Learnings aus der rezenten Entscheidung des EuGH für Ihr Unternehmen

Sachverhalt Entscheidung EuGH

Der EuGH beschäftigte sich zuletzt u.a. mit der Zulässigkeit von Cookies bzw. mit den in diesem Zusammenhang einzuholenden Einwilligungserklärungen (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. gegen Planet49 GmbH).

Die Planet49 GmbH hat im Rahmen ihrer Geschäftstätigkeit auch Online-Gewinnspiele angeboten und dazu auf ihrer Website ein Gewinnspiel zu Werbezwecken eingerichtet. Um an dem Gewinnspiel teilnehmen zu können, mussten die Internetnutzer ihren Namen und die genaue Adresse angeben. Weiters war es zur Teilnahme am Gewinnspiel erforderlich, dass die Teilnehmer aufgrund von zwei zuvor bereits ausgewählten Ankreuzkästchen bestätigten, einverstanden zu sein, (i) von mehreren Kooperationspartner der Planet49 GmbH postalisch oder per Email/SMS über Angebote informiert zu werden, sowie, (ii) dass Planet49 Cookies setzt, um das Surf- und Nutzungsverhalten zu analysieren und zielgerichtete Werbung schalten zu können.

Eine Teilnahme war nur möglich, wenn zumindest das erste Ankreuzhäkchen gesetzt bzw. die getroffene Vorauswahl (ausgewählte Ankreuzkästchen) nicht widerrufen wurde.

Bei Bestätigung von beiden Ankreuzhäkchen gab es einen weiterführenden Link, der zum einen über die jeweiligen Partner bzw. über die Arbeitsweise von Cookies informierte. Auch wurde darauf hingewiesen, dass ein Widerruf entweder schriftlich oder per E-Mail jederzeit möglich sei.

Gesetzliche Grundlagen

Vorauszuschicken ist, dass die maßgebliche Rechtsgrundlage für die Cookie-Verwendung (ePrivacy-RL) in ihrem Art 5 Abs 3 vorsieht, dass die Mitgliedstaaten verpflichtet sind sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der DS-RL ua über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Auch bevor der EuGH-Entscheidung „Planet49“ war demfolgend bereits eine Einwilligung für die Verwendung von Cookies einzuholen. Die EuGH-Entscheidung „Planet49“ hat sich nunmehr – wie auch bereits aus den Vorlagefragen ersichtlich – mit den Umständen bzw. Anforderungen einer Einwilligung auseinanderzusetzen.

Rechtliche Beurteilung

Der EuGH hatte sich nun mit den Fragen,

  1. ob durch ein voreingestelltes Ankreuzkästchen eine wirksame Einwilligung vorliegt,

  1. ob es einen Unterschied macht, wenn es sich bei den erhobenen Daten um personenbezogene Daten handelt oder nicht, und

  1. welche Informationen dem Nutzer in Bezug auf Funktionsdauer von Cookies sowie Zugriff durch Dritte auf Cookies zu erteilen hat.

Zur Frage 1 „Ankreuzhäkchen“ führte der EuGH aus, dass aufgrund des Wortlautes der bezughabenden Bestimmungen „der Nutzer tätig werden muss“ und verweist auf die Schlussanträge des Generalanwalts, wonach eine Willensbekundung ein aktives und kein passives Verhalten erfordere. Außerdem muss die Einwilligung ohne Zweifel abgegeben worden sein. In gegenständlichem Fall sei es aber unklar, ob die Einwilligung in Kenntnis der Sachlage erteilt wurde. Es könne angenommen werden, dass manche Nutzer die Kästchen gar nicht wahrnehmen bzw. die weiterführende Information nicht lesen. Angesichts dessen entschied der EuGH, dass bei voreingestellten Ankreuzkästchen keine wirksame Einwilligung vorliegt; dies insbesondere deshalb, weil der Nutzer zur Verweigerung seiner Einwilligung die voreingestellten Ankreuzkästchen abwählen musste.

Zur Frage 2 „Daten“, ob es einen Unterschied macht, welche Art von Information abgerufen wird, wies der EUGH darauf hin, dass die auf Endgeräten gespeicherten Daten von Nutzern schon aufgrund als Teil der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten der Privatsphäre unterliegen. Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt oder sonstige Daten betroffen sind. Insbesondere erfasst seien „hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen des Nutzers in deren Endgeräte eindringen.

Schließlich gab der EuGH zur Frage 3 „Informationserteilung“ der Angabe über die Funktionsdauer von Cookies und Zugriff von Dritten auf Cookies an, dass der Nutzer auf Grundlage von klaren und umfassenden Informationen, die er über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Das heißt, dass der Nutzer in die Lage versetzt werden muss, die Funktionsweise der verwendeten Cookies zu verstehen, Angaben zur Funktionsdauer der Cookies und, ob Dritte Zugriff auf die Cookies erhalten können, zählen demnach im Ausgangsverfahren zu den klaren und umfassenden Informationen nach Art 5 Abs 3 der RL 2002/58 , die der Nutzer erhalten muss.

Zusammenfassung und Learnings für den geschäftlichen Alltag

  • Begrifflichkeiten

Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert, um die Navigation oder Transaktion im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen und auf die der Anbieter wieder zugreifen kann, wenn der Nutzer neuerlich diese Website aufruft.

  • Grundregel = Einwilligung

Nach Art 5 Abs 3 ePrivacy-RL ist für die Verwendung von Cookies eine Einwilligung einzuholen und dem Nutzer zuvor klare und umfassende Informationen darüber bereitzustellen, weshalb seine Daten nachverfolgt werden.

  • Ausnahme von der Grundregel = keine Einwilligung

Die Einholung einer Einwilligung für Cookies ist nur dann ausnahmsweise nicht erforderlich, wenn der Dienst (Website) bei Deaktivieren der Cookies nicht funktionieren würde („technisch notwendige Cookies“).

  • Für welche Daten (Informationen) ist eine Einwilligung einzuholen?

Dem EuGH folgend macht es keinen Unterschied, ob die im Zuge der Analyse erhobenen Daten/Informationen um personenbezogene Daten iSd DSGVO handelt oder nicht. Das bedeutet, dass eine Einwilligung auch dann einzuholen ist, wenn nur anonymisierte Daten abgefragt werden.

  • (Formal-)Anforderungen an eine Einwilligung

Die Anforderungen, die an eine Einwilligung zu stellen sind, sind dem EuGH folgend, jene des Datenschutzrechtes. Insofern sind klare und umfassende Informationen bereitzustellen, die den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.

error: Dieser Inhalt ist geschützt.