Internet-Law

Onlinerecht und Bürgerrechte 2.0

7.10.19

Die Cookie-Entscheidung des EuGH wird überschätzt

Nach der medial ausführlich besprochenen Entscheidung des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az.: C‑673/17) zu Cookies („Planet 49“) war vielerorts, beispielsweise bei Heise, zu lesen, dass Cookies künftig nur noch mit ausdrücklicher Einwilligung des Nutzers gesetzt werden dürften.

Mit dieser Frage hat sich der EuGH aber gar nicht explizit beschäftigt, weil der vorlegende BGH nicht danach gefragt hatte.

Vordergründig hat der EuGH nur entschieden, dass eine datenschutzrechtliche Einwilligung online nur im Wege eines Opt-In erfolgen kann und eine Opt-Out-Lösung nicht ausreichend ist. Das gilt für Einwilligungen im Sinne der weiterhin geltenden ePrivacy-Richtlinie ebenso wie für die Einwilligung nach der Datenschutzgrund-Verordnung (DSGVO). Zudem stellt der EuGH klar, dass der Anwendungsbereich der ePrivacy-Richtlinie nicht auf personenbezogene Daten beschränkt ist, sondern sich der Schutz vielmehr auf alle in Endgeräten der Nutzer gespeicherten Informationen erstreckt, unabhängig davon, ob es sich um personenbezogene Daten handelt.

Ob dem EuGH die Tragweite dieser Aussage bewusst war, darf man bezweifeln. Denn am Ende müsste dies dazu führen, dass jede Form der (Zwischen-)Speicherung auf dem Gerät des Nutzers zunächst einwilligungsbedürftig wäre. Der Ausweg wäre in diesem Fall nur noch Art. 5 Abs. 3 S. 2 der ePrivacy-RL, wenn die Speicherung allein dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen oder zu erleichtern oder, soweit dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. In diesen Fällen ist keine Einwilligung nötig.

Mangels entsprechender Vorlagefragen hat sich der EuGH aber nicht mit der Frage befasst, wann ein Cookie „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 der ePrivacy-RL ist. Session Cookies, die für einen Bestellprozess eingesetzt werden dürften aber hierunter fallen, ebenso wie Cookies, die einem Log-In-Prozess dienen.

Nicht beantwortet hat der EuGH zudem die Frage, ob ein Tracking bzw. das Setzen von Cookies auch auf andere Gestattungstatbestände als die Einwilligung gestützt werden kann, insbesondere auf Art. 6 Abs. 1 lit. f) DSGVO und mithin ein berechtigtes Interesse ausreichen kann. Nun lassen sich möglicherweise die Ausführungen des EuGH z.B. in Rn. 46 des Urteils schon derart interpretieren, dass der Gerichtshof auf Cookies ausschließlich Art. 5 der ePrivacy-RL anwenden will. Andererseits hat die Vergangenheit gezeigt, dass man einzelne Passagen aus Entscheidungen des EuGH, die nicht unmittelbar für die Vorlagefrage relevant sind, auch nicht überbewerten sollte.

Ob das Urteil also tatsächlich die Bedeutung hat, die ihm öffentlich beigemessen wird, darf bezweifelt werden. Klar ist lediglich, dass eine Opt-Out-Lösung bei Cookies künftig keine Option mehr darstellt.

Die fortbestehende Rechtsunsicherheit resultiert vor allem daraus, dass es dem Europäischen Gesetzgeber nicht gelungen ist, zeitgleich zur DSGVO die geplante ePrivacy-Verordnung in Kraft zu setzen, die derartige Fragen regeln müsste. Dieser Umstand verstärkt auch die Neigung im Zweifel alles über eine Einwilligung des Nutzers lösen zu wollen, was wiederum eine Pop-Up- und Wegklick-Logik nach sich zieht, die am Ende faktisch kaum zu einem besseren Schutz führen wird.

posted by Stadler at 17:38  

7 Comments »

  1. Zwei kurze Anmerkungen:

    1) Ob dem EuGH die Tragweite dessen bewusst war, dass er die Cookie-Regelung mit der Antwort auf Frage 1b) faktisch aus dem Datenschutz „herausnimmt“, habe ich mich auch gefragt. Ich denke, die betreffenden Randnummern im Urteil (69 und 70) lesen sich schon so, als ob zumindest der Berichterstatter dies auf dem Schirm hatte. Beispielsweise verweist der EuGH mehrfach sprachlich auf die „Privatsphäre“ und indirekt auch auf Art. 8 EMRK. Das ist zwar knapp, aber konzeptuell schlüssig.

    2) Die Nachfolge-Regelung zu Art. 5 Abs. 3 der Richtlinie ist Art. 8 des Verordnungsentwurfs. Dieser ist m.E. in der Ausgangsfassung der EU-Kommission leider komplett misslungen. Mit einer Gründe dafür war, dass die Kommission in dem gesamten Entwurf nicht sauber zwischen Datenschutz und Privatsphären-Schutz differenziert hatte. Auf die Verordnung sollte man im Moment deshalb nicht allzu viel Hoffnung setzen. Aber vielleicht trägt das EuGH-Urteil ja zur Klärung bei und wir bekommen (irgendwann) eine systematisch ausgereifte Version der Verordnung.

    Comment by Simon Assion — 7.10, 2019 @ 21:12

  2. Jeder mir bekannte Browser bietet die Möglichkeit, die Annahme von Coookies zu verweigern, sie für gezielt gewählte Sites einzeln zu erlauben, und das auch noch fein säuberlich geschieden in Session- und dauerhafte Cookies. Wenn ein Anwender seinen eigenen Browser selbst und aktiv anweist „Nimm alle gebotenen Cookies an und behalte sie für immer“ dann ist ist das ganz klar und zweifelsfrei eine selbst ausgesprochene Zustimmung.

    Was verstehen Juristen an dieser einfachen Tatsache nicht?

    Dafür wird etwas anderes völlig ignoriert. Nach wie vor brauchen so gut wie alle Schädlinge ein Skript als einen Teil ihres Angriffvektors. Das Abschalten von Javascript macht Rechner um Größenordnungen sicherer. Keine mir bekannte Bankseite funktioniert aber ohne. Wenn ausgerechnet Banken ihre Kunden zwingen, den eigenen Rechner unsicher zu machen, dann tragen sie eine erhebliche Mitschuld an allen Folgen. Warum interesssieert das keinen der selbsternannten Verbraucherschützer?

    Comment by Axel Berger — 8.10, 2019 @ 08:22

  3. Wer kennt schon die
    Datenschutz – Einstellungen seines Browsers ?

    Eine andere Frage ist natürlich, wie und ob Websites darauf reagieren, dass Cookies zugelassen sind oder eben auch gerade nicht.

    Comment by Arne Rathjen RA — 15.10, 2019 @ 22:14

  4. Ich bin es sowas von leid, dieses saublöde (sorry) Argument immer wieder zu hören. „Ich habe ihren Hund nicht überfahren, das war mein Auto, ich kann nichts dafür. Woher hätte ich denn wissen sollen, daß ich am Lenkrad drehen muß, um die Fahrtrichtung zu ändern?“ Immer, wenn es um Rechner geht, wird dieses Argument fast wörtlich so vorgebracht und ernsthaft erwartet, es solle akzeptiert werden. Schlimmer — es wird fast immer auch akzeptiert. Wer zu blöd für Rechner ist, soll gefälligst die Finger davonlassen. Das gilt für Kettensägen, Planierraupen, Küchenmesser und andere mächtige Werkzeuge schließlich ganz genauso.

    Comment by Axel Berger — 16.10, 2019 @ 00:14

  5. Tschuldigung, Ihr zweites Argument vergessen. Niemand, mit der seltenen Ausnahme des Kunden, der dafür bezahlt und dem es vertraglich zugesichert wurde, hat einen Rechtsanspruch darauf, eine fremde Seite besuchen zu können. Wen eine Seite im Netz kaputt ist und nicht funktioniert, dann ist das eben so. Wer als Workaround für anderer Leute Fehler wider besseres Wissen seinen eigenen Rechner kompromittiert und angreifbar macht, der muß die Folgen tragen und hat sie sich selbst zuzuschreiben.

    Comment by Axel Berger — 16.10, 2019 @ 00:24

  6. Wissen sie wovon sie schreiben? Ich habe den dunklen Eindruck, dass das nicht der Fall ist.

    Egal – das Internet ist voll von Beiträgen von Leuten die nicht wissen wovon sie reden, schreiben oder warum sie handeln, wie sie handeln.

    Uebrigens kennen die meisten Leute die Cookie-Einstellungen ihres Lieblings -Browsers tatsächlich nicht.

    Davon scheint auch der europäische Gerichtshof bei der oben besprochenen Entscheidung auszugehen.

    Es mag nicht unbedingt einen Anspruch darauf geben, eine Webseite gratis zu besuchen, aber es gibt haufenweise Ansprüche darauf, diese Webseite zu besuchen, ohne dass dabei die DSGVO, das Bundesdatenschutzgesetz oder sonstige Vorschriften, wie etwa das Strafgesetzbuch verletzt werden.

    Comment by Arne Rathjen RA — 5.11, 2019 @ 19:20

  7. Von juristischer Denkweise verstehe ich zugegeben rein gar nichts, aber ein Wenig von Technik und von der realen Welt. Ein heutiger PC ist um erhebliches komplexer als ein älteres Auto oder eine Kettensäge. Bei denen erwarten und verlangen aber Juristen, daß Benutzer sich vor der Verwendung einweisen lassen und lernen müssen und die Anwender tragen für ihr Tun die volle Verantwortung selbst. Nur an den Rechner soll jeder drangehen wie der Fünfjährige an Vaters Auto, in dem der Schlüssel vergessen wurde, und es wird von ihm rein gar nichts erwartet — im Gegenteil, schuld sind immer die anderen. Als Nichtjurist verstehe ich das nicht. Die meisten nicht eingewiesenen Menschen, wissen auch nicht, wo im Auto die Bremse ist. Auch davon wird der BGH ausgehen, er geht aber *nicht* davon aus, daß die dann trotzdem alle auf der Straße unterwegs sind.

    Comment by Axel Berger — 5.11, 2019 @ 21:00

RSS feed for comments on this post.

Leave a comment