Folgebeitrag Cookie – NEUE Verschärfte Entscheidung seit Mai 2020 vom EUGH
Der Bundesgerichtshof (BGH) Deutschland hat mit seinem Urteil vom 28. Mai 2020 den Entscheid des EuGHs im Fall Planet49 bestätigt – um somit einen weltweiten Präzedenzfall für die zukünftige Verwendung von Cookies gesetzt.
Die aktive und freie Einwilligung des Nutzers muss der Platzierung eines nicht-notwendigen Cookies auf einer Webseite vorausgehen. Vorab angekreuzte Auswahlkästchen wurden als gesetzwidrig eingestuft.
Lesen Sie hier:
Ausschlaggebender Fall vom Oktober 2019: Planet49
Der Europäische Gerichtshof hat im Fall Planet49 am 1. Oktober 2019 bereits entschieden, dass der User eine unmissverständliche Einwilligungserklärung in Form des Ankreuzens eines Kästchens abgeben muss. Vorher dürfen seine Daten nicht verarbeitet werden. Da dieses Urteil das Erste nach Inkrafttreten der Datenschutzgrundverordnung ist, wurde damit ein Musterfall geschaffen. Somit wirkt sich das EuGH-Urteil zusammen mit dem Entscheid des BGH entscheidend auf die gesetzlichen Anforderungen an ein Cookie bis zur Durchsetzung der ePrivacy-Verordnung aus. Daran haben sich nun die gesamte Datenschutzbranche sowie alle Webseite-Besitzer zu halten. Diese Urteile betreffen nicht nur die EU, sondern haben Auswirkungen auf die ganze Welt. Eine ganz besondere Bedeutung kommt vor allem auch der Art der Einwilligung (Soft Opt-in/aktiv, implizit/explizit) zu.
Worum geht es bei Planet49 konkret?
Planet49 ist ein deutsches Online-Gaming Unternehmen. 2013 wurde eine Online-Promotion Lotterie veranstaltet. Die Teilnehmer mussten deshalb ihre persönlichen Daten angeben. Zur Freigabe ihrer persönlichen Daten für Werbezwecke war aber ein Kästchen bereits vorab angekreuzt. Der VZBV (Verbraucherzentrale Bundesverband) hat diese Praxis des Planet49 vor dem Europäischen Gerichtshof angefochten. Darüber hinaus sollte der Europäische Gerichtshof das EU-Recht auslegen, ob und in welcher Form angekreuzte Kästchen eine gültige Einwilligung in der Europäischen Union darstellen. Das Urteil des EuGHs vom 1. Oktober 2019 schaffte einen Präzedenzfall. Ein finales Urteil vom 28. Mai 2020 bestätigte schließlich das Urteil des EuGHs. Dies bedeutete einen Wendepunkt für den Datenschutz in der EU und hat entscheidende Auswirkungen auch auf die Funktionsweise des Internets.
Bedrohung durch „Hidden Identifiers“ – Pressemitteilung des EuGHs!
„Versteckte Identifizierer“ geben sich dem Nutzer nicht zu erkennen. Ihre Aufgabe ist es, die Gewohnheiten, persönlichen Daten und Aktivitäten im Netz auszuspionieren. Egal, ob es sich jetzt um Marketingzwecke oder andere Absichten handelt, der Nutzer hat ein Recht auf Schutz im Netz. Ist dem User bekannt, dass seine Daten weitergeben werden und an wen, geschieht nichts ohne sein Wissen und die Dinge liegen „im grünen Bereich“. Liegt der Fall jedoch anders, ist nach der letzten Entscheidung des EuGHs die Rechtslage komplett anders. Deshalb bedeutet das finale Urteil des Europäischen Gerichtshofs einen Wendepunkt, der erhebliche Folgen für die Datenverarbeitungsbranche und Betreiber von Webseiten nach sich zieht. Diese Auswirkungen betreffen die Ressourcen der Datenverarbeitung. Das EuGH-Urteil hat Konsequenzen für fast alle Websites. Die noch für das Jahr 2020 angekündigte kommende ePrivacy-Verordnung könnte allerdings einen neuerlichen Wendepunkt bringen.
Das EuGH-Urteil hat Auswirkungen für fast alle Websites – inwiefern?
Der Europäische Gerichtshof ist die höchste rechtliche Instanz in der Europäischen Union. Seine Urteile sind bindend für alle Mitglieder. Ein Richter aus jedem EU-Land vertritt dieses. Darüber hinaus versehen elf Generalanwälte im EuGH Dienst. Der Europäische Gerichtshof muss sicherstellen, dass bei Rechtsstreitigkeiten im gesamten EU-Gebiet auch EU-Recht angewandt wird. Darüber hinaus ist es die Aufgabe des EuGHs, EU-Recht zu interpretieren, um Präzedenzfälle, nach denen geurteilt werden kann, zu schaffen.
Durch das Urteil wurden die Vorschriften in Bezug auf die Datenverarbeitung in der EU entscheidend verändert. Es geht um die Zustimmung zur Verarbeitung von Nutzerdaten. Unternehmen können nicht schon im Vorhinein davon ausgehen, dass die Nutzer mit der Verarbeitung ihrer persönlichen Daten einverstanden sind. Da das Internet ein Medium ist, indem schnell und weitreichend Missbrauch betrieben werden kann, ist hier mit besonderer Sorgfalt vorzugehen. Ein kleines Kreuzchen kann sehr weitreichende Folgen haben, die beinahe kaum rückgängig zu machen sind. Relevant war bis jetzt immer, ob die Daten personenbezogen sind oder nicht. Dies fällt mit dem finalen Urteil des EuGHs vom 28. Mai 2020 weg.
Ein Präzedenzfall ist ein Musterbeispiel, der für alle folgenden ähnlichen Fälle zur rechtlichen Beurteilung herangezogen wird. Somit richtet sich die gesamte diesbezügliche Rechtssprechung danach. Dies kann nur durch die Verabschiedung neuer Gesetze, die der kommenden ePrivacy-Verordnung, aufgehoben werden. Diese wird noch für 2020 erwartet.
Viele Branchen fürchten um ihre digitalen Datenressourcen. Das finale Urteil des Europäischen Gerichtshofs vom 28. Mai 2020 zeigt auch, dass es viel Missbrauch gibt und dass diesem ein Riegel vorgeschoben werden muss. Andererseits wird es immer schwieriger, an Datenressourcen heranzukommen, die aber nun einmal die Basis für die Datenverarbeitungsbranche darstellen. Niemand möchte, dass seine Daten einfach ohne Einverständnis an unbekannte Dritte weitergegeben werden. Der Nutzer weiß ja auch gar nicht, was Dritte dann mit seinen Daten „anstellen“ und wozu diese genau verwendet werden. Identitätsdiebstahl ist eine Straftat, die auf Datendiebstahl beruht und die immer öfter passiert. Hier wurde mit den Daten einer wildfremden Person in Online-Shops eingekauft. Die Rechnung bekam dann die bestohlene Person. Verständlich also, dass dem ein Riegel vorgeschoben werden muss.
Nicht jeder, der Daten nutzt, tut dies illegal. Es wird aber auch immer schwieriger, sich im „legalen Datendschungel“ zurechtzufinden. Solche Urteile setzten klare Grenzen und Maßstäbe, nach denen vorgegangen werden kann. Somit sorgen sie für Rechtssicherheit in der gesamten Europäischen Union. Wer sich daran hält, hat auch nichts zu befürchten. Die Pressemitteilung des Europäischen Gerichtshofs informiert deshalb, sodass die Branche klipp und klar weiß, „wie der Hase läuft“.
Die Entscheidung des EuGHs verbindet die Datenschutzrichtlinie für elektronische Kommunikation i. d. F. v. 2009, die DSGVO von 2018 sowie die ältere Richtlinie 1995. Damit sollen die persönlichen Rechte der Nutzer vor jeglichen Eingriffen geschützt werden. „Hidden Identifiers“, also versteckte Zugriffe verhindern.
Welche Arten der Einwilligung gibt es?
Die Auslegung des finalen EuGH Urteils vom 28. Mai 2020 betrifft die Artikel 2(f) und Artikel 5(3) der Datenschutzrichtlinie 2002/2009 in Kombination mit Artikel 2(h) der Richtlinie von 1995 sowie des Artikels 6(1)(a) der Datenschutzgrundverordnung.
Die explizite Einwilligung ist die einzige Zustimmung gemeint, die in der EU Gültigkeit besitzt. Das bedeutet, dass der Nutzer ausdrücklich und selbst seine Zustimmung erteilen muss und das Kästchen nicht schon vorab angekreuzt sein darf. Das ist auf alle Nutzerdaten anzuwenden! Der EuGH hat darüber hinaus festgehalten, dass es dabei vollkommen irrelevant ist, ob die Daten gespeicherte oder abgerufene Informationen oder personenbezogene Daten sind. Die Artikel aus den EU-Datenschutzgesetzten sind alle gleich auszulegen. Darüber hinaus müssen Dienstleister und Websites die Nutzer über die Dauer und den Zugriff Dritter auf ihre Benutzerdaten informieren. Es besteht diesbezüglich ganz klar Informationspflicht!
Kurzer Überblick über den Unterschied Explizite vs. Implizite Einwilligung!
Explizite Einwilligung ist die aktive Einwilligung der Nutzer und setzt die genau festgelegte, positive und aktive Handlung des Endverbrauchers (Nutzers) voraus. Konkret bedeutet das in diesem Fall, selbst ein Kästchen anzukreuzen und somit eine eindeutige Willenserklärung zu setzen. Dabei handelt es sich sowohl um persönliche als auch sensible Daten (Gesundheitswesen).
Die implizite Einwilligung war vor dem finalen EuGH-Urteil vom 28. Mai 2020 gültig und betraf nur personenbezogene Daten. Sensible, Personen bezogene Daten waren davon nicht betroffen.
Die Soft Opt-In Einwilligung ist nur eine andere Bezeichnung für die implizite Einwilligung. Das bedeutet, dass das Nicht-Ankreuzen eines Cookie-Banners, aber das Weiterverweilen auf der Seite oder das Besuchen einer Unterseite dieser Domain automatisch als Zustimmung gewertet wird. Dabei ist es vollkommen unerheblich, ob das dem Nutzer bewusst ist oder nicht. Diese Art der Zustimmung ist seit dem Urteil in der EU nicht mehr gültig.
VORSICHT! In anderen Teilen der Welt hat diese Art der Zustimmung aber nach wie vor Gültigkeit. Eines dieser Datenschutzgesetze ist die brasilianische LGPD, die sich auf die DSGVO stützt.
Zusammenfassung
Die Kernaussage des finalen Urteils vom 28. Mai 2020 besagt, dass nur notwendige Cookies ausgewählt werden müssen. Darüber hinaus ist die einzige gültige Art der Zustimmung die explizite Form. Diese ist auf das gesamte EU-Territorium anzuwenden. Vorab ausgewählte Kästchen auf den Cookie-Bannern sind als rechtswidrig anzusehen. Diese Einwilligung besagt, dass der Nutzer (User) aktiv seine Zustimmung durch das Ankreuzen des Kästchens auf dem Cookie-Banner kundtun muss. Der Website Betreiber oder Dienstleister muss dem User klar zu erkennen geben, an wen (Dritte) und wie lange die Daten weitergegeben werden.
Die Entscheidung des Europäischen Gerichtshofs wird in der Pressemitteilung des EuGHs nochmals näher dargelegt. Das finale Urteil des EuGHs wurde durch die Auslegung des Europäischen Gerichtshofes bindend für die gesamte EU als Rechtsgrundlage neben der DSGVO (Datenschutzgrundverordnung). Der Gerichtshof der Europäischen Union EuGH hat somit klargestellt, dass der Nutzer (User) aktiv, eindeutig, unmissverständlich und klar seine Zustimmung zur Verarbeitung von Nutzerdaten, nämlich seiner, geben muss. Dies geschieht durch die explizite Art der Zustimmung zu einem Cookie.
Das ist die einzig derzeit gültige Form der Willenserklärung in der Europäischen Union. Ein Cookie dient zum Tracking des Nutzers, dessen Daten sowie seinen Gewohnheiten. „Hidden Identifiers“ sind für den User nicht klar erkennbar. Er weiß daher nicht, ob und wenn ja wie seine Daten oder Gewohnheiten genutzt werde.
Das EuGH-Urteil hat Konsequenzen für die gesamte Datenverarbeitungsbranche und alle Websites nach sich gezogen. Das hat zu einer drastischen Wende in der Branche und für die User geführt. Es kann nicht sein, dass die persönlichen Ressourcen der User ohne deren Wissen verwendet werden. Deshalb wurde auch die explizite Einwilligung im Unterschied zur impliziten Einwilligung als einzig Gültige in der EU anerkannt. Die noch bis Ende 2020 erwartete ePrivacy-Verordnung, ist die einzige Möglichkeit, dieses Urteil zu ändern.
Hier zur offizielle Pressemitteilung und vollständiges Urteil des EuGH
Das vollständige Urteil des EuGHs
Die offizielle Pressemitteilung zur Entscheidung des Gerichtshofs der Europäischen Union
Pressemitteilung des BGH zum Urteil im Fall Planet49
Auszug aus dem EuGH-Urteil der globalen Anwaltskanzlei Hogan Lovells (in Englisch)
TechCrunch: Europe’s top court says active consent is needed for tracking cookies (in Englisch)
Unsere weiteren Informationen zu Cookie´s:
COOKIE – DSGVO wird die Regelungen 2020 deutlich verschärfen – Fall Planet49 von Oktober 2019
https://datenschutzbeauftragter-dsgvo.com/cookie-dsgvo-hat-die-regelungen-2020-deutlich-verschaerft/
DSGVO – Studie: Vorgaben zu Cookies werden noch nicht richtig eingehalten
DSGVO – Folgebeitrag zur Cookie-Studie: Einhaltung der Vorgaben lt. Datenschutz
DSGVO Tracking – Google wieder im Fokus
https://datenschutzbeauftragter-dsgvo.com/dsgvo-tracking-google-wieder-im-fokus/
DSGVO was gilt für die Verwendung von COOKIES
https://datenschutzbeauftragter-dsgvo.com/dsgvo-was-gilt-fuer-die-verwendung-von-cookies/
[…] 3. Folgebeitrag Cookie – NEUE Verschärfte Entscheidung seit Mai 2020 vom EUGH […]