“ Einwilligung vorausgehen müssen, besondere Bedeutung.
Denn der BGH möchte vom EuGH wissen, ob
Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Unter Rückgriff auf den Grundsatz von Treu und Glauben, der im neuen Datenschutzrecht ausdrücklich als Grundprinzip verankert worden ist, bejaht der Gerichtshof diese Frage.
Wie kommt das Gericht zu dieser Auslegung?
Es setzt sich mit der Frage auseinander, welche Risiken von der Funktionsdauer, also der Speicherdauer jener Daten, aus Sicht des Betroffenen ausgeht und kommt zu dem Ergebnis, dass sich natürlich mehr, spezifischere Informationen über die Nutzungsgewohnheiten und die Häufgkeit des Besuchs von Websites sammeln lassen, wenn die Funktionsdauer eines Cookies zeitlich unbefristet ist.
Diese Bewertung wird ins Verhältnis gerade zu den Informationspflichten der DSGVO gesetzt – und schon ist ein zentrales Ergebnis, von weit reichender Bedeutung, gefunden und begründet.
KONSEQUENZEN – INTERNETAUFTRITTE ANPASSEN – JETZT !
Die Folgen des Urteils treffen die Parteien des Rechtsstreits (noch) nicht, jedenfalls noch nicht „inter partes“, untereinander, da der Rechtsstreit nunmehr zunächst vom BGH entschieden werden muss.
Aber – es gilt auch die alte Weisheit der Juristen: „Es kommt darauf an“
Also – wie beim Fanpage EuGH Urteil von so vielen zu Unrecht angenommen – alles nicht so heiß, wie es gekocht wurde?
Nein!
Es besteht m.E. nach akuter Handlungsbedarf. Wer Cookies einsetzt, sollte sich genau ansehen, wie diese funktionieren, wie lange sie funktionieren, wer diese alle erhält und zu welchen Zwecken.
Können diese aktuell, möglicherweise nur vorübergehend, ausgeschaltet werden?
Erhält der Besucher Ihres Internetauftritts die Möglichkeit, Cookies zu deaktivieren – und wann?
Besteht also eine echte Wahlfreiheit, so dass die Datenhergabe tatsächlich „freiwillig“ erfolgt?
Sodann muss die Website um entsprechende Informationen ergänzt werden. Dies geschieht regelmäßig über die Datenschutzerklärungen von Internetauftritten, die also zu überarbeiten, jedenfalls zu kontrollieren sind.
Die Hauptaufgabe besteht aber nunmehr darin, eine echte Einwilligungslösung zu implementieren. Das dürfte bereits für die Technik eine akute Herausforderung darstellen. Denn bislang war eine solche Anforderung – zumeist – nicht gewünscht und daher auch nicht implementiert.
Die Einwilligungslösung erfordert zum einen, die Aufnahme einer dokumentierten Zustimmung – die DSGVO spricht von einer Willensbekundung – durch den Besucher des Internetauftritts.
Zum anderen ist eine entsprechende, und das ist die organisatorische Hauptaufgabe, Information und Belehrung der Einholung eben jener Zustimmung bzw. Einverständniserklärung voran zu stellen.
Und damit endet der Handlungsbedarf nicht.
Denn es gilt, den Internetauftritt auf vergleichbare technische und organisatorische Vorgänge hin zu untersuchen.
Damit haben Datenschutzbeauftragte aktuell eine neue Baustelle, die sie womöglich recht schnell beseitigen (lassen) sollten, um sich keinen Risiken aufsichtsrechtlicher oder zivilrechtlicher Herkunft aussetzen zu wollen.
Was ist gemeint?
Es drohen zivilrechtliche Abmahnungen durch hierzu berechtigte Vereinigungen – z.B. zum Schutz der Verbraucher.
Und es sind aufsichtsrechtliche Verfahren der Landesdatenschutzbehörden, jedenfalls auf Anzeige hin, zu befürchten.
Alles Panikmache?
Betrachtet man das Ausgangsverfahren zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und Planet49 GmbH unter diesen Blickwinkeln genauer, wird man wohl nicht ernstlich von Panikmache sprechen können.
Die Auflistung der Forderungen des vzbv in seiner Pressemitteilung zum Urteil des Europäischen Gerichtshofs machen deutlich, dass die Reichweite dort bekannt ist (vgl. hier Pressemitteilung des vzbv).
Der Unternehmer, der comliant sein will und muss, wird sich diesen Fragen des Datenschutzes (und im übrigen auch der IT-Sicherheit) stellen müssen, um sich keinen (behebbaren) Haftungsrisiken auszusetzen.
Und ja – daher besteht akuter Handlungsbedarf.
Was ist zu tun?
- Klären Sie die Verantwortungen und legen Sie darüber die Handlungsoptionen fest.
- Informieren Sie Ihren Datenschutz- und (sofern vorhanden) Compliancebeauftragten und natürlich Ihre IT.
- Setzen Sie ein Team ein.
- Prüfen Sie, ob Ihr/e Internetauftritt/e Cookies verwenden?
- Klären Sie, ob sie hierauf – vorübergehend – verzichten können?
- Da dies technisch bedingt vielfach nicht oder nur unter unverhältnismäßig hohen Einbußen zu Lasten der Usability möglich ist – stellen Sie fest, welche Daten darüber erhoben und verarbeitet werden.
- Stellen Sie auf der Grundlage Ihrer ersten Erkenntnisse Lösungsmöglichkeiten zusammen und organisieren notwendige Expertise.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!