Am 1.10.2019 kam es zu einem EuGH Urteil. Ausschlaggebend war die Rechtssache von Planet49. Dieses Urteil führt dazu, dass wieder Unsicherheit beim Thema Datenschutz besteht, ein medialer Wirbel angestoßen wurde und es zu Falschinterpretationen kam. Das Urteil bringt nichts Neues, sondern stellt nur klar, was zu Cookies und Einwilligungen ohnehin bekannt war.

Kurzform des Urteils

Für notwendige Cookies (essentiell für den Betrieb der Webseite) ist KEINE Einwilligung erforderlich. Der Webseitenbesucher muss jedoch darüber informiert werden (z.B. in Cookie-Richtlinie – Informationspflichten nach Art. 12, 13 DSGVO). Hierzu ist kein Cookie-Banner erforderlich.

Einwilligung und ausführliche Information für alle anderen (nicht essentiellen) Cookies.

Einwilligung in Form eines Opt-in ist Pflicht.

Es macht keinen Unterschied, ob es sich um personenbezogene Daten handelt oder nicht. Wenn es sich um nicht essentielle Cookies handelt, bedarf es in jedem Fall einer Einwilligung.

Definition Opt-in/out

Beim Opt-in muss das Einverständnis explizit vor der ersten Speicherung geben sein. Beispiel: Opt-in in Form einer Checkbox, die der Webseitenbesucher aktiv auswählen/aktivieren/anklicken muss.

Beim Opt-out geht man davon aus, dass eine Speicherung grundsätzlich erwünscht ist, bis sich der Webseitenbesucher aktiv dagegen entscheidet. Diese Option ist für nicht essentielle Cookies nicht mehr zulässig, ob es personenbezogene Daten sind oder nicht ist irrelevant.

Wieso kam es zu einem EuGH Urteil?

Beim Fall Planet24 ging es um eine Checkbox zur Einwilligung in Cookies, die bereits angeklickt war. Planet24 führte ein Gewinnspiel zu Werbezecken durch. Für dieses Gewinnspiel gab es zwei Checkboxen.

Checkbox 1: Einwilligung in Post- und Telefonwerbung der Kooperationspartner und Sponsoren des Gewinnspiels in Form von Opt-in. TeilnehmerInnen mussten die Checkbox also selbst aktivieren.

Checkbox 2: Einwilligung in Webanalyse durch ein entsprechendes Tool. Planet49 setzt nach Registrierung für das Gewinnspiel Cookies. Diese dienen zur Auswertung des Surf- und Nutzungsverhaltens und für personalisierte Werbung. Diese Checkbox war bereits angekreuzt. Webseitenbesucher mussten somit ein Opt-out durchführen.

Der folgende Rechtsstreit ging in Deutschland bis zum Bundesgerichtshof (BGH). Der BGH zog zur Bewertung die EU-Datenschutzrichtlinie für elektronische Kommunikation heran und rief daher den EuGH zur Beurteilung auf.

Fragen des BGH den EuGH (bezüglich Planet49)

Stellt eine bereits angekreuzte Checkbox, welche Cookies setzt, eine „wirksame Einwilligung“ dar? Macht es einen Unterschied, ob der Cookie „personenbezogene Daten“ verarbeitet oder nicht? Ist die Einwilligung nach DSGVO wirksam? Welche Informationen sind für eine wirksame Einwilligung konkret zu erteilen?

Der EuGH antwortet darauf mit der Datenschutzrichtlinie für elektronische Kommunikation (auch: ePrivacy- Richtlinie. Diese Richtlinie wurde 2009 novelliert und wird seitdem als Cookie-Richtlinie bezeichnet) Art. 5 Abs. 3:

“Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG* u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

EuGH stellt durch Urteil erneut klar:

Wenn eine Einwilligung für Cookies erforderlich ist, dann hat diese durch eine aktive Handlung zu erfolgen (Opt-in). Eine Möglichkeit zum Opt-out reicht nicht aus um dies zu erfüllen. Der EuGH hat sich nun eindeutig positioniert und eine Einwilligungspflicht für alle technisch nicht notwendigen Cookies bestätigt.

Fazit: es hat sich nichts geändert. Die Diskussion über die Zustimmung von Cookies wurde lediglich neu entfacht. Wer bisher keine rechtskonforme Umsetzung durchgeführt hat, sollte dies schleunigst tun. Mit dem Urteil zu Planet49 gibt es einen ersten Präzedenzfall. Das EuGH-Urteil bezieht sich auf alle Webseiten (in und außerhalb der EU), die Daten von europäischen Bürgern verarbeiten. In diesen Fällen besteht die Pflicht, dem Urteil des EuGH Folge zu leisten.

Quellen:

https://bdsg-externer-datenschutzbeauftragter.de/behoerde/unnoetige-panik-wegen-des-eugh-planet49-urteils-zu-cookies-vom-01-10-2019/

https://www.jusline.at/gesetz/dsgvo/paragraf/12

https://www.jusline.at/gesetz/dsgvo/paragraf/13

https://www.cookiebot.com/de/aktive-einwilligung-und-der-fall-von-planet49/