In letzter Zeit haben zwei Gutachten von EuGH-Generalanwälten für Schlagzeilen gesorgt: Der Schlussantrag zum Thema Facebook-Plugin und jener zur „aktiven“ Einwilligung bei Cookies. Folgt der EuGH beiden Empfehlungen werden Websites in Zukunft wohl schon beim ersten Seitenaufruf Einwilligungsformulare anbieten müssen.
Fall 1: Das Facebook-Plugin
Die deutsche Verbraucherzentrale NRW e. V. hat eine Unterlassungsklage gegen die Firma Fashion ID erhoben. Das Oberlandesgericht Düsseldorf hat daraufhin ein Vorabentscheidungsansuchen an den EuGH gerichtet. Die Verbraucherzentrale erachtet den Einsatz des Facebook-Gefällt-mir-Buttons (über das in die Website eingebundene Facebook-Plugin) als datenschutzwidrig. Besucht ein User die Website, so werden seine IP-Adresse und der Browser-String an Facebook übermittelt, unabhängig davon, ob der User den „Gefällt mir“-Button anklickt oder überhaupt einen Facebook-Account hat. Facebook setzt außerdem Cookies auf dem User-Gerät. Im Dezember 2018 hat Generalanwalt Michal Bobek seinen Schlussantrag vorgelegt und schlägt darin vor, dass jener, der ein Dritt-Plugin in seine Website eingebunden hat, das personenbezogene Daten erhebt und übermittelt, als ein für die Verarbeitung (gemeinsam) Verantwortlicher anzusehen sei. Diese gemeinsame Verantwortung sei aber nur auf jene Verarbeitungsvorgänge beschränkt, für die der Website-Betreiber „einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung personenbezogener Daten leiste“. Auch hafte er nur für die Phase der Datenverarbeitung, an der er tatsächlich beteiligt ist – und nicht etwa auf die spätere Phase der Verarbeitung, auf die er keinen Einfluss hat. Weiters vertritt der Generalanwalt die Meinung, dass betroffene Personen, also die Website-Besucher, über diese Datenverarbeitung bereits informiert werden müssten, bevor die Datenerhebung und -übermittlung stattfindet, und dass sie einwilligen müssen. Nun bleibt abzuwarten, ob der EuGH dieser Ansicht in seiner Entscheidung folgen wird.
Fazit: Das entspricht dem, was ich meinen Kunden seit langem empfehle: Wer ein Social-Media-Element auf seiner Website einbindet, das unmittelbar personenbezogene Daten verarbeitet, muss den User beim ersten Seitenaufruf darüber informieren und dessen Einwilligung einholen („Opt-in“). Erst nach dieser Einwilligung dürfen die Daten z.B. an Facebook weitergegeben werden. Ohne Einwilligung dürfen keine Daten weitergegeben werden. Social-Media-Funktionen sollten so eingebunden werden, dass sie erst nach Betätigen des entsprechenden Buttons die Verbindung zum jeweiligen Dienst herstellen (dann benötigt man auch keine Einwilligung bei Seitenaufruf).
Fall 2: Cookie-Einwilligung
Äußerst interessant ist auch der Schlussantrag von Generalanwalt Maciej Szpunar zum Fall Planet49: Der deutsche Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. hat gegen die Firma Planet49 vor deutschen Gerichten geklagt, der deutsche Bundesgerichtshof wiederum bat den EuGH um Einschätzungen zu ein paar wichtigen Fragen. Hintergrund: Im Zuge eines Online-Gewinnspiels hatte Planet49 zwei Ankreuzfelder eingesetzt. Um am Gewinnspiel teilzunehmen, musste der User bei zwei Ankreuzfeldern ein Häkchen setzen oder entfernen, bevor er die Schaltfläche für die Teilnahme betätigen konnte. Dabei musste er zum einen seine Zustimmung erteilen, von einer Reihe von Firmen mit Werbeangeboten kontaktiert zu werden (erstes Ankreuzfeld), und zum anderen seine Einwilligung in die Setzung von Cookies auf seinem Computer geben (zweites Ankreuzfeld). Während das erste Ankreuzfeld nicht vorausgewählt war, war das zweite zum Cookie-Setzen schon vorausgewählt. Der deutsche Bundesgerichtshof wollte vom EuGH nun wissen.
- Handelt es sich um eine wirksame Cookie-Einwilligung, wenn sie durch ein voreingestelltes Ankreuzfeld erteilt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
- Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
- Welche Informationen hat der Diensteanbieter dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Der Generalanwalt kommt in seinem Antrag zu dem Schluss, dass ein vorangekreuztes Cookie-Zustimmungsfeld keine wirksame Einwilligung darstellt, sondern dass der User zum Setzen von Cookies eine „aktive“ Einwilligung geben muss („Opt-in“). Zudem mache es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handle. Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der DSGVO von einem Diensteanbieter erhalten muss, zählen laut diesem Schlussantrag die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
Fazit: Folgt der EuGH dieser Einschätzung, werden sich daraus viele Fragen ergeben:
- Sind damit alle derzeitigen Cookie-HInweise unzureichend, da sie in den meisten Fällen nur über den Einsatz von Cookies informieren, aber keine Einwilligung einholen? Kommen in Zukunft Einwilligungs-Popups mit detaillierten Infos zu den einzelnen Cookies?
- Gibt es für den Einsatz von Cookies künftig nur noch die Rechtsgrundlage der Einwilligung? Derzeit berufen sich die meisten Website-Betreiber auf ihr berechtigtes Interesse als Rechtsgrundlage.
- Was passiert, wenn ein User dem Setzen von Cookies nicht zustimmt? Bekommt er dann keine oder weniger Inhalte angezeigt? Wird ihm eine Bezahlmöglichkeit angeboten, um Inhalte ohne Werbung zu sehen? Die allermeisten Dritt-Cookies dienen ja der Online-Werbung.
- Wie können kleinere Unternehmen, die beispielsweise auf vorgefertigte Website-Technologien wie WordPress setzen, das technisch konkret umsetzen?
Quellen:
Schlussantrag „Fashion ID“-Fall zu Facebook-Plugin sowie Newsletter 2/2019 der österreichischen Datenschutzbehörde
Schlussantrag „Planet49“ zu Cookies