{"id":486,"date":"2019-10-07T21:40:54","date_gmt":"2019-10-07T19:40:54","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=486"},"modified":"2020-12-08T21:42:08","modified_gmt":"2020-12-08T20:42:08","slug":"die-planet49-entscheidung-des-europaeischen-gerichtshofs-eine-gefahr-fuer-die-programmatische-werbung","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=486&lang=de","title":{"rendered":"Die \u201ePlanet49\u201c-Entscheidung des Europ\u00e4ischen Gerichtshofs \u2013 eine Gefahr f\u00fcr die programmatische Werbung?"},"content":{"rendered":"\n<p>Vor wenigen Tagen hat der Europ\u00e4ische Gerichtshof den Fall \u201ePlanet49\u201c entschieden. Dieses Urteil war mit Spannung erwartet worden \u2013 in der Hoffnung, der EuGH w\u00fcrde das Urteil zur Gelegenheit nehmen, der Onlinemarketingbranche mehr rechtliche Klarheit zu verschaffen. Das geschah jedoch nur zum Teil. Wichtige Fragen bleiben leider nach wie vor unbeantwortet.<br>&nbsp;<br><strong>Worum ging es im \u201ePlanet49\u201c-Verfahren?<\/strong><\/p>\n\n\n\n<p>Im September 2013 veranstaltete das Unternehmen Planet49 auf der Website&nbsp;<a href=\"http:\/\/www.dein-macbook.de\/\" target=\"_blank\" rel=\"noreferrer noopener\">www.dein-macbook.de<\/a>&nbsp;ein Gewinnspiel. Um an dem Gewinnspiel teilnehmen zu k\u00f6nnen, mussten Internetnutzer zun\u00e4chst ihre Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern f\u00fcr ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern f\u00fcr die Adresse befanden sich zwei mit Ankreuzfeld versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld (im Folgenden: erstes Ankreuzfeld)&nbsp;<em>nicht<\/em>&nbsp;mit einem voreingestellten H\u00e4kchen versehen war, lautete:<\/p>\n\n\n\n<p><em>\u201eIch bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E\u2011Mail\/SMS \u00fcber Angebote aus ihrem jeweiligen Gesch\u00e4ftsbereich informieren. [\u2026]\u201c<\/em><\/p>\n\n\n\n<p>Der zweite Hinweistext, dessen Ankreuzfeld (im Folgenden: zweites Ankreuzfeld) mit einem&nbsp;voreingestellten&nbsp;H\u00e4kchen versehen war, lautete:<\/p>\n\n\n\n<p><em>\u201eIch bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung f\u00fcr das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex erm\u00f6glicht. Die Cookies kann ich jederzeit wieder l\u00f6schen. Lesen Sie N\u00e4heres [in der verlinkten Datenschutzerkl\u00e4rung].\u201c<\/em><\/p>\n\n\n\n<p>Eine Teilnahme am Gewinnspiel war nur m\u00f6glich, wenn zumindest das H\u00e4kchen im ersten Ankreuzfeld gesetzt wurde.<br><br>Der Bundesverband der Verbraucherschutzzentralen erhob daraufhin beim Landgericht Frankfurt am Main Klage gegen Planet49, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt werden sollte, solche Einverst\u00e4ndniserkl\u00e4rungen nicht mehr zu verlangen. Das Landgericht Frankfurt am Main gab der Klage teilweise statt, das Oberlandesgericht Frankfurt wies sie dagegen in zweiter Instanz zur\u00fcck.<\/p>\n\n\n\n<p>Der vom Bundesverband der Verbraucherschutzzentralen im Wege der Revision angerufene Bundesgerichtshof hatte Zweifel, ob die von Planet49 mittels des zweiten Ankreuzfelds eingeholten Einwilligungen wirksam waren. Daher setzte er das Verfahren aus und legte dem Europ\u00e4ischen Gerichtshof eine Reihe von Fragen zur so genannten Vorabentscheidung vor:<\/p>\n\n\n\n<p>&nbsp;&nbsp;<br><strong>Welche Fragen lagen dem Europ\u00e4ischen Gerichtshof zur Entscheidung vor?&nbsp;<\/strong><\/p>\n\n\n\n<p>Der Bundesgerichtshof hatte dem EuGH die folgenden Fragen gestellt (sprachlich etwas angepasst):<\/p>\n\n\n\n<ol><li>Handelt es sich um eine wirksame Einwilligung, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endger\u00e4t des Nutzers gespeichert sind, durch ein&nbsp;voreingestelltes&nbsp;Ankreuzfeld erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung&nbsp;<em>abw\u00e4hlen<\/em>&nbsp;muss?<\/li><li>Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene oder um anonyme Daten handelt?<\/li><li>Liegt unter den in Frage 1 genannten Umst\u00e4nden eine wirksame Einwilligung im Sinne der Datenschutzgrundverordnung vor?<\/li><li>Welche Informationen muss ein Website-Betreiber den Nutzern zur Verf\u00fcgung stellen, um Cookies setzen zu d\u00fcrfen? Z\u00e4hlen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?&nbsp;<\/li><\/ol>\n\n\n\n<p>&nbsp;<br><strong>Wie fiel das Urteil des EuGH aus?<\/strong><\/p>\n\n\n\n<p>Der Europ\u00e4ische Gerichtshof entschied Folgendes:<\/p>\n\n\n\n<ul><li>Es liegt&nbsp;keine&nbsp;wirksame Einwilligung im Sinne der ma\u00dfgeblichen EU-Richtlinien vor, wenn das Setzen von und der Zugriff auf Cookies durch ein&nbsp;voreingestelltes&nbsp;Ankreuzfeld &nbsp;abgefragt wird, welches der Nutzer zur Verweigerung seiner Einwilligung&nbsp;<em>abw\u00e4hlen<\/em>&nbsp;muss.<\/li><li>Es kommt nicht&nbsp;darauf an, &nbsp;ob es sich bei den im Endger\u00e4t des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.<\/li><li>Nach der ePrivacy-Richtlinie muss ein Website-Betreiber Angaben zur Funktionsdauer der Cookies machen und dar\u00fcber informieren, ob Dritte Zugriff auf die Cookies erhalten.<\/li><\/ul>\n\n\n\n<p>&nbsp;<br><strong>Was bedeutet das f\u00fcr die Praxis?<\/strong><\/p>\n\n\n\n<p>Die Entscheidung war f\u00fcr Brancheninsider wenig \u00fcberraschend: Wer Cookies einsetzt, braucht zuk\u00fcnftig eine \u201eaktive\u201c Einwilligung. Eine Opt-out-L\u00f6sung reicht&nbsp;<em>nicht<\/em>&nbsp;mehr aus. Die heute noch so beliebte Formulierung, \u201ewenn Sie jetzt weiter surfen, stimmen sie der Verarbeitung Ihrer Daten zu.\u201c ist&nbsp;<em>nicht<\/em>&nbsp;mehr zul\u00e4ssig. Eine solche stillschweigende Einwilligung ist&nbsp;<em>unwirksam<\/em>.<\/p>\n\n\n\n<p>Das gilt \u2013 und das ist ein wenig \u00fcberraschend &#8211; sowohl f\u00fcr Cookies mit personenbezogenen Inhalten wie auch mit&nbsp;anonymenInhalten.<br>&nbsp;<\/p>\n\n\n\n<p><strong>Was war&nbsp;<em>nicht<\/em>&nbsp;Gegenstand des EuGH.Urteils? Anders ausgedr\u00fcckt: Braucht man f\u00fcr Cookies jetzt&nbsp;<em>immer<\/em>&nbsp;eine Einwilligung?<\/strong><\/p>\n\n\n\n<p>Die Besonderheit eines solchen Verfahrens vor dem Europ\u00e4ischen Gerichtshof besteht darin, dass der EuGH nur die Fragen zu beantworten hat, die das Ausgangsgericht (in diesem Fall der Bundesgerichtshof) ihm stellt. Deshalb hatte er keine Veranlassung, zu den weiteren f\u00fcr die Onlinebranche wichtigen Fragen Stellung zu nehmen. Damit hat der EuGH insbesondere&nbsp;<em>nicht<\/em>&nbsp;gekl\u00e4rt,<\/p>\n\n\n\n<ul><li>ob das Setzen von Cookies durch&nbsp;<em>andere<\/em>&nbsp;Rechtgrundlagen gerechtfertigt sein k\u00f6nnte, zum Beispiel durch berechtigte Interessen (Art.&nbsp;6 Abs.&nbsp;1 lit.&nbsp;f DSGVO),<\/li><li>wer f\u00fcr das Setzen eines third-party-Cookies eigentlich datenschutzrechtlich verantwortlich ist,<\/li><li>wann so genannte \u201eerforderliche\u201c Cookies vorliegen, f\u00fcr die keine gesonderte Einwilligung einzuholen ist (Art. 5 Abs. 3 ePrivacy-RL).<\/li><li>Es ist auch nicht gekl\u00e4rt, ob Nutzer&nbsp;<em>einzelnen<\/em>&nbsp;Onlinemarketing Dienstleistern&nbsp;oder zumindest&nbsp;Dienstleister-<em>Gruppen<\/em>&nbsp;(Kategorien, also zum Beispiel \u201cOnlinemarketing\u201d) aktiv zustimmen m\u00fcssen. Diese Frage ist nat\u00fcrlich von weitreichender Bedeutung: Alle Dienstleister zu benennen, die im Onlinemarketing-\u00d6kosystems beteiligt sind, w\u00e4re eine praktisch unl\u00f6sbare Aufgabe.<\/li><\/ul>\n\n\n\n<p>&nbsp;<br><strong>Gibt es also noch \u201eeinwilligungsfreie\u201c Cookies?<\/strong><\/p>\n\n\n\n<p>Nach Art. 5 Abs. 3 der&nbsp;ePrivacy-Richtlinie (auch als \u201eCookie-Richtlinie\u201c bekannt) gibt es nach wie vor Cookies, die \u201eunbedingt erforderlich\u201c sind und daher&nbsp;keinerlei Einwilligung&nbsp;ben\u00f6tigen. Wann ein Cookie jedoch \u201eunbedingt erforderlich\u201c ist, l\u00e4sst sich weder der Richtlinie noch dem EuGH-Urteil entnehmen. Zu dieser Kategorie d\u00fcrften aber zum Beispiel mindestens die folgenden Cookies z\u00e4hlen: Warenkorb-Cookies, Login-Cookies, Sprachauswahl-Cookies und \u00c4hnliche. Nat\u00fcrlich m\u00fcssen diese Cookies auch in der Datenschutzerkl\u00e4rung erl\u00e4utert werden. Das beinhaltet Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf diese Cookies erhalten.<\/p>\n\n\n\n<p>Vieles ist hier auch nach der Entscheidung des EuGH trotzdem noch unklar. Marketing-Cookies oder Cookies f\u00fcr das Erstellen von Statistiken werden jedoch allgemein als&nbsp;<em>nicht<\/em>&nbsp;\u201eunbedingt erforderlich\u201c betrachtet. In diesen F\u00e4llen muss daher&nbsp;<em>vor<\/em>&nbsp;dem Einsatz eine informierte Einwilligung der Nutzer eingeholt werden.<br>&nbsp;<br><strong>M\u00fcssen&nbsp;<em>alle<\/em>&nbsp;Dienstleister in der Datenschutzerkl\u00e4rung erw\u00e4hnt werden \u2013 oder reichen Gruppen (Kategorien) aus?<\/strong><\/p>\n\n\n\n<p>Man steht oft vor dem Problem, dass eine un\u00fcberschaubare Anzahl von Dienstleistern (third parties) in die programmatische Werbung eingebunden werden. Es ist kaum m\u00f6glich, all diese Dienstleister namentlich und einzeln zu benennen, zum Teil sind sie auch gar nicht bekannt. Kann man deshalb aus Vereinfachungsgr\u00fcnden \u201eGruppen\u201c bilden, um diesem Problem zu entgehen? (zum Beispiel durch die Angabe \u201eRetargeting-Dienstleister)<\/p>\n\n\n\n<p>Auch diese f\u00fcr die Praxis so wichtige Frage hat der EuGH&nbsp;offen gelassen. Der Landesbeauftragte f\u00fcr Datenschutz und Informationssicherheit Baden-W\u00fcrttemberg schreibt dazu k\u00fcrzlich:<\/p>\n\n\n\n<p><em>\u201eIn der Einwilligung [\u2026] muss der Verarbeitungsvorgang klar und deutlich beschrieben werden. Nutzer m\u00fcssen ohne Weiteres verstehen k\u00f6nnen, in was sie einwilligen. Ein blo\u00dfer Hinweis \u201adiese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern\u2018 oder \u201af\u00fcr Webanalyse und Werbema\u00dfnahmen\u2018 ist nicht ausreichend, sondern irref\u00fchrend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die Einwilligung muss nicht f\u00fcr die Verwendung von Cookies an sich, sondern f\u00fcr die Erhebung und Weitergabe personenbezogener Daten eingeholt werden. Insbesondere muss genau und verst\u00e4ndlich aufgelistet werden, an welche namentlich zu benennenden Dritten welche Daten weitergegeben werden, bzw. welche Dritten Daten erheben oder empfangen (Empf\u00e4nger) und zu welchem genauen Zweck dies geschieht. Verfolgen Dritte eigene Zwecke, m\u00fcssen auch diese beschrieben werden. Diese Informationen m\u00fcssen klar und deutlich dargestellt werden und d\u00fcrfen nicht verschleiert werden, auch nicht durch die Wahl der \u00dcberschrift. Nutzer m\u00fcssen aktiv und freiwillig einwilligen (Opt-In, siehe Kasten auf Seite 5 der Orientierungshilfe), die Zustimmung darf nicht vorausgew\u00e4hlt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte K\u00e4stchen reichen nicht aus (\u201aprivacy by design\u2018 und \u201aprivacy by default\u2018).\u201c<\/em><\/p>\n\n\n\n<p>Er schreibt aber auch \u2013 und das ist bedeutsam (Hervorhebung hinzugef\u00fcgt):<\/p>\n\n\n\n<p><em>\u201eDie einzelnen&nbsp;<\/em><em>Empf\u00e4nger sollten einzeln,&nbsp;bzw. nach Kategorien&nbsp;ausw\u00e4hlbar sein.\u201c&nbsp;<\/em><\/p>\n\n\n\n<p>Das bedeutet, dass es m\u00f6glich sein muss, die Empf\u00e4nger auch (nur) in Kategorien zu benennen. Dies steht auch im Einklang mit Art. 13 Abs.&nbsp;1 lit.&nbsp;e) DSGVO, denn auch danach sind \u201egegebenenfalls die Empf\u00e4nger&nbsp;oder Kategorien von Empf\u00e4ngern&nbsp;der personenbezogenen Daten\u201c zu benennen. Es bleibt also abzuwarten, ob der EuGH diese Ansicht in einem zuk\u00fcnftigen Verfahren best\u00e4tigen wird.<\/p>\n\n\n\n<p>Die englische Datenschutz-Aufsichtsbeh\u00f6rde ICO sieht diese Fragen \u00fcbrigens deutlich kritischer.<\/p>\n\n\n\n<p>Das&nbsp;<a href=\"https:\/\/www.cnil.fr\/en\/cookies-and-other-tracking-devices-cnil-publishes-new-guidelines\" target=\"_blank\" rel=\"noreferrer noopener\">Gleiche<\/a>&nbsp;gilt f\u00fcr die franz\u00f6sische Aufsichtsbeh\u00f6rde CNIL:<br>Um so wichtiger ist es, dass hier so bald wie m\u00f6glich endlich einmal Klarheit geschaffen wird.<br>&nbsp;<\/p>\n\n\n\n<p><strong>Wie geht es weiter?<\/strong><\/p>\n\n\n\n<p>Das Bundeswirtschaftsministerium hat schon vor einigen Wochen eine \u00c4nderung des deutschen Telemediengesetzes angek\u00fcndigt, um auf das \u201ePlanet49\u201c-Urteil zu reagieren. Es bleibt abzuwarten, was hier geschieht. Parallel dazu wird der Rechtsstreit jetzt an den Bundesgerichtshof zur\u00fcckverwiesen, der den konkreten Fall dann endg\u00fcltig entscheiden muss.<br><\/p>\n\n\n\n<p><strong>Was sollte man jetzt tun?<\/strong><\/p>\n\n\n\n<ul><li>Webseitenbetreiber, die derzeit f\u00fcr Cookies ein \u201eOpt-out\u201c anbieten, also voreingestellte Ankreuzfelder verwenden, m\u00fcssen diese Praxis \u00e4ndern.<\/li><li>Websitebetreiber, die&nbsp;<em>kein<\/em>&nbsp;Consent-Banner nutzen, sondern sich nach wie vor auf \u00a7&nbsp;15 Abs.&nbsp;3 TMG und Art.&nbsp;6 Abs.&nbsp;1 lit.&nbsp;f) DSGVO berufen, m\u00fcssen mit einem nicht geringen rechtlichen Risiko rechnen. Dennoch halten einige diesen sicherlich riskanten Weg f\u00fcr vertretbar, solange die bestehende Gesetzeslage noch nicht ge\u00e4ndert wurde. &nbsp;<\/li><li>Das Setzen von Cookies, die einer Einwilligung bed\u00fcrfen, erfordert nach der Ansicht des EuGH zuk\u00fcnftig eine&nbsp;<em>ausdr\u00fcckliche<\/em>&nbsp;Einwilligung, das hei\u00dft etwa das Setzen eines H\u00e4kchens, das Klicken auf eine Schaltfl\u00e4che oder die Bet\u00e4tigung eines Schiebeschalters.<\/li><li>Das einfache \u201eWeitersurfen\u201c nach einem Hinweis oder eine voreingestellte Einwilligung gen\u00fcgen k\u00fcnftig in diesen F\u00e4llen&nbsp;<em>nicht<\/em>&nbsp;mehr.<\/li><li>Die Einwilligung muss eingeholt werden,&nbsp;<em>bevor<\/em>&nbsp;die Cookies gesetzt werden! Das Cookie&nbsp;darf also erst gesetzt werden,&nbsp;<em>nachdem<\/em>&nbsp;die Einwilligung eingeholt wurde. Dies entspricht auch der Ansicht der Aufsichtsbeh\u00f6rden, die in einer Orientierungshilfe f\u00fcr die Anbieter von Telemedien bereits Anfang des Jahres&nbsp;<a href=\"https:\/\/www.datenschutzkonferenz-online.de\/media\/oh\/20190405_oh_tmg.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Stellung genommen hatten<\/a>&nbsp;.<\/li><li>Ferner m\u00fcssen Cookie-Policies und Datenschutzerkl\u00e4rungen nach den Vorgaben des Europ\u00e4ischen Gerichtshofs vervollst\u00e4ndigt werden. Dazu geh\u00f6ren &nbsp;insbesondere Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte (\u201eThird Parties\u201c) Zugriff auf die Cookies erhalten. Dabei auf die Nennung von Gruppen zur\u00fcckzugreifen, erscheint uns vertretbar. Abschlie\u00dfend gekl\u00e4rt ist diese Frage aber nicht.<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Vor wenigen Tagen hat der Europ\u00e4ische Gerichtshof den Fall \u201ePlanet49\u201c entschieden. Dieses Urteil war mit Spannung erwartet worden \u2013 in der Hoffnung,<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=486&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/486"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=486"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/486\/revisions"}],"predecessor-version":[{"id":487,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/486\/revisions\/487"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}