Der Bundesgerichtshof (BGH) Deutschland hat mit seinem Urteil vom 28. Mai 2020 den Entscheid des EuGHs im Fall Planet49 bestätigt. Die aktive und freie Einwilligung des Seitenbesuchers muss der Platzierung eines nicht-notwendigen Cookies auf einer Webseite vorausgehen. Vorab angekreuzte Auswahlkästchen wurden als gesetzwidrig eingestuft. Der Europäische Gerichtshof hat im Fall Planet49 am 1. Oktober 2019 bereits entschieden, dass der User eine unmissverständliche Einwilligungserklärung in Form des Ankreuzens eines Kästchens oder setzen eines Häkchens abgeben muss. Vorher dürfen seine Daten nicht verarbeitet werden. Da dieses Urteil das Erste nach Inkrafttreten der Datenschutzgrundverordnung ist, wurde damit ein Musterfall geschaffen. Somit wirkt sich das EuGH-Urteil zusammen mit dem Entscheid des BGH entscheidend auf die gesetzlichen Anforderungen an ein Cookie bis zur Durchsetzung der ePrivacy-Verordnung aus. Daran haben sich nun die gesamte Datenschutzbehörde sowie alle Webseitenbetreiber zu halten. Diese Urteile betreffen nicht nur die EU, sondern haben Auswirkungen auf die ganze Welt. Eine ganz besondere Bedeutung kommt vor allem auch der Art der Einwilligung (Soft Opt-in/aktiv, implizit/explizit) zu.

Worum geht es bei Planet49 konkret?

Planet49 ist ein deutsches Online-Gaming Unternehmen. 2013 wurde eine Online-Promotion Lotterie veranstaltet. Die Teilnehmer mussten deshalb ihre persönlichen Daten angeben. Zur Freigabe ihrer persönlichen Daten für Werbezwecke war aber ein Kästchen bereits vorab angekreuzt. Der VZBV (Verbraucherzentrale Bundesverband) hat diese Praxis des Planet49 vor dem Europäischen Gerichtshof angefochten. Darüber hinaus sollte der Europäische Gerichtshof das EU-Recht auslegen, ob und in welcher Form angekreuzte Kästchen eine gültige Einwilligung in der Europäischen Union darstellen. Das Urteil des EuGHs vom 1. Oktober 2019 schaffte einen Präzedenzfall. Ein finales Urteil vom 28. Mai 2020 bestätigte schließlich das Urteil des EuGHs. Dies bedeutete einen Wendepunkt für den Datenschutz in der EU und hat entscheidende Auswirkungen auch auf die Funktionsweise des Internets.

Bedrohung durch „Hidden Identifiers“ – Pressemitteilung des EuGHs!

„Versteckte Identifizierer“ geben sich dem Nutzer nicht zu erkennen. Ihre Aufgabe ist es, die Gewohnheiten, persönlichen Daten und Aktivitäten im Netz auszuspionieren. Egal, ob es sich jetzt um Marketingzwecke oder andere Absichten handelt, der Nutzer hat ein Recht auf Schutz im Netz. Ist dem Seitenbesucher bekannt, dass seine Daten weitergeben werden und an wen, geschieht nichts ohne sein Wissen und die Dinge liegen „im grünen Bereich“. Liegt der Fall jedoch anders, ist nach der letzten Entscheidung des EuGHs die Rechtslage komplett anders. Deshalb bedeutet das finale Urteil des Europäischen Gerichtshofs einen Wendepunkt, der erhebliche Folgen für die Datenverarbeitungsbranche und Seitenbetreiber nach sich zieht. Diese Auswirkungen betreffen die Ressourcen der Datenverarbeitung. Das EuGH-Urteil hat Konsequenzen für fast alle Websites. Die noch für das Jahr 2020 angekündigte kommende ePrivacy-Verordnung könnte allerdings einen neuerlichen Wendepunkt bringen.

Das EuGH-Urteil hat Auswirkungen für fast alle Websites – inwiefern?

Der Europäische Gerichtshof ist die höchste rechtliche Instanz in der Europäischen Union. Seine Urteile sind bindend für alle Mitglieder. Ein Richter aus jedem EU-Land vertritt dieses. Darüber hinaus versehen elf Generalanwälte im EuGH Dienst. Der Europäische Gerichtshof muss sicherstellen, dass bei Rechtsstreitigkeiten im gesamten EU-Gebiet auch EU-Recht angewandt wird. Darüber hinaus ist es die Aufgabe des EuGHs, EU-Recht zu interpretieren, um Präzedenzfälle, nach denen geurteilt werden kann, zu schaffen.

Durch das Urteil wurden die Vorschriften in Bezug auf die Datenverarbeitung in der EU entscheidend verändert. Es geht um die Zustimmung zur Verarbeitung von Nutzerdaten. Unternehmen können nicht schon im Vorhinein davon ausgehen, dass die Seitenbesucher mit der Verarbeitung ihrer persönlichen Daten einverstanden sind. Da das Internet ein Medium ist, indem schnell und weitreichend Missbrauch betrieben werden kann, ist hier mit besonderer Sorgfalt vorzugehen. Ein kleines Häkchen kann sehr weitreichende Folgen haben, die beinahe kaum rückgängig zu machen sind. Relevant war bis jetzt immer, ob die Daten personenbezogen sind oder nicht. Dies fällt mit dem finalen Urteil des EuGHs vom 28. Mai 2020 weg.

Ein Präzedenzfall ist ein Musterbeispiel, der für alle folgenden ähnlichen Fälle zur rechtlichen Beurteilung herangezogen wird. Somit richtet sich die gesamte diesbezügliche Rechtssprechung danach. Dies kann nur durch die Verabschiedung neuer Gesetze, die der kommenden ePrivacy-Verordnung, aufgehoben werden. Diese wird noch für 2020 erwartet.

Viele Branchen fürchten um ihre digitalen Datenressourcen. Das finale Urteil des Europäischen Gerichtshofs vom 28. Mai 2020 zeigt auch, dass es viel Missbrauch gibt und dass diesem ein Riegel vorgeschoben werden muss. Andererseits wird es immer schwieriger, an Datenressourcen heranzukommen, die aber nun einmal die Basis für die Datenverarbeitungsbranche darstellen. Niemand möchte, dass seine Daten einfach ohne Einverständnis an unbekannte Dritte weitergegeben werden. Der Nutzer weiß zudem nicht, was Dritte mit seinen Daten „anstellen“ und wozu diese genau verwendet werden. Identitätsdiebstahl ist eine Straftat, die auf Datendiebstahl beruht und die immer öfter passiert. Hier wurde mit den Daten einer wildfremden Person in Online-Shops eingekauft. Die Rechnung bekam dann die bestohlene Person. Verständlich also, dass dem ein Riegel vorgeschoben werden muss.

Nicht jeder, der Daten nutzt, tut dies illegal. Es wird aber auch immer schwieriger, sich im „legalen Datendschungel“ zurechtzufinden. Solche Urteile setzten klare Grenzen und Maßstäbe, nach denen vorgegangen werden kann. Somit sorgen sie für Rechtssicherheit in der gesamten Europäischen Union. Wer sich daran hält, hat auch nichts zu befürchten. Die Pressemitteilung des Europäischen Gerichtshofs informiert deshalb, sodass die Branche klipp und klar weiß, „wie der Hase läuft“.

Die Entscheidung des EuGHs verbindet die Datenschutzrichtlinie für elektronische Kommunikation i. d. F. v. 2009, die DSGVO von 2018 sowie die ältere Richtlinie 1995. Damit sollen die persönlichen Rechte der Nutzer vor jeglichen Eingriffen geschützt werden. „Hidden Identifiers“, also versteckte Zugriffe verhindern.

Welche Arten der Einwilligung gibt es?

Die Auslegung des finalen EuGH Urteils vom 28. Mai 2020 betrifft die Artikel 2(f) und Artikel 5(3) der Datenschutzrichtlinie 2002/2009 in Kombination mit Artikel 2(h) der Richtlinie von 1995 sowie des Artikels 6(1)(a) der Datenschutzgrundverordnung.

Die explizite Einwilligung ist die einzige Zustimmung gemeint, die in der EU Gültigkeit besitzt. Das bedeutet, dass der Seitenbesucher ausdrücklich und selbst seine Zustimmung erteilen muss und das Kästchen nicht schon vorab angekreuzt sein darf. Das ist auf alle Nutzerdaten anzuwenden! Der EuGH hat darüber hinaus festgehalten, dass es dabei vollkommen irrelevant ist, ob die Daten gespeicherte oder abgerufene Informationen oder personenbezogene Daten sind. Die Artikel aus den EU-Datenschutzgesetzten sind alle gleich auszulegen. Darüber hinaus müssen Dienstleister und Websites die Nutzer über die Dauer und den Zugriff Dritter auf ihre Benutzerdaten informieren. Es besteht diesbezüglich ganz klar Informationspflicht!

Kurzer Überblick über den Unterschied Explizite vs. Implizite Einwilligung!

Explizite Einwilligung ist die aktive Einwilligung der Nutzer und setzt die genau festgelegte, positive und aktive Handlung des Endverbrauchers voraus. Konkret bedeutet das in diesem Fall, selbst ein Häkchen zu setzen und somit eine eindeutige Willenserklärung zu setzen. Dabei handelt es sich sowohl um persönliche als auch sensible Daten (Gesundheitswesen).

Die implizite Einwilligung war vor dem finalen EuGH-Urteil vom 28. Mai 2020 gültig und betraf nur personenbezogene Daten. Sensible, Personen bezogene Daten waren davon nicht betroffen.

Die Soft Opt-In Einwilligung ist nur eine andere Bezeichnung für die implizite Einwilligung. Das bedeutet, dass das Nicht-Ankreuzen eines Cookie-Banners, aber das Weiterverweilen auf der Seite oder das Besuchen einer Unterseite dieser Domain automatisch als Zustimmung gewertet wird. Dabei ist es vollkommen unerheblich, ob das dem Nutzer bewusst ist oder nicht. Diese Art der Zustimmung ist seit dem Urteil in der EU nicht mehr gültig.

VORSICHT! In anderen Teilen der Welt hat diese Art der Zustimmung aber nach wie vor Gültigkeit. Eines dieser Datenschutzgesetze ist die brasilianische LGPD, die sich auf die DSGVO stützt.

Zusammenfassung

Die Kernaussage des finalen Urteils vom 28. Mai 2020 besagt, dass nur notwendige Cookies ausgewählt werden müssen. Darüber hinaus ist die einzige gültige Art der Zustimmung die explizite Form. Vorab ausgewählte Kästchen auf den Cookie-Bannern sind als rechtswidrig anzusehen. Webseitenbetreiber muss dem User klar zu erkennen geben, an wen und wie lange die Daten weitergegeben werden.
Das finale Urteil des EuGHs wurde bindend für die gesamte EU als Rechtsgrundlage neben der DSGVO. Die derzeit einzig gültige Form der Willenserklärung, ist die aktive und eindeutige Zustimmung zur Verarbeitung von Nutzerdaten. Das EuGH-Urteil hat Konsequenzen für die gesamte Datenverarbeitungsbranche und alle Websites nach sich gezogen. Das hat zu einer drastischen Wende in der Branche und für die User geführt. Die noch bis Ende 2020 erwartete ePrivacy-Verordnung, ist die einzige Möglichkeit, dieses Urteil zu ändern.