Mit dem Urteil in Sachen „Planet49 “ vom 01.10.2019 (Aktenzeichen: C‑673/17, Volltext) setzt der EuGH seine restriktive Rechtsprechung zum Online-Marketing und Datenschutz fort: Technisch nicht unbedingt erforderliche Cookies bedürfen einer ausdrücklichen Einwilligung, voraktivierte Checkboxen oder Zustimmungen durch „Weiternutzen“ sind nicht ausreichend. Außerdem muss als Grundlage der Einwilligung insbesondere auch über die Funktionsdauer von Cookies und Zugriffsmöglichkeiten Dritter informiert werden. Die bislang gebräuchlichen Cookie-Banner werden damit komplexen Cookie-Consent-Lösungen weichen müssen. Zudem wird das Einwilligungserfordernis die Nutzung von Tracking- und Analyse-Tools auf Websites deutlich einschränken (Vollständige Meldung als PDF abrufen).
Das Urteil des EuGH zu Planet49 – worum geht es?
Dem Verfahren liegt ein Rechtsstreit zwischen dem Verbraucherzentrale Bundesverband (vzbv) und der Planet49 GmbH zugrunde. Die Planet49 GmbH bot Online-Gewinnspiele zu Werbezwecken an. Die Teilnahme verknüpfte sie mit einer Einwilligung in den Erhalt von Werbung und einer weiteren Einwilligung in das Setzen von Cookies zwecks Nachverfolgung des Nutzerverhaltens. Dabei musste die Werbeeinwilligung ausdrücklich durch Anklicken einer Checkbox aktiviert werden, während die Einwilligung in den Erhalt von Cookies durch eine vorselektierte Checkbox bereits aktiviert war.
In den Vorinstanzen erhielt mal Planet49, mal der vzbv von den Gerichten Recht. Der schließlich in der Revision mit dem Sachverhalt befasste BGH legte dem EuGH mehrere Fragen zur Vorabentscheidung vor: Liegt bei einer vorausgewählten Checkbox für die Einwilligung in das Setzen (und Auslesen) von Cookies eine wirksame Einwilligung vor? Ist von Bedeutung, ob mit dem Cookie personenbezogene oder nicht personenbezogene Daten verarbeitet werden? Gehören zu den als Grundlage einer informierten Einwilligung zu erteilenden Informationen auch Angaben zur Funktionsdauer der Cookies sowie zu Zugriffsmöglichkeiten Dritter?
Was hat der EuGH genau entschieden?
Bereits in Sachen „Fashion ID“ (Urteil v. 29.07.2019 – C-40/17, Volltext) hatte der EuGH entschieden, dass das Auslesen von Informationen von Nutzern einer Website regelmäßig einer Einwilligung bedarf (dazu ausführlich unsere Mandanteninformation vom Juli 2019, „EUGH entscheidet Fashion ID: Einwilligung für Social Plugins und Tracking erforderlich„.
Diese Rechtsprechung hat der EuGH jetzt weiter ausgearbeitet:
Einwilligungen verlangen eine aktive Handlung des Einwilligenden, weshalb vorausgewählte Checkboxen nicht ausreichen. Eine voraktivierte Checkbox sei keine Aktivität des Nutzers. Auch dass der Nutzer gleichzeitig aktiv in einen anderen Gegenstand einwillige (hier: die Werbung im Zusammenhang mit der Durchführung des Gewinnspiels) genüge nicht, weil es am Zusammenhang mit der weiteren Einwilligung in das Setzen und Auslesen von Cookies fehle. Dabei komme es nicht darauf an, ob in den Cookies personenbezogene Daten gespeichert werden: Art. 5 Abs. 3 der sog. e-Privacy-Richtlinie, aus dem sich das Einwilligungserfordernis ergibt, gelte uneingeschränkt für alle Informationen, die im Endgerät eines Nutzers gespeichert oder von dort ausgelesen werden. Auf die Personenbeziehbarkeit komme es nicht an. Grundlage einer informierten Einwilligung seien neben den Informationen gem. Art. 13, 14, 21 DS-GVO außerdem Angaben zur „Funktionsdauer“ der Cookies sowie zu Zugriffsmöglichkeiten Dritter.
Welche Bedeutung hat das Urteil für Website- und App-Betreiber?
Konkret bedeutet das Urteil für Betreiber von Websites und Apps Folgendes:
- Technisch nicht unbedingt erforderliche Cookies, insbesondere solche, die für das Tracking von Nutzern sowie Komfort- oder Personalisierungsfunktionen eingesetzt werden und zu diesem Zweck personenbeziehbare Daten verarbeiten, bedürfen einer ausdrücklichen, aktiven Einwilligung. Eine Berufung auf § 15 Abs. 3 TMG, der auch ein pseudonymisiertes Tracking mit Opt-Out erlaubte, ist hinfällig.
- Für die Einwilligung in das Speichern und Auslesen von Cookies gelten die Anforderungen für Einwilligungen aus der DS-GVO. Neben der Begriffsdefinition in Art. 4 Nr. 11, Art. 6 Abs. 1 Buchst. a DS-GVO sind damit Art. 7 DS-GVO sowie bei Kindern und Diensten der Informationsgesellschaft auch Art. 8 DS-GVO zu beachten. Der gemäß Art. 7 Abs. 1 DS-GVO erforderliche Nachweis der Einwilligung bedarf dabei keiner Schriftlichkeit, sondern nach derzeitigem Diskussionsstand eines dokumentierten und implementierten Prozesses, der eine DS-GVO-konforme Einholung der Einwilligung gewährleistet.
- Nicht jedes Cookie verlangt eine eigene Einwilligung; das wäre technisch kaum abzubilden und außerdem hochgradig intransparent. Vielmehr können die Einwilligungen für mehrere Cookies zusammengefasst („geclustert“) werden, wenn Cookies einem gemeinsamen Verarbeitungszweck dienen. Das stellen Erwägungsgrund 32, Sätze 4 und 5 klar und wird vom EuGH (noch) nicht in Abrede gestellt. Ob auch Anbieter der Cookies, Empfänger der Daten oder verarbeitete Datenkategorien identisch sind, ist nicht von Bedeutung für die Zusammenfassung mehrerer Cookies in einer Einwilligung. Allerdings muss trotzdem transparent über alle Cookies gem. Art. 13, 14, 21 DS-GVO informiert werden. Denkbar sind z.B. Gruppierungen nach „unbedingt erforderlich“, „Statistik“, „Komfort“ und „Personalisierung“, alternativ etwa nach „unbedingt erforderlich“, „Statistik“ und „Social Plugins“.
- Zur transparenten Information als Grundlage der Einwilligung gehören für alle Cookies Angaben zu deren Funktionsdauer sowie zur Zugriffsmöglichkeit Dritter. Mit der Funktionsdauer dürften Angaben zum Zweck des Cookies und der Speicherdauer gemeint sein. Mit der Zugriffsmöglichkeit Dritter dürfte der EuGH die Angabe gemeint haben, dass es sich um sog. Third-Party-Cookies handelt (obwohl technisch darauf keine Dritten Zugriff haben, sondern nur die rechtmäßige Third-Party).
- Fehlen Angaben zu Vorgängen, bei denen keine personenbezogenen Daten auf dem Endgerät gespeichert oder von dort ausgelesen werden (insb. in Cookies), dürfte das Risiko für Sanktionen wie Geldbußen oder Abmahnungen von Mitbewerbern für Verletzungen der e-Privacy-Richtlinie außerordentlich gering sein: Die Aufsichtsbehörden im Datenschutz sind in diesen Fällen nicht zuständig und die Rechtslage in Deutschland ist völlig unklar, da es – anders als mit Art. 6 Abs. 1 DS-GVO bei der Verarbeitung personenbezogener Daten auf/vom Endgerät eines Nutzers – an einer Bezugsnorm für die Umsetzung von Art. 5 Abs. 3 e-Privacy-Richtlinie im nationalen Recht fehlen dürfte.
Cookie-Consent-Tools: Was müssen Sie jetzt machen?
Alle Tools, die Cookies verarbeiten, abschalten – die radikale Lösung, die aber nicht erforderlich ist. Umgekehrt gilt aber auch:
Je mehr Tools für das Online-Marketing und die Nutzeranalyse für Website oder App zum Einsatz kommen, mit denen (insbesondere personenbezogene) Daten auf Endgeräten von Nutzern ausgelesen oder dort gespeichert werden, umso größer wird das Risiko, gegen die komplexen Vorgaben zur transparenten Einwilligung zu verstoßen und sich einer Verfolgung durch die Aufsichtsbehörden im Datenschutz oder von Wettbewerbern und Verbraucherschutzverbänden mit Abmahnungen auszusetzen.
Für uns kommt es deshalb nicht auf die Frage an, ob weiterhin Plugins und Tools mit Tracking- und Analysefunktionen für Websites und Apps genutzt werden, sondern es geht um etwas gänzlich anderes:
- Welche Plugins/Tools sind für Ihr konkretes Angebot und zur Verfolgung Ihrer wirtschaftlichen Interessen sinnvoll oder nützlich?
- Welche Plugins/Tools sind für Ihr konkretes Angebot unbedingt erforderlich?
- Welche Plugins/Tools sind verzichtbar, z.B. weil für einen Zweck gleichzeitig mehrere Tools eingesetzt werden, deren Ergebnisse sich nicht wesentlich unterscheiden (Beispiel: Nutzung von mehreren Heatmap- oder Statistik-Tools gleichzeitig, bei denen selbst das Zusammenführen der Ergebnisse den Aussagegehalt der damit möglichen Analysen nicht signifikant verbessert)?
Wenn feststeht, welche Plugins/Tools unbedingt erforderlich, zumindest aber sinnvoll oder nützlich sind, gilt es folgende, z.T. sehr technischen Fragen zu beantworten:
- Welche Informationen werden von den Plugins/Tools auf den Endgeräten Ihrer Nutzer ausgelesen oder dort gespeichert, insbesondere Cookies?
- Kommen Fingerprint-Techniken zum Einsatz (z.B. Browser-, IP- oder OS-Fingerprinting)?
- Welchem Zweck dienen die Informationen/Cookies/Fingerprints?
- Wie lange sind die Cookies oder anderen Informationen aktiv (Speicherdauer)?
- Wer ist der jeweilige Anbieter dieser Cookies bzw. wer nimmt die Verarbeitungen vor?
- Liegt eine gemeinsame Verantwortlichkeit zwischen Ihnen und dem Anbieter vor und gibt es geeignete vertragliche Vereinbarungen gem. Art. 26 Abs. 2 S. 2 DS-GVO (siehe dazu: Umgang mit der gemeinsamen Verantwortlichkeit in der Praxis)
Erst wenn diese Informationen vorliegen kann bewertet werden, für welche Plugins/Tools eine Einwilligung erforderlich ist und welche Informationen Ihren Nutzern erteilt werden. Dabei ergeben sich insbesondere folgende Aufgaben für Sie:
- Plugins/Tools nach Verarbeitungszwecken in Gruppen zusammenfassen,
- Cookie-Consent-Lösung für aktive Einwilligungen und deren Widerruf implementieren,
- Technisch nicht unbedingt erforderliche Cookies erst nach Einholen der Einwilligung setzen, und
- Aktualisierung der Datenschutzerklärung für die Website oder App.
Achtung
Die Aufsichtsbehörden in Spanien und Italien haben im Oktober 2019 Bußgelder von 30.000,- und 18.000,- Euro gegen ein Unternehmen verhängt, welches keine Cookie-Consent-Lösung für seine Website implementiert hatte und keine Einwilligung einholte. Zudem hat der Europäische Datenschutzbeauftragte mit dem Website Evidence Collector eine Open Source Lösung vorgestellt, welche die automatisierte Auswertung der Datenverarbeitungen auf Websites erlaubt, umso Gesetzesverstöße leicht erkennbar und dokumentierbar zu machen (Details unter EUROPEAN DATA PROTECTION SUPERVISOR). Die Wahrscheinlichkeit von Sanktionen bei Missachtung der Vorgaben steigt damit drastisch, ebenso die zu erwartende Höhe der Bußgelder.
Wie können wir Sie unterstützen?
Es gibt viele konkrete Unterstützungsmöglichkeiten:
- Nennen Sie uns die von Ihnen für Ihre Website/App genutzten Plugins/Tools und wir prüfen zum Pauschalpreis, welche der Plugins/Tools eine Einwilligung und darüber hinaus gegebenenfalls besondere vertragliche Gestaltungen wie vor allem eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DS-GVO erfordern.
- Wir erstellen Ihnen für Ihre Website/App einschließlich der von Ihnen genannten Plugins/Tools zum Pauschalpreis eine den gesetzlichen Vorgaben entsprechende Datenschutz-Information („Datenschutzerklärung“) gemäß Art. 13, 14, 21 DS-GVO.
- Wir erarbeiten mit Ihnen die erforderlichen Einwilligungen und die Umsetzung mit einer Cookie-Consent- oder Cookie-Management-Lösung, die ihr bisheriges Cookie-Banner durch eine rechtskonforme Lösung ersetzt. Dabei unterstützen wir Sie auch beim sinnvollen Gruppieren der von Ihnen eingesetzten Plugins/Tools, um die erforderlichen Einwilligungen so gering wie möglich zu halten. Dies erfolgt abhängig von Art und Anzahl der Plugins/Tools sowie der gewünschten Cookie-Consent- Lösung entweder zum Pauschalpreis oder nach vorheriger Abstimmung nach Aufwand.
- Wir prüfen zum Pauschalpreis, ob die vom Anbieter eines Plugins/Tools bereitgestellten Vereinbarungen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO nebst den zugehörigen Datenschutz-Informationen oder ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO den gesetzlichen Vorgaben entsprechen und von Ihnen abgeschlossen werden können, damit Sie das Plugin/Tool datenschutzkonform nutzen können.
- Benötigen Sie eine eigene Vereinbarung zur gemeinsamen Verantwortlichkeit nebst zugehörigen Datenschutz- Informationen oder einen eigenen Vertrag zur Auftragsverarbeitung, unterbreiten wir Ihnen ein verbindliches Angebot für deren Erstellung.
- Wenn Sie die Berechnungen der Aufsichtsbehörden zur Höhe möglicher Bußgelder nachvollziehen möchten, stellen wir unseren Mandanten einen Rechner zur Verfügung, der das Konzept der Datenschutzkonferenz umsetzt.
Wer sind Ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer-recht.de
- Per Stöcker, Rechtsanwalt, Datenschutzbeauftragter (ECPC/Maastricht University und TÜV), per.stoecker@kremer-recht.de
- Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV), daniela.koehnlechner@kremer-recht.de
- Malte Dümeland, Rechtsanwalt, Datenschutzbeauftragter (TÜV), malte.duemeland@kremer-recht.de
- Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV), kristof.kamm@kremer-recht.de
- Marc Meerkamp, Rechtsanwalt, Datenschutzbeauftragter (TÜV), marc.meerkamp@kremer-recht.de
Alle Ansprechpartner erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).
Wer sind KREMER RECHTSANWÄLTE
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät mit insgesamt zwölf Rechtsanwältinnen und Rechtsanwälten ihre Mandanten und Auftraggeber, darunter DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups, hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Die Sozietät hat in verschiedenen Branchen- und Dachverbänden an der Umsetzung der DS-GVO durch die jeweiligen Mitglieder mitgewirkt und selbst mehrere Großprojekte zur Umsetzung der DS-GVO erfolgreich geführt oder begleitet. Die Rechtsanwältinnen und Rechtsanwälte veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Juristinnen und Juristen sowie Referendaren und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT- und Datenschutzrecht geführt. Mehr auf dieser Website.
Ein Kommentar
Kommentare sind geschlossen.