Die Pressemitteilung zum Urteil des EuGH C-673/17 in Sachen Planet49 GmbH/Bundesverband der Verbraucherbände führte erwartungsgemäß zu einem großen medialen Echo – gibt es doch schon seit längerem eine große Unsicherheit im Bereich Datenschutz und die damit einhergehende Verwendung von Cookies.

Das mediale Echo lautet fast ausschließlich „Cookies sind nur noch mit Einwilligung erlaubt!“. Doch wie immer gilt zu hinterfragen: Ist das wirklich so?

Ein Blick in die Pressemitteilung ist erstmal hilfreich:

„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. [betrifft Frage 1. a) und c)]

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. [betrifft Frage 1. b)]

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss. [betrifft Frage 2.]“ – EuGH C-673/17

Allerdings klingt dies tatsächlich so, als sei eine Einwilligung stets von Nöten. Wenden wir uns dem Urteil mit einem Blick in den Sachverhalt und den gesetzlichen Grundlagen zu, auf deren das Urteil basiert. 

Worüber wurde entschieden?

Das Werbeunternehmen „Planet49 GmbH“ veranstaltete ein Gewinnspiel zu Werbezwecken und platzierte vor dem „Teilnahme“-Button zwei Ankreuzkästchen mit kurzer Beschriftung. Das erste Kreuzchen war nicht voreingestellt und betraf die Einwilligung in postalische und telefonische Angebote aus dem jeweiligen Geschäftsbereich von Sponsoren und Kooperationspartnern. Das war für das Urteil weniger relevant als das zweite Ankreuzkästchen, welches bereits angekreuzt war.

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“ ­­ – Planet49 GmbH

Nach dem im EuGH-Urteil beschriebenen Sachverhalt führte das „hier“ zu weiteren Informationen über die Cookies, die mit diesem Ankreuzkästchen versehen waren. Der Knackpunkt: Die Cookies waren auch für die Werbepartner von Remintrex, dem Webanalysedienst, auslesbar – mithin also für Dritte bestimmt.

Der Bundesverband der Verbraucherzentralen (vzbv) meint, dies genüge nicht den Anforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und mahnte entsprechend ab.

Der Rechtsstreit zog sich bis zum BGH, welcher nach eigener Einschätzung eine Vorlagefrage dem EuGH vorgelegt hat. Dieses Vorgehen/Verfahren wird angewendet, wenn nationale Gerichte den EuGH fragen können, wie Sachverhalte mit einem EU-Rechtseinschlag gegenüber dem vorrangigen EU-Recht auszulegen sind.

Dabei hat der BGH konkret folgende Fragestellung eingereicht:

  • stellt ein solches, bereits gekreuztes Kästchen, welches derartige Cookies setzt, eine nach den vorgenannten Rechtsgrundlagen „wirksame Einwilligung“ dar (Frage 1. a)),
  • ob es einen Unterschied macht, ob der Cookie „personenbezogene Daten“ verarbeitet oder nicht (Frage 1. b)),
  • ob die Einwilligung nach DSGVO(!) wirksam wäre (Frage 1. c)),
  • und welche Informationen für eine wirksame Einwilligung zu erteilen sind (Frage 2.).

Das Urteil des EuGH ist also nur in diesem eng gesteckten Korridor zu betrachten! 

Wirksame Einwilligung

Planet49 liegt keine wirksame Einwilligung zu der Nutzung von Cookies durch voreingestellt angekreuzte Häkchen vor.

„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“ – EuGH C-673/17

Unterscheidung „personenbezogene Daten“ notwendig

In genau diesem einen Kontext, also der erforderlichen Einwilligung, ist somit keine Unterscheidung notwendig.

„Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.“ – EuGH C-673/17

Wirksame Einwilligung nach DSGVO

Aus den vorher genannten Punkten ableitend, handelt es sich auch um keine wirksame Einwilligung nach DSGVO.

Notwendige Informationen

Die Datenschutzrichtlinie zur elektronischen Kommunikation 2002/58 verweist in Art. 5 Abs. 3 auf die alte EU-DSRL, die inzwischen durch die DSGVO abgelöst wurde. In beiden Normen (Art. 10 EU-DSRL, sowie Art. 13 DSGVO) werden eine Reihe an verpflichtenden Informationen bezüglich der Verarbeitung von personenbezogenen Daten genannt. Dazu gehört nach Ansicht des EuGH aber auch die Funktionsdauer und die Zugriffsmöglichkeit Dritter eines Cookies (Rn. 78-81 des Urteils). 

Notwendige Cookies

Der EuGH hat sich ausschließlich mit einer offensichtlichen Fallgestaltung des Art. 5 Abs. 3 S. 1 der EU-DS-RiLi für elektronische Kommunikation befasst und diese geprüft. In Art. 5 Abs. 3 S. 2 heißt es jedoch:

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, [...] wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ – Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG

Fazit

Das Urteil hat nur kleine Ausschnitte der DSGVO beleuchtet und dies nur in einem sehr eng geschnürten Kontext.

Zusammengefasst bedeutet das Urteil für die Allgemeinheit: Wenn Daten an Dritte weitergegeben werden, muss eine Einwilligung über einen sauberen Opt-In-Prozess realisiert werden. Die Informationspflichten nach Art. 12, 13 DSGVO sind dabei strikt einzuhalten.

ABER:

Nach einer durchgeführten Interessensabwägung ist es möglich, dass technisch erforderliche Speicherungen von Informationen ohne Einwilligung gesetzt werden können (vgl. Whitepaper „Datenschutzkonformer Einsatz von Netmind Core“), auch wenn die Datenerhebung/Datenverarbeitung nicht im eigenen Rechenzentrum durchgeführt wird, sondern z.B. an einen externen Dienstleister ausgelagert und die Beauftragung mit einer ADV vertraglich geregelt wird. In dieser ADV oder einem begleitenden Vertrag muss die Weitergabe der Daten an Dritte vertraglich ausgeschlossen sein. Zudem wird an dieser Stelle auf die FAQ des Landesbeauftragen für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg hingewiesen. In dieser FAQ wird explizit auf „Analysewerkzeuge ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg" eingegangen. Ein Analysewerkzeug im Sinne dieser FAQ sind Analysewerkzeuge, welche

  • datensparsam konfiguriert werden können,
  • die Erfassung und Verarbeitung transparent dargestellt wird (vgl. Art. 12 ff. DSGVO),
  • eine Weitergabe an Dritte unterbunden wird (um z.B. über Anbietergrenzen hinweg die erfassten Daten zusammenzuführen – Stichwort „Profiling“).

All dies ist mit dem Analysewerkzeug Netmind Core in einfacher Weise möglich. Eine notwendige Analyse, um eine ständige Optimierung eines Onlineangebotes durchzuführen, ist auch in Zeiten der DSGVO realisierbar.

Disclaimer

Die Inhalte dieser Ausarbeitung – vor allem die Rechtsbeiträge – wurden mit größter Sorgfalt recherchiert. Dennoch kann Mindlab Solutions keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.