Internet-Law

Onlinerecht und Bürgerrechte 2.0

7.10.19

Die Cookie-Entscheidung des EuGH wird überschätzt

Nach der medial ausführlich besprochenen Entscheidung des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az.: C‑673/17) zu Cookies („Planet 49“) war vielerorts, beispielsweise bei Heise, zu lesen, dass Cookies künftig nur noch mit ausdrücklicher Einwilligung des Nutzers gesetzt werden dürften.

Mit dieser Frage hat sich der EuGH aber gar nicht explizit beschäftigt, weil der vorlegende BGH nicht danach gefragt hatte.

Vordergründig hat der EuGH nur entschieden, dass eine datenschutzrechtliche Einwilligung online nur im Wege eines Opt-In erfolgen kann und eine Opt-Out-Lösung nicht ausreichend ist. Das gilt für Einwilligungen im Sinne der weiterhin geltenden ePrivacy-Richtlinie ebenso wie für die Einwilligung nach der Datenschutzgrund-Verordnung (DSGVO). Zudem stellt der EuGH klar, dass der Anwendungsbereich der ePrivacy-Richtlinie nicht auf personenbezogene Daten beschränkt ist, sondern sich der Schutz vielmehr auf alle in Endgeräten der Nutzer gespeicherten Informationen erstreckt, unabhängig davon, ob es sich um personenbezogene Daten handelt.

Ob dem EuGH die Tragweite dieser Aussage bewusst war, darf man bezweifeln. Denn am Ende müsste dies dazu führen, dass jede Form der (Zwischen-)Speicherung auf dem Gerät des Nutzers zunächst einwilligungsbedürftig wäre. Der Ausweg wäre in diesem Fall nur noch Art. 5 Abs. 3 S. 2 der ePrivacy-RL, wenn die Speicherung allein dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen oder zu erleichtern oder, soweit dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. In diesen Fällen ist keine Einwilligung nötig.

Mangels entsprechender Vorlagefragen hat sich der EuGH aber nicht mit der Frage befasst, wann ein Cookie „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 der ePrivacy-RL ist. Session Cookies, die für einen Bestellprozess eingesetzt werden dürften aber hierunter fallen, ebenso wie Cookies, die einem Log-In-Prozess dienen.

Nicht beantwortet hat der EuGH zudem die Frage, ob ein Tracking bzw. das Setzen von Cookies auch auf andere Gestattungstatbestände als die Einwilligung gestützt werden kann, insbesondere auf Art. 6 Abs. 1 lit. f) DSGVO und mithin ein berechtigtes Interesse ausreichen kann. Nun lassen sich möglicherweise die Ausführungen des EuGH z.B. in Rn. 46 des Urteils schon derart interpretieren, dass der Gerichtshof auf Cookies ausschließlich Art. 5 der ePrivacy-RL anwenden will. Andererseits hat die Vergangenheit gezeigt, dass man einzelne Passagen aus Entscheidungen des EuGH, die nicht unmittelbar für die Vorlagefrage relevant sind, auch nicht überbewerten sollte.

Ob das Urteil also tatsächlich die Bedeutung hat, die ihm öffentlich beigemessen wird, darf bezweifelt werden. Klar ist lediglich, dass eine Opt-Out-Lösung bei Cookies künftig keine Option mehr darstellt.

Die fortbestehende Rechtsunsicherheit resultiert vor allem daraus, dass es dem Europäischen Gesetzgeber nicht gelungen ist, zeitgleich zur DSGVO die geplante ePrivacy-Verordnung in Kraft zu setzen, die derartige Fragen regeln müsste. Dieser Umstand verstärkt auch die Neigung im Zweifel alles über eine Einwilligung des Nutzers lösen zu wollen, was wiederum eine Pop-Up- und Wegklick-Logik nach sich zieht, die am Ende faktisch kaum zu einem besseren Schutz führen wird.

posted by Stadler at 17:38  

5 Comments »

  1. Zwei kurze Anmerkungen:

    1) Ob dem EuGH die Tragweite dessen bewusst war, dass er die Cookie-Regelung mit der Antwort auf Frage 1b) faktisch aus dem Datenschutz „herausnimmt“, habe ich mich auch gefragt. Ich denke, die betreffenden Randnummern im Urteil (69 und 70) lesen sich schon so, als ob zumindest der Berichterstatter dies auf dem Schirm hatte. Beispielsweise verweist der EuGH mehrfach sprachlich auf die „Privatsphäre“ und indirekt auch auf Art. 8 EMRK. Das ist zwar knapp, aber konzeptuell schlüssig.

    2) Die Nachfolge-Regelung zu Art. 5 Abs. 3 der Richtlinie ist Art. 8 des Verordnungsentwurfs. Dieser ist m.E. in der Ausgangsfassung der EU-Kommission leider komplett misslungen. Mit einer Gründe dafür war, dass die Kommission in dem gesamten Entwurf nicht sauber zwischen Datenschutz und Privatsphären-Schutz differenziert hatte. Auf die Verordnung sollte man im Moment deshalb nicht allzu viel Hoffnung setzen. Aber vielleicht trägt das EuGH-Urteil ja zur Klärung bei und wir bekommen (irgendwann) eine systematisch ausgereifte Version der Verordnung.

    Comment by Simon Assion — 7.10, 2019 @ 21:12

  2. Jeder mir bekannte Browser bietet die Möglichkeit, die Annahme von Coookies zu verweigern, sie für gezielt gewählte Sites einzeln zu erlauben, und das auch noch fein säuberlich geschieden in Session- und dauerhafte Cookies. Wenn ein Anwender seinen eigenen Browser selbst und aktiv anweist „Nimm alle gebotenen Cookies an und behalte sie für immer“ dann ist ist das ganz klar und zweifelsfrei eine selbst ausgesprochene Zustimmung.

    Was verstehen Juristen an dieser einfachen Tatsache nicht?

    Dafür wird etwas anderes völlig ignoriert. Nach wie vor brauchen so gut wie alle Schädlinge ein Skript als einen Teil ihres Angriffvektors. Das Abschalten von Javascript macht Rechner um Größenordnungen sicherer. Keine mir bekannte Bankseite funktioniert aber ohne. Wenn ausgerechnet Banken ihre Kunden zwingen, den eigenen Rechner unsicher zu machen, dann tragen sie eine erhebliche Mitschuld an allen Folgen. Warum interesssieert das keinen der selbsternannten Verbraucherschützer?

    Comment by Axel Berger — 8.10, 2019 @ 08:22

  3. Wer kennt schon die
    Datenschutz – Einstellungen seines Browsers ?

    Eine andere Frage ist natürlich, wie und ob Websites darauf reagieren, dass Cookies zugelassen sind oder eben auch gerade nicht.

    Comment by Arne Rathjen RA — 15.10, 2019 @ 22:14

  4. Ich bin es sowas von leid, dieses saublöde (sorry) Argument immer wieder zu hören. „Ich habe ihren Hund nicht überfahren, das war mein Auto, ich kann nichts dafür. Woher hätte ich denn wissen sollen, daß ich am Lenkrad drehen muß, um die Fahrtrichtung zu ändern?“ Immer, wenn es um Rechner geht, wird dieses Argument fast wörtlich so vorgebracht und ernsthaft erwartet, es solle akzeptiert werden. Schlimmer — es wird fast immer auch akzeptiert. Wer zu blöd für Rechner ist, soll gefälligst die Finger davonlassen. Das gilt für Kettensägen, Planierraupen, Küchenmesser und andere mächtige Werkzeuge schließlich ganz genauso.

    Comment by Axel Berger — 16.10, 2019 @ 00:14

  5. Tschuldigung, Ihr zweites Argument vergessen. Niemand, mit der seltenen Ausnahme des Kunden, der dafür bezahlt und dem es vertraglich zugesichert wurde, hat einen Rechtsanspruch darauf, eine fremde Seite besuchen zu können. Wen eine Seite im Netz kaputt ist und nicht funktioniert, dann ist das eben so. Wer als Workaround für anderer Leute Fehler wider besseres Wissen seinen eigenen Rechner kompromittiert und angreifbar macht, der muß die Folgen tragen und hat sie sich selbst zuzuschreiben.

    Comment by Axel Berger — 16.10, 2019 @ 00:24

RSS feed for comments on this post.

Leave a comment