Entscheidungsanalyse Rechtssache C-673/17 (Cookie Einwilligung)
In seiner Entscheidung vom 01.10.2019 hat der EuGH in der Rechtssache C-673/17 einige Vorabfragen im Zusammenhang mit der Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation durch Cookies getroffen und dabei den Begriff der Einwilligung der betroffenen Person in verschiedenen Aspekten behandelt sowie zu Inhalt und Umfang der Datenschutzinformation im Zusammenhang mit Cookies Feststellungen getroffen.
Zusammenfassend wurden (nach „altem“ Datenschutzrecht, aber ausdrücklich unter Einbeziehung der Regelungen der DSGVO) folgende Feststellungen getroffen:
- Die geprüften europäischen Regelungen sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
- Die Grundsätze zur Einwilligung sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
- Die Regelungen zur Verpflichtung, den Betroffenen zu informieren sind dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Zunächst ist an der Entscheidung bemerkenswert, dass – der ursprüngliche Fall stammte aus dem Jahre 2013/2014 – der EuGH ausdrücklich den im Vorlageverfahren des BGH genannten Hinweis gefolgt war, dass aufgrund des Antrages im Ausgangsverfahren, dass das beanstandete Verhalten auch künftig zu unterlassen sei, nicht nur die damals gültige Rechtslage, sondern ausdrücklich auch spätere Rechtssetzungsakte der EU, insbesondere auch die DSGVO in der Entscheidung einbezogen war. Der EuGH hat also nicht nur das in 2013 gültige Recht zur Entscheidungsgrundlage gemacht, sondern auch die Prüfung auf derzeit geltendes EU-Recht erstreckt. Damit handelt es sich um eine Entscheidung, die auch die Auslegung der aktuellen Rechtslage direkt beeinflusst.
Weiter ist festzustellen, dass der EuGH zwar keine ausdrückliche Feststellung dazu gibt, wie die Umsetzung der Richtlinie 2002/58 in das deutsche TMG im Hinblick auf dessen Wirksamkeit oder Anwendbarkeit umzugehen ist. Allerdings gibt der EuGH vor, wie die Richtlinie 2002/58 zutreffend auszulegen sei. Die Berücksichtigung der DSGVO ergibt sich dabei aus Art. 94 Abs. 2 der DSGVO, denn danach gelten Verweise in der Richtlinie 2002/58 auf die Richtlinie 95/46 nunmehr als Verweise auf die DSGVO. Darüber hinaus verpflichtet schon Art. 5 Abs. 3 der Richtlinie 2002/58 nach Sicht des EuGH die Mitgliedstaaten dazu, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 (und somit dem Verweis folgend, jetzt der DSGVO) unter anderem über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Entsprechend dieser Sichtweise zieht der EuGH die Wertungen und Erwägungen der Richtlinie 95/46 und der DSGVO bei seiner Entscheidung heran, wenn es um die Frage der Einwilligung geht und die Frage, wie sich der Charakter der Einwilligung rechtlich darstellt. In seinen Erwägungen kommt das Gericht zu dem Schluss, dass sämtliche auszulegende EU Rechtsakte die Einwilligung als aktives Verhalten ansehen, so dass das „nicht Abwählen“ einer Vorauswahl nicht diesen Anforderungen genügt.
Eine rechtliche Schlussfolgerung die Datenschützerin in Deutschland bereits aus der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien der DSK vom März 2019 (zwar mit etwas anderer Argumentation) bekannt sein dürfte. Insoweit eigentlich keine Überraschung, denn die Industrie hat schon mit verschiedenen Cookie-Layer-Lösungen darauf reagiert.
Neu in dieser Klarheit ist allerdings die Sichtweise, dass sich der Schutz der Privatsphäre der Nutzer nicht nur auf personenbezogene Daten bezieht, sondern – abgeleitet unter anderem aus dem 24. Erwägungsgrund der Richtlinie 2002/58 – alle in solchen Endgeräten gespeicherten Informationen erfasst, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Irritierend ist allerdings, dass der EuGH in diesem Zusammenhang „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen nennt, denn solche Instrumente bringen dem Diensteanbieter nur dann einen „Nutzen“, wenn wirklich eine Identifikation des Betroffenen stattfinden kann. Wenn das aber so ist, hätten diese Daten zumindest einen relativen Personenbezug.
Aber diesen Widerspruch mal außen vorgelassen, bleibt doch die Feststellung, dass im Wesentlichen alle Daten, die ein Cookie speichert nach dem Wortlaut der Entscheidung von der Einwilligung umfasst sein müssen, da die „Pflicht zur Einwilligung“ alle Daten umfasst. Damit wären von dieser Sichtweise auch alle „technischen“ Informationen, die in einem Cookie gespeichert werden, um einen reibungsfreien technischen Betrieb der jeweiligen Webseite zu ermöglichen, vom Einwilligungsvorbehalt umfasst, also beispielsweise auch die Sprachauswahl, die Information, dass keine Einwilligung erteilt wird und auch solche technischen Vorrichtungen, die temporär den Inhalt des Warenkorbes speichern, damit dieser – wenn der Nutzer zum Beispiel auf eine andere Unterseite wechselt – erneut angezeigt werden kann.
Von dieser Warte aus betrachtet, würde diese Anwendung der Entscheidung dazu führen, dass jede – auch technische – (Zwischen-)Speicherung von Informationen auf dem Endgerät des Nutzers einer Einwilligung des Nutzers bedarf. Im Hinblick auf die Technologien, die heute das Internet (technisch) ausmachen, sicherlich keine zutreffende Auslegung. Aber das wird eventuell die noch zu erwartende Entscheidung des BGH zeigen und die zu erwartende juristische Literatur erhellen.
Der Dritte Teil der Entscheidung ist aus Sicht von Art. 13 DSGVO und der sich daraus schon entwickelten Praxis grundsätzlich keine Überraschung, lässt aber den Detaillierungsgrad offen, den diesen Informationen umfassen müssen. Denn über die Frage, ob Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können es erfordern, nicht nur den Cookie im Rahmen der Datenschutzinformation zu beschreiben, wie es in der (deutschen) Praxis mittlerweile in vielen Datenschutzinformationen zu finden ist, sondern es auch erfordern, den Cookie durch detaillierte (technische) Angaben genau zu beschreiben (wie es in manchen EU Ländern von lokalen Aufsichtsbehörden gefordert wird), lässt die Entscheidung offen.
Veröffentlicht von Rechtsanwalt Kast