{"id":575,"date":"2019-03-29T19:05:41","date_gmt":"2019-03-29T18:05:41","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=575"},"modified":"2020-12-09T19:07:07","modified_gmt":"2020-12-09T18:07:07","slug":"eugh-opt-in-pflicht-fuer-cookies","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=575&lang=de","title":{"rendered":"EuGH – Opt-in Pflicht f\u00fcr Cookies?"},"content":{"rendered":"\n

Der Generalanwalt beim Europ\u00e4ischen Gerichtshof (EuGH) Maciej Szpunar ist der Ansicht, es  bestehe eine Opt-In-Pflicht f\u00fcr die Einholung einer Cookie-Zustimmung beim Besuch einer Webseite (Schlussantrag v. 21.03.2019 – Az.: C-637\/17). Das Verfahren basiert auf einem deutschen Rechtsstreit vor dem BGH der Planet49 GmbH gegen den Bundesverband der Verbraucherzentralen. Der Sachverhalt war wie folgt:
Am 24. September 2013 veranstaltete die Planet49 GmbH unter der Internetadresse www.dein-macbook.de ein Gewinnspiel zu Werbezwecken. Um an dem Gewinnspiel teilnehmen zu k\u00f6nnen, musste ein Internetnutzer seine Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern f\u00fcr den Namen und die Adresse des Nutzers angezeigt. Unter den Eingabefeldern f\u00fcr die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Ich werde sie im Folgenden als \u201eerstes Ankreuzfeld\u201c und \u201ezweites Ankreuzfeld\u201c bezeichnen. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten H\u00e4kchen versehen war, lautete:
 
\u201eIch bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E<\/em>\u2011Mail\/SMS <\/em>\u00fcber Angebote aus ihrem jeweiligen Gesch<\/em>\u00e4ftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverst\u00e4ndnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.\u201c<\/em>
 
Der zweite Hinweistext, der mit einem voreingestellten H\u00e4kchen versehen war, lautete:
 
\u201eIch bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung f\u00fcr das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex erm\u00f6glicht. Die Cookies kann ich jederzeit wieder l\u00f6schen. Lesen Sie N\u00e4heres hier.\u201c<\/em>
 
Eine Teilnahme am Gewinnspiel war nur m\u00f6glich, wenn zumindest das H\u00e4kchen im ersten Ankreuzfeld gesetzt wurde. Der elektronische Link, der im ersten Hinweistext den Worten \u201eSponsoren und Kooperationspartner\u201c und \u201ehier\u201c unterlegt war, f\u00fchrte zu einer Liste, die 57 Unternehmen, ihre Adressen, den zu bewerbenden Gesch\u00e4ftsbereich und die f\u00fcr die Werbung genutzte Kommunikationsart (E\u2011Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort \u201eAbmelden\u201c enthielt. Der Liste vorangestellt war folgender Hinweis:
 
\u201eDurch Anklicken auf dem Link \u201aAbmelden\u2018 entscheide ich, dass dem genannten Partner\/Sponsoren kein Werbeeinverst\u00e4ndnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner\/Sponsoren abgemeldet habe, w\u00e4hlt Planet49 f\u00fcr mich Partner\/Sponsoren nach freiem Ermessen aus (H\u00f6chstzahl: 30 Partner\/Sponsoren).\u201c<\/em>
 
Bei Bet\u00e4tigung des im zweiten Hinweistext dem Wort \u201ehier\u201c unterlegten elektronischen Links wurde folgende Information angezeigt:
 
\u201eBei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zuflie\u00dfen, die eine nutzerfreundlichere und effektivere Werbung erm\u00f6glichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschlie\u00dfend die Webseite eines f\u00fcr Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerkl\u00e4rung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, f\u00fcr welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.<\/em>
 
Anschlie\u00dfend kann die Planet49 GmbH aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverst\u00e4ndnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen ber\u00fccksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverst\u00e4ndlich keine E<\/em>\u2011Mail-Werbung mehr. Die durch die Cookies \u00fcbermittelten Informationen werden ausschlie\u00dflich f\u00fcr Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden f\u00fcr jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-\u00fcbergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten. Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, k\u00f6nnen Sie diese \u00fcber Ihren Browser jederzeit l\u00f6schen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers. Durch die Cookies k\u00f6nnen keine Programme ausgef\u00fchrt oder Viren \u00fcbertragen werden. Sie haben selbstverst\u00e4ndlich die M\u00f6glichkeit, dieses Einverst\u00e4ndnis jederzeit zu widerrufen. Den Widerruf k\u00f6nnen Sie schriftlich an die PLANET49 GmbH [Adresse] richten. Es gen\u00fcgt jedoch auch eine E<\/em>\u2011Mail an unseren Kundenservice [E<\/em>\u2011Mail-Adresse].\u201c<\/em>
 
Es stellt sich die Frage, ob diese Vorgehensweise rechtm\u00e4\u00dfig war. Die Instanzgerichte verneinten eine Rechtsverletzung, da das Gesetz bei Datenschutzangelegenheiten – anders als bei der Zusendung von Werbenachrichten – kein Opt-In verlange. Auch sei die Klausel hinreichend bestimmt und transparent.  Der Rechtsstreit kam schlie\u00dflich zum BGH, der dem EuGH mehrere Fragen vorlegte:
 
Frage 1: 
Reicht es in diesem Zusammenhang f\u00fcr eine wirksame Einwilligung aus, dass die Checkbox vorselektiert ist und der User aktiv die Zustimmung abw\u00e4hlen muss, wenn er diese nicht will?
 
Frage 2:
Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
 
Frage 3:
Liegt nach der im Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ebenfalls eine wirksame Einwilligung vor?
 
Frage 4:
Welche inhaltlichen Angaben muss das Unternehmer zur Cookie-Nutzung angeben? Z\u00e4hlen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff haben?
 
Zu diesen Fragen gab der Generalanwalt nun in seinem Schlussantrag folgende Antworten:
Antwort zu 1:
„In einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endger\u00e4t des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzk\u00e4stchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abw\u00e4hlen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Best\u00e4tigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002\/58\/EG des Europ\u00e4ischen Parlaments und des Rates vom 12. Juli 2002 \u00fcber die Verarbeitung personenbezogener Daten und den Schutz der Privatsph\u00e4re in der elektronischen Kommunikation (Datenschutzrichtlinie f\u00fcr elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95\/46\/EG des Europ\u00e4ischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vor.“
 
Antwort zu 2:
„Bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002\/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95\/46 macht es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.“
 
Antwort zu 3:
„Das Gleiche gilt f\u00fcr die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002\/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95\/46 (Datenschutz-Grundverordnung).“
 
Antwort zu 4:
„Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002\/58 von einem Diensteanbieter erhalten muss, z\u00e4hlen die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.“
 
 
Was bedeutet das f\u00fcr die Praxis? <\/strong>
Zun\u00e4chst ist zu betonen, dass es sich dabei noch nicht um die gerichtliche Entscheidung des EuGH, sondern nur um einen Vorschlag f\u00fcr ein sp\u00e4teres Urteil handelt. Den Schlussantr\u00e4gen kommt jedoch in der Praxis eine wichtige Bedeutung zu, da der EuGH bei seiner sp\u00e4teren Entscheidung dieser Empfehlung h\u00e4ufig folgt. Ob dies auch im vorliegenden Sachverhalt der Fall sein wird, ist unklar.
Sollte der EuGH jedoch dieser Rechtsansicht folgen, w\u00fcrde dies eine grundlegende \u00c4nderung der derzeit praktizierten Cookie-Einwilligung in Deutschland und Europa bedeuten. Denn dann w\u00e4re der Einsatz eines Cookies nur noch dann erlaubt, wenn der User zuvor seine ausdr\u00fcckliche Einwilligung erteilt hat. Dies w\u00fcrde aber eine aktive Einwilligung voraussetzen, d.h. eine vorausgef\u00fcllte Checkbox oder gar der h\u00e4ufig verwendete Satz: \u201e wenn Sie jetzt weitersurfen erkennen Sie an, dass \u2026\u201c w\u00e4ren nicht mehr ausreichend.
Eine derartige Einwilligung in Cookies w\u00fcrde aber vermutlich – wie jede Einwilligung – verlangen, dass der Nutzer transparent und nachvollziehbar \u00fcber Art und Umfang der Datenverarbeitung, auch hinsichtlich  des Einsatzes von Drittanbieter-Tools  informieren m\u00fcsste. Da die Rechtsprechung aber an die Wirksamkeit solcher Einwilligungen in der Praxis kaum erf\u00fcllbare Voraussetzungen stellt, w\u00fcrde dies im Ergebnis praktisch die Beendigung nahezu aller webseiten\u00fcbergreifenden Vermarktungsformen (z.B. beim Retargeting) f\u00fchren. Diese Problematik wird bekanntlich seit l\u00e4ngerem auch bereits im Rahmen der noch nicht verabschiedeten ePrivacy-Verordnung unterschiedlich beurteilt. Ob das IAB Transparency & Consent Framework einen Ausweg darstellt, bleibt auch abzuwarten. Es kommen daher st\u00fcrmische Zeiten auf die Onlinemarketingbranche zu. <\/p>\n","protected":false},"excerpt":{"rendered":"

Der Generalanwalt beim Europ\u00e4ischen Gerichtshof (EuGH) Maciej Szpunar ist der Ansicht, es  bestehe eine Opt-In-Pflicht f\u00fcr die Einholung einer Cookie-Zustimmung beim Besuch einer<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/575"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=575"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/575\/revisions"}],"predecessor-version":[{"id":576,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/575\/revisions\/576"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}