EuGH: nicht essentielle Cookies, nur mit Einwilligung

 

Der EuGH hat am 1.10.2019 die Rechtssache Planet49 entschieden. Es ging um eine Checkbox zur Einwilligung in Cookies, die bereits angeklickt war, und bei der der Websitebesucher daher das tracking ausschalten musste.

 

Das geht so nicht, so die Ansicht des EuGH. Wenn eine Einwilligung für Cookies erforderlich ist, dann hat diese durch eine bestätigende Handlung zu erfolgen. Eine Möglichkeit zum opt-out reicht nicht aus, um diese Anforderungen zu erfüllen.

 

 

 

Nach der Entscheidung FashionID (RS C-40/17; gemeinsame Verantwortlichkeit beim Facebook-Like-Button; 29.7.2019) und der Entscheidung zur gemeinsamen Verantwortlichkeit bei Facebook-Fanpages (RS C-210/16; ULD Schleswig Holstein gg. Wirtschaftsakademie Schleswig Holstein, 5.6.2018) ist das eine weitere Entscheidung mit Konsequenzen für „Marketing / Vertrieb“ in Organisationen.

 

 

 

Aus der Pressemitteilung des EuGH vom 1.10.2019 ergeben sich folgende Schlussfolgerungen.

 

 

 

voreingestelltes Ankreuzkästchen:
„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“

 

Bei einer Einwilligung ist nach ErwG 32 durch eine „bestätigende Handlung“ erfolgen. Das Weitersurfen auf der Website stellt daher offensichtlich nach Ansicht des EuGH keine derartige „bestätigende Handlung“ dar.

 

 

 

personenbezogene Daten:
„Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.“

 

 

 

Einwilligung für den konkreten Fall:
„Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.“

 

Einwilligung für den konkreten Fall bedeutet mE, dass keine Kopplung erfolgen darf. Der EuGH weist darauf hin, dass dies zB nicht mit einem Gewinnspiel verbunden werden darf. Der Nutzer muss die Möglichkeit haben, separat in das Setzen von Cookies, und damit die Möglichkeit der „Nachverfolgung“ seines Verhaltens bzw. das Ausspielen von Werbung bei weiteren Besuchen bzw. Wiedererkennung des Besuchers (Gerätes) bei einem weiteren Zugriff zu ermöglichen.

 

 

 

Informationspflichten:        
„Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.“

 

Diese Information muss mE nicht direkt bei der Einwilligung erfolgen, aber es muss eine Zugangsmöglichkeit (zB über einen Link) geben, damit der Nutzer der Website die Möglichkeit hat iSe „layered privacy notice“ die Möglichkeit hat, sich über die Speicherdauer (Funktionsdauer) sowie auch die Übermittlung von Daten an Dritte zu informieren, und auch alle anderen notwendigen Informationen iSd Art 13 DSGVO zu erhalten.

 

 

 

Die Konsequenzen des Urteils:

 

 

 

Muss für alle Cookies eine Einwilligung eingeholt werden, bevor diese auf dem Gerät des Users abgelegt werden?

 

NEIN.
Der EuGH hat entschieden, wie eine Einwilligung zu erfolgen hat, jedoch nicht unter welchen (datenschutzrechtlichen) Voraussetzungen eine Einwilligung erforderlich ist.     
Wenn tatsächlich ein berechtigtes Interesse des Websitenbetreibers oder eines Dritten vorliegt, das Cookie auf dem Gerät des Nutzers zu setzen, dann kann Art 6 Abs 1 lit f DSGVO als Rechtsgrundlage herangezogen werden, und es muss nicht auf die Einwilligung (Art 6 Abs 1 lit a DSGVO) „ausgewichen“ werden.

 

 

 

Bewirken Cookies die Erhebung von personenbezogenen Daten?

 

Das ist mE nach Ansicht des EuGH unklar. Der EuGH erfolgt durch das Setzen von Cookies auf dem Endgerät des Nutzers ein Eindringen. Der Zugriff auf das Gerät ist – in bestimmten Fällen – nicht ohne eine Einwilligung des Nutzes zulässig.

 

 

 

Wie geht es weiter?
Es ist zu beachten, dass die ePrivacy-VO noch immer im Entwurfsstadium ist, und daher die Rechtslage selbst „in Bewegung ist“, und noch nicht ganz klar ist, wohin die „Cookie-Reise“ gehen wird. Im österreichischen Telekommunikationsgesetz (§ 96 Abs 3 TKG) findet seit 1.12.2018 eine Bestimmung zur Erhebung und Verarbeitung von personenbezogenen Daten bei einem Besuch einer Website.

 

(a)   Informationspflicht vor Verarbeitung der personenbezogenen Daten

 

Ein Betreiber eines Dienstes der Informationsgesellschaft (dh auch einer Website) ist verpflichtet, die Nutzer zu informieren, welche personenbezogene Daten verarbeitet werden, auf welcher Rechtsgrundlage das erfolgt und für welche Zwecke die Daten verwendet werden und wie lange die Daten gespeichert werden.

 

 

 

(b)   Einwilligung oder nicht – abhängig von der Art der Datenerhebung über Cookies

 

„Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat.“

 

 

 

Für „essentielle Cookies“ wird eine Sonderregelung geschaffen:         
Eine technische Speicherung oder ein Zugang ist zulässig, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

 

 

 

Schlussfolgerung:

 

Rechtsgrundlage für die Verarbeitung - Unterscheidung nach Art der Cookies?

 

Cookies, die notwendig sind, um die Funktion der Website zu ermöglichen und/oder Nachrichten zu übertragen, dürfen ohne Einwilligung gesetzt werden. Funktionscookies für den Warenkorb (zB Wiedererkennung bei Abbruch) sind mE als notwendig oder essentiell anzusehen, sodass hierfür keine Einwilligung erforderlich. Eine Abgrenzung von essentiellen/notwendigen und anderen (nicht essentiellen) Cookies existiert derzeit nicht, sodass uU Cookies, die zum Komfort des Nutzers dienen, bereits einwilligungspflichtig sein könnten.

 

Cookies, die für Marketingzwecke dienen, werden mit großer Wahrscheinlichkeit ohne Einwilligung des Nutzers der Website nicht zulässig sein.

 

 

 

Informationspflicht

Unabhängig von der Frage der Rechtsgrundlage hat der Websitenbetreiber nach Arat 13 DSGVO und nach § 96 Abs 3 TKG die Verpflichtung zur Information, und muss den Nutzer über die Art und Weise der Verarbeitung der Daten, aber auch die Übermittlungsempfänger sowie die Funktionsdauer (Speicherdauer) informieren.


02.10.2019, Autor:

Michael Schweiger, zert DSBA

Kommentar schreiben

Kommentare: 0