Das Urteil des Europäischen Gerichtshofs zu Cookies…
… ist beim Verfasser und vermutlich vielen anderen Menschen, die von Cookie-Bannern auf vielen Homepages genervt sind,auf Interesse gestoßen. Aber längst nicht alles, was in dem Urteil (Aktenzeichen: C-673/17) und der Pressemitteilung des EuGH steht, ist für juristische Laien verständlich. Und Bewertungen des EuGH-Urteils durch unterschiedliche Juristen machen das Verständnis nicht leichter.
Bei der Suche nach Stellungnahmen der deutschen Datenschutzaufsichtsbehörden zu diesem Urteil wurde der Verfasser zwei mal fündig.
- Der Hamburger Datenschutzbeauftragte erklärt u. a.: „Der EuGH macht klar, dass – auch in Deutschland – das Setzen bzw. Abrufen von Cookies oder anderer Informationen, die im Endgerät des Nutzers gespeichert sind, einwilligungsbedürftig ist. Das auf vielen Websites bereitgestellte Opt-Out-Verfahren reicht nicht aus… Das Gericht präzisiert auch die Anforderungen, die an eine entsprechende Einwilligung zu stellen sind. Sie setzt ein aktives Verhalten des Nutzers voraus, das ohne jeden Zweifel und freiwillig erfolgt. Dies schließt etwa Modelle aus, die an eine reine Weiternutzung des Angebots anknüpfen. Die…Informationspflicht wird in einer Weise ausgelegt, dass die betroffenen Personen vorab umfassend aufzuklären sind. Eine Einwilligung kann nur in voller Kenntnis der Sachlage erteilt werden. Danach muss der Webseitenbetreiber den Nutzer jedenfalls über die Funktionsdauer von Cookies sowie über den Zugriff Dritter auf diese informieren.“
- Die Datenschutzbeauftragte für Nordrhein-Westfalen stellt fest: „In seinem Urteil… hat der EuGH entschieden, dass nach geltendem Recht keine wirksame Einwilligung vorliegt, wenn der Nutzer zur Verweigerung seiner Einwilligung ein bereits angekreuztes Kästchen abwählen muss. Vielmehr wird als Voraussetzung für eine wirksame datenschutzrechtliche Einwilligung auch online ein aktives Verhalten des Betroffenen vorausgesetzt… Darüber hinaus hat der EuGH deutlich gemacht, dass das Setzen und Abrufen von Cookies oder anderen Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich einer Einwilligung bedürfen. Gemeint sind Cookies, die nicht erforderlich für die Bereitstellung des vom Nutzer aufgerufenen Dienstes sind… Danach bedarf es für websiteübergreifende Cookies und Tools, die das Nutzerverhalten website- oder geräteübergreifend zusammenfassen (Tracking), in der Regel einer vorherigen informierten Einwilligung der Nutzer. Bei der Verwendung von IP-Adressen, Cookies oder anderen Nutzungsdaten, die für den Betrieb des Telemediendienstes notwendig sind, können sich Verantwortliche hingegen häufig auf das berechtigte Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen.“
Die deutschen Aufsichtsbehörden stellen eine Orientierungshilfe für Anbieter von Telemedien bereit, die Webseitenbetreiber in die Lage versetzt, die ggf. erforderlichen Anpassungen ihrer Angebote vorzunehmen.
Ergänzend sei zudem auf die Stellungnahme der Verbraucherzentrale Bundesverband e. V. (vzbv) verwiesen, die mit Ihrer Verbraucherschutz-Klage den Anstoß für das Urteil des EuGH gegen das Unternehmen Planet49 GmbH war. „Das Urteil ist ein wichtiges Zeichen für den Schutz der digitalen Privatsphäre. Tracking-Cookies ermöglichen Webseitenbetreibern und Drittanbietern eine umfassende Auswertung des Surf- und Nutzungsverhaltens von Kunden“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Dass ein bereits vorangekreuztes Informationsfeld für den rechtskonformen Einsatz nicht ausreicht, ist eine gute Nachricht für Verbraucher.“ „Verbraucher haben ein Recht auf Privatsphäre. Auch im Internet. Umso drängender ist nun die Durchsetzung der Datenschutzgrundverordnung und die zügige Annahme einer datenschutzfreundlichen ePrivacy-Verordnung, die derzeit in Brüssel verhandelt wird“, erklärt Lina Ehrig, Teamleiterin Digitales beim vzbv. Praktiken wie vorgeklickte Kästchen, Zugangssperren für Nutzer, die Cookies nicht zustimmen (sogenannte „Tracking Walls“) und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteilt, müssen beendet werden, fordert der vzbv. Eine Weiterverarbeitung für elektronischen Kommunikationsdaten für „kompatible Zwecke“ sei in diesem besonders sensiblen Bereich nicht akzeptabel und auch nicht mit der Rechtsprechung des Europäischen Gerichtshofs vereinbar. „Jetzt ist die Bundesregierung gefragt, ihre Haltung gegenüber den anderen Mitgliedsstaaten im EU-Rat auch zu verteidigen und durchzusetzen“, so Lina Ehrig.
Ich frage mich nun, wie das Urteil im Alltag angewendet wird. Ich sehe u. a. unmittelbaren Bedarf im Einzelhandel. Stellvertretend sei hier die Situation bei Rewe.de betrachtet.
Nach aktuellem Stand (8.10.2019) werden Kunden von Rewe.de beim Anmelden (über http://shop.rewe.de/mydata/login – ebenso über die https-Variante) von der Firma Rewe mit 170 Anfragen bei 32 Datenhehlern ohne Zustimmung verbunden und überwacht, auch über zwangsweise gesetzte Cookies. So wird beispielsweise Google reCaptcha unter dem Vorwand der „Sicherheit“ verwendet, ohne dass man als Kunde vorher um Erlaubnis gebeten wurde. Es gibt Alternativen zu Google reCaptcha, sogar quelloffene Lösungen ohne Cookies (wie z. B. phpcaptcha), die von Rewe eingesetzt werden könnten, ohne dass Daten mit Dritten geteilte werden. Der Einsatz von Google reCaptcha ist aus technischen Gründen nicht dringend notwendig. Hinzu kommt, dass Rewe.de über die genannte Webseite alle Verantwortung auf die Kunden und Google abschiebt, nachdem Google reCaptcha über Rewe.de beim Kunden bereits Cookies hinterlassen hat. Das ist ebenso wenig zulässig wie der Verweis auf irgendwelche Erklärungen von Google über die Webseite von Rewe.de. Kunden, die bei Rewe.de einkaufen, dürfen erwarten, dass einzig Rewe.de ihr Vertragspartner ist. Und, die Zustimmung der Verwendung von Cookies muss freiwillig erfolgen, insbesondere dann, wenn (wie gezeigt) keine technische Notwendigkeit vorliegt – sagt die DSGVO. Gut sind keine der „Captcha“ Anwendungen, auch nicht die von den Datenhehlern Google.
Die Liste der von Rewe.de beteiligten Datenhehler ist lang. Neben Google gehören dazu auch Twitter, Facebook, Rewe Big Data, Microsoft Bing, Adobe, Pinterest, Double Click, Adform und andere. Wegen der besonderen Stellung von Rewe.de im deutschen Online-Handel mit Lebensmitteln wird es meiner Meinung nach Zeit, dass sich die Datenschutzbeauftragten des Bundes und der Länder sich mit Rewe in Verbindung setzen.
Mehr zu dem Thema kann man beispielsweise den Beiträgen zum 13. Europäischen Datenschutztag in Berlin entnehmen, die im Einklang mit dem nun verkündeten Urteil des Europäischen Gerichtshofs sind.
Archiviert findet man den aktuellen Zustand bei Rewe.de unter
https://web.archive.org/web/20191008122403/https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fshop.rewe.de%2Fmydata%2Flogin
https://web.archive.org/web/20191008124311/https://shop.rewe.de/mydata/login
Google, sowie die anderen genannten Unternehmen und viele mehr, werden immer häufiger in Verbindung mit der Missachtung des Datenschutzes und Datenhehlerei gebracht. Beispiel:
https://www.theguardian.com/technology/2019/oct/03/google-data-harvesting-facial-recognition-people-of-color
Inzwischen hat – nach meiner Kenntnis als erster – der Datenschutzbeauftragte aus Baden-Württemberg Hinweise zu den praktischen Auswirkungen des Urteils veröffentlicht:
Zum Einsatz von Cookies und Cookie-Bannern – was gilt es bei Einwilligungen zu tun (EuGH-Urteil „Planet49“)?
https://www.baden-wuerttemberg.datenschutz.de/zum-einsatz-von-cookies-und-cookie-bannern-was-gilt-es-bei-einwilligungen-zu-tun-eugh-urteil-planet49/