Cookie-Banner im Lichte des 12. Tätigkeitsbericht des BayLDA und des Meta-Urteils des EuGH

von Barbara Schmitz, veröffentlicht am 11.07.2023
Rechtsgebiete: Datenschutzrecht|1326 Aufrufe

Zwei aktuelle Ereignisse dürften unmittelbare Auswirkungen auf die weiteren Überlegungen zur Gestaltung von Cookie-Bannern auf Webseiten haben. Zum einen die Ausführungen der Bayerischen Landesdatenschutzaufsicht zur „Vertragslösung“ im aktuellen Tätigkeitsbericht von Juli 2023 und zum anderen die Entscheidung des EuGH vom 4.7.2023 in Sachen Meta Platforms (C-252/21).

  1. Tätigkeitsbericht BayLDA

Die Bayerische Landesdatenschutzaufsicht äußert sich im Tätigkeitsbericht unter dem Punkt „Anforderungen an Cookie-Banner“ zur sog. „Vertragslösung“. Hierbei handelt es sich um eine Einwilligungsvariante zum sog. „Abo-Modelle“. Die Vertragslösung zeichnet sich dadurch aus, dass gerade keine Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO eingeholt, sondern ein Vertrag über die Nutzung der Website abgeschlossen wird. Das BayLDA stellt klar, dass diese Variante „nicht den jüngst ergangenen Entscheidungen des EDS“ widerspricht. Für eine datenschutzkonforme Ausgestaltung der Vertragslösung werden folgende Anforderungen genannt:

  • Wirksamer Vertrag über digitale Produkte
  • Transparente und granulare Zweckbeschreibung was zur Vertragserfüllung erforderlich ist

Das BayLDA weist darauf hin, dass die Frage der Wirksamkeit des zivilrechtlichen Vertrages nicht im Rahmen der datenschutzrechtlichen Aufsicht zu prüfen ist und verweist auf die zivilrechtlichen Mindestanforderungen, über die sich die Vertragspartner zu verständigen haben (sogenannte essentialia negotii). Darüber hinaus soll für die Wirksamkeit des Vertrages entscheidend sein, dass die Vertragspartner (= Nutzer) alle Informationen erhalten, die sie in die Lage versetzen, zu erkennen, welche vertraglichen Verpflichtungen sie eingehen.

  1. EuGH-Urteil iS Meta Platforms

In der Meta-Plattformen-Entscheidung des EuGH ging es darum, dass das Online-Netzwerk Facebook seine sozialen Dienste für Privatnutzer vermeintlich kostenlos anbot. Die Finanzierung des Angebots erfolgte jedoch über Online-Werbung, die auf der „automatisierte Erstellung von detaillierten Profilen der Nutzer des Netzwerks und der auf Ebene des Meta-Konzerns angebotenen Online-Diensten“ beruhte. Als Rechtsgrundlage für diese Art der Datennutzung stützte sich Meta auf einen mit den Nutzern über den Button „Registrieren“ geschlossenen Nutzungsvertrag, mit dem der Nutzer den Allgemeinen Nutzungsbedingungen zustimmt. Der EuGH hatte in diesem Zusammenhang über die Frage zu entscheiden, ob die in den Nutzungsbedingungen von Meta aufgeführten Verarbeitungszwecke für die Vertragserfüllung erforderlich sind. Denn gem. Art. 6 Abs. 1 lit. b) DS-GVO ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie „für die Erfüllung eines Vertrages (…) erforderlich“ ist. Es war also die Frage zu beantworten, ob die Verknüpfung des Nutzerverhaltens mit dem jeweiligen Nutzerkonto, um personalisierte Werbung zu erstellen, erforderlich ist, um den Vertrag über die Nutzung der Online-Plattform Facebook zu erfüllen. Dies verneint der EuGH mit der Begründung, dass die Bereitstellung der Plattform als Hauptgegenstand des Nutzungsvertrages auch ohne die Datenverarbeitung zu Werbezwecken erfüllt werden kann.

  1. Fazit

Zunächst ist festzuhalten, dass es in Entscheidung des EuGH nicht um eine vertragliche Ausgestaltung nach dem Digitale Inhalte-Gesetz ging und folglich nicht geprüft wurde, ob und wie eine vertragliche Darstellung unter den dort genannten Anforderungen hätte aussehen können. Der Meta-Entscheidung liegt ein Sachverhalt zugrunde, der gerade keinen Vertrag durch Bezahlen mit Daten darstellt. Für einen solchen Vertrag durch Bezahlen mit Daten, der eine Alternative zur Einwilligung darstellen kann (wie unter 1. dargestellt), muss die Datenverarbeitung sowohl für die Vertragserfüllung als auch für einen zusätzlichen Zweck erbracht werden. Nach Art. 3 Abs. 1 Satz 2 der Richtlinie über digitale Inhalte (= § 312 Abs. 1 a) Satz 2 BGB) liegt nämlich kein Vertrag über die Bezahlung mit Daten vor, wenn die Bereitstellung der personenbezogenen Daten ausschließlich der Vertragserfüllung und nicht auch anderen Zwecken (z. B. Werbung) dient.

Werden personenbezogene Daten vom Nutzer sowohl zur Vertragserfüllung (Nutzungsvertrag) als auch zu Werbezwecken zur Verfügung gestellt und wurde der Nutzer hierüber transparent informiert, liegt ein wirksamer Vertrag mit zulässiger Verarbeitung personenbezogener Daten vor.

 

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen