Internet-Law

Onlinerecht und Bürgerrechte 2.0

7.10.19

Die Cookie-Entscheidung des EuGH wird überschätzt

Nach der medial ausführlich besprochenen Entscheidung des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az.: C‑673/17) zu Cookies („Planet 49“) war vielerorts, beispielsweise bei Heise, zu lesen, dass Cookies künftig nur noch mit ausdrücklicher Einwilligung des Nutzers gesetzt werden dürften.

Mit dieser Frage hat sich der EuGH aber gar nicht explizit beschäftigt, weil der vorlegende BGH nicht danach gefragt hatte.

Vordergründig hat der EuGH nur entschieden, dass eine datenschutzrechtliche Einwilligung online nur im Wege eines Opt-In erfolgen kann und eine Opt-Out-Lösung nicht ausreichend ist. Das gilt für Einwilligungen im Sinne der weiterhin geltenden ePrivacy-Richtlinie ebenso wie für die Einwilligung nach der Datenschutzgrund-Verordnung (DSGVO). Zudem stellt der EuGH klar, dass der Anwendungsbereich der ePrivacy-Richtlinie nicht auf personenbezogene Daten beschränkt ist, sondern sich der Schutz vielmehr auf alle in Endgeräten der Nutzer gespeicherten Informationen erstreckt, unabhängig davon, ob es sich um personenbezogene Daten handelt.

Ob dem EuGH die Tragweite dieser Aussage bewusst war, darf man bezweifeln. Denn am Ende müsste dies dazu führen, dass jede Form der (Zwischen-)Speicherung auf dem Gerät des Nutzers zunächst einwilligungsbedürftig wäre. Der Ausweg wäre in diesem Fall nur noch Art. 5 Abs. 3 S. 2 der ePrivacy-RL, wenn die Speicherung allein dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen oder zu erleichtern oder, soweit dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. In diesen Fällen ist keine Einwilligung nötig.

Mangels entsprechender Vorlagefragen hat sich der EuGH aber nicht mit der Frage befasst, wann ein Cookie „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 der ePrivacy-RL ist. Session Cookies, die für einen Bestellprozess eingesetzt werden dürften aber hierunter fallen, ebenso wie Cookies, die einem Log-In-Prozess dienen.

Nicht beantwortet hat der EuGH zudem die Frage, ob ein Tracking bzw. das Setzen von Cookies auch auf andere Gestattungstatbestände als die Einwilligung gestützt werden kann, insbesondere auf Art. 6 Abs. 1 lit. f) DSGVO und mithin ein berechtigtes Interesse ausreichen kann. Nun lassen sich möglicherweise die Ausführungen des EuGH z.B. in Rn. 46 des Urteils schon derart interpretieren, dass der Gerichtshof auf Cookies ausschließlich Art. 5 der ePrivacy-RL anwenden will. Andererseits hat die Vergangenheit gezeigt, dass man einzelne Passagen aus Entscheidungen des EuGH, die nicht unmittelbar für die Vorlagefrage relevant sind, auch nicht überbewerten sollte.

Ob das Urteil also tatsächlich die Bedeutung hat, die ihm öffentlich beigemessen wird, darf bezweifelt werden. Klar ist lediglich, dass eine Opt-Out-Lösung bei Cookies künftig keine Option mehr darstellt.

Die fortbestehende Rechtsunsicherheit resultiert vor allem daraus, dass es dem Europäischen Gesetzgeber nicht gelungen ist, zeitgleich zur DSGVO die geplante ePrivacy-Verordnung in Kraft zu setzen, die derartige Fragen regeln müsste. Dieser Umstand verstärkt auch die Neigung im Zweifel alles über eine Einwilligung des Nutzers lösen zu wollen, was wiederum eine Pop-Up- und Wegklick-Logik nach sich zieht, die am Ende faktisch kaum zu einem besseren Schutz führen wird.

posted by Stadler at 17:38  

2 Comments »

  1. Zwei kurze Anmerkungen:

    1) Ob dem EuGH die Tragweite dessen bewusst war, dass er die Cookie-Regelung mit der Antwort auf Frage 1b) faktisch aus dem Datenschutz „herausnimmt“, habe ich mich auch gefragt. Ich denke, die betreffenden Randnummern im Urteil (69 und 70) lesen sich schon so, als ob zumindest der Berichterstatter dies auf dem Schirm hatte. Beispielsweise verweist der EuGH mehrfach sprachlich auf die „Privatsphäre“ und indirekt auch auf Art. 8 EMRK. Das ist zwar knapp, aber konzeptuell schlüssig.

    2) Die Nachfolge-Regelung zu Art. 5 Abs. 3 der Richtlinie ist Art. 8 des Verordnungsentwurfs. Dieser ist m.E. in der Ausgangsfassung der EU-Kommission leider komplett misslungen. Mit einer Gründe dafür war, dass die Kommission in dem gesamten Entwurf nicht sauber zwischen Datenschutz und Privatsphären-Schutz differenziert hatte. Auf die Verordnung sollte man im Moment deshalb nicht allzu viel Hoffnung setzen. Aber vielleicht trägt das EuGH-Urteil ja zur Klärung bei und wir bekommen (irgendwann) eine systematisch ausgereifte Version der Verordnung.

    Comment by Simon Assion — 7.10, 2019 @ 21:12

  2. Jeder mir bekannte Browser bietet die Möglichkeit, die Annahme von Coookies zu verweigern, sie für gezielt gewählte Sites einzeln zu erlauben, und das auch noch fein säuberlich geschieden in Session- und dauerhafte Cookies. Wenn ein Anwender seinen eigenen Browser selbst und aktiv anweist „Nimm alle gebotenen Cookies an und behalte sie für immer“ dann ist ist das ganz klar und zweifelsfrei eine selbst ausgesprochene Zustimmung.

    Was verstehen Juristen an dieser einfachen Tatsache nicht?

    Dafür wird etwas anderes völlig ignoriert. Nach wie vor brauchen so gut wie alle Schädlinge ein Skript als einen Teil ihres Angriffvektors. Das Abschalten von Javascript macht Rechner um Größenordnungen sicherer. Keine mir bekannte Bankseite funktioniert aber ohne. Wenn ausgerechnet Banken ihre Kunden zwingen, den eigenen Rechner unsicher zu machen, dann tragen sie eine erhebliche Mitschuld an allen Folgen. Warum interesssieert das keinen der selbsternannten Verbraucherschützer?

    Comment by Axel Berger — 8.10, 2019 @ 08:22

RSS feed for comments on this post.

Leave a comment