EuGH: Planet49: Cookie Consent: Einwilligungsanforderungen nach DSGVO und ePrivacy-Richtlinie; Konvergenz von Datenschutz und ePrivacy
von , veröffentlicht am 01.10.2019Der EuGH hat heute die formellen Anforderungen an einen wirksamen Cookie Consent definiert (Urteil v. 1.10.2019, Rs. Planet49 (C-673/17)). Dass der EuGH überhaupt die späte Gelegenheit bekam, Art. 5 Abs. 3 RL 2002/58 (ePrivacy-Richtlinie) in der Fassung der RL 2009/136 (Cookie-Richtlinie) noch einmal auszulegen, ist dem Umstand geschuldet, dass sich der Rat der Europäischen Union nur in kleinen Schritten – und auf einigen Umwegen – dem gemeinsamen Standpunkt für die künftige ePrivacy-Verordnung nähert.
Zur strittigen Frage, ob und wie die Bundesrepublik Deutschland die Vorgaben aus Art. 5 Abs. 3 ePrivacy-Richtlinie umgesetzt hat, brauchte sich der EuGH nicht zu äußern. Der Online-Dienst Planet49 hatte wegen der atypischen Verknüpfung der Cookie-IDs mit den Registrierungsdaten der Gewinnspielteilnehmer einen Cookie Consent der Nutzer eingeholt. Auf ein berechtigtes Interesse nach § 15 Abs. 3 TMG oder Art. 6 Abs. 1 Buchst. f DSGVO kam es gar nicht an. Die Orientierungshilfe der Datenschutzkonferenz (DSK) für Anbieter von Telemedien vom März 2019, wonach „[d]ie Nutzung von Cookies (…) nicht per se einwilligungsbedürftig [ist]“ und „[e]ntsprechende Banner (…) daher nur eingesetzt werden [sollen], wenn tatsächlich eine Einwilligung notwendig ist“ (S. 9 der DSK-Orientierungshilfe Telemedien), hat auch nach dem heutigen Urteil des EuGH Bestand.
Hilfreich ist die Feststellung des EuGH, dass eine Cookie-ID und andere Online-Kennungen kein personenbezogenes Datum sind, es sei denn für die Cookie-ID lässt sich – wie im Ausgangsfall wegen der atypischen Verknüpfung mit den Registrierungsdaten der Gewinnspielteilnehmer – ein Personenbezug herstellen (Rz. 45, 67 des Urteils). Das spielt für die Anwendbarkeit des Art. 5 Abs. 3 ePrivacy-Verordnung keine Rolle, da diese Norm sowohl für personenbezogene Daten als auch für Informationen ohne Personenbezug gleichermaßen gilt. Datenschutzrechtliche Ansprüche, etwa Auskunftsansprüche nach Art. 15 DSGVO, scheiden hingegen aus, solange der Online-Dienst keinen Personenbezug für die Cookie-IDs herstellt, etwa durch die atypische Verknüpfung mit Registrierungsdaten im Ausgangsfall.
Letztlich dürfte die Entscheidung aber als Grundsatzentscheidung zur datenschutzrechtlichen Einwilligung im Gedächtnis bleiben. Der EuGH verschärft die Wirksamkeitsanforderungen an datenschutzrechtliche Einwilligungserklärungen im Sinne des Art. 4 Nr. 11 DSGVO erheblich. Dies wirkt sich über die Verweisungskette des Art. 2 Buchst. f ePrivacy-Richtlinie mit Art. 94 Abs. 2 Satz 1 DSGVO auch auf den Cookie Consent aus, falls und soweit er von einer mitgliedstaatlichen Norm in Umsetzung des Art. 5 Abs. 3 ePrivacy-Richtlinie denn gefordertwird:
Einwilligung durch aktive Erklärung – Der EuGH bestätigt, dass eine Einwilligungserklärung eine aktive Erklärungshandlung voraussetzt (Rz. 62 des Urteils). Eine bestätigende Handlung (affirmative action) ist im Online-Bereich unproblematisch, weil der Nutzer durch das Klicken eines „WEITER“- oder „AKZEPTIEREN“-Buttons oder durch eine andere Interaktion den technischen Dialog aktiv auslöst oder fortsetzt. Eine Untätigkeit im Sinne des Erwägungsgrund 32 der DSGVO ist hier technisch nicht denkbar.
Einwilligung durch aktive und gesonderte Erklärung – Im Ausgangsfall hatte der Online-Dienst Planet49 die Teilnahmeerklärung am Gewinnspiel und die Cookie-Einwilligung zu einer Gesamterklärung mit Auskreuzoption verbunden. Dies im Einklang mit Art. 7 Abs. 2 Satz 1 DSGVO, der eine schriftliche Erklärung, die neben der Einwilligung noch andere Sachverhalte betrifft, ausdrücklich anerkennt. Der EuGH fordert hingegen eine gesonderte Einwilligungserklärung „für den konkreten Fall“, die „nicht aus einer Willensbekundung mit (auch) anderem Gegenstand abgeleitet wird“ (Rz. 58 des Urteils).
Einwilligung durch aktive, gesonderte und ausdrückliche Erklärung – Wenn aber eine datenschutzrechtliche Einwilligung „nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet“ werden kann, bleibt dann noch Raum für konkludente Einwilligungserklärungen? Ein schlüssiges Erklärungsverhalten hat ja primär einen „anderen Gegenstand“, aus dem die stillschweigende Erklärung abgeleitet wird. So gesehen hätten vor dem EuGH nur ausdrückliche Einwilligungserklärungen Bestand.
In der Gesamtschau fällt auf, dass der EuGH um einen interpretatorischen Gleichklang der ePrivacy-Regelungen und der DSGVO bemüht ist. Diese Konvergenzbemühung könnte im Rahmen der laufenden Evaluation der DSGVO von der Kommission aufgegriffen werden, beispielsweise indem die Art. 8 - 10 der geplanten ePrivacy-Verordnung in die DSGVO und damit in ihr natürliches Habitat überführt würden. Mit diesem konstruktiven Ansatz ließe sich auch die Blockade im Rat überwinden.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
2 Kommentare
Kommentare als Feed abonnierenGeplante ePrivacy-VO: Es gibt einen neueren Vorschlag vom 18.09.2019.
Die auch in diesem Beitrag anklingende Parallele von § 15 Abs. 3 TMG bzw. Art. 5(3) ePrivacy-RL einerseits und Art. 6 I S. 1 lit. f DSGVO andererseits kann ich allerdings nicht ganz nachvollziehen. § 15 Abs. 3 TMG nimmt keinen Bezug auf (nicht näher umschriebene) "berechtigte Interessen". Auch scheint mir die Perspektive des Normgebers spürbar verschieden, zumal Art. 6 I S. 1 lit. f DSGVO nicht als "reines", im Sinne eines begründungsfreien Opt-outs ausgestaltet ist, wie aus Art. 21 DSGVO hervorgeht, der auch überwiegende "zwingende schutzwürdige Gründe" des Verantwortlichen in den Blick nimmt.
... und wieder einen neuen Vorschlag zur geplanten ePrivacy-VO vom heutigen Tage, pünktlich zum Wochenende: https://www.parlament.gv.at/PAKT/EU/XXVI/EU/07/70/EU_77024/imfname_10929175.pdf