Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Zum EuGH Urteil „Planet49“, Az. C-673/17 – Benötigen Cookies ab jetzt immer einer Einwilligung? (Spoiler: Nein)

Das mit Spannung erwartete Urteil des EuGH C-673/17 in Sachen Planet49 GmbH ./. Bundesverband der Verbraucherverbände um die (vermeintliche) Frage, ob Cookies einer Einwilligung bedürfen, ist endlich da. Und wie zu erwarten, tönte es schon mit der Pressemitteilung (fast) unisono aus allen Ecken „Cookies sind nur noch mit Einwilligung erlaubt!“ und „Das war es mit den Werbenetzwerken!“. Doch wie immer gilt zu hinterfragen: Ist das wirklich so?

Die tl,dr Version oder: Die Pressemitteilung

Um zu verstehen, warum die Headlines voll mit Aussagen á la „Cookies sind nur noch mit Einwilligungen erlaubt!“ sind, ist es hilfreich einen Blick in die Pressemittelung zu werfen. Dort heißt es:

„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. [betrifft Frage 1. a) und c)]

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. [betrifft Frage 1. b)]

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss. [betrifft Frage 2.]“

Für den unbefangenen Betrachter klingt es tatsächlich so, als sei eine Einwilligung stets von Nöten.

Die einschlägig bewanderte JurstIn denkt dazu hingegen: Ist dieses Ergebnis überraschend? Nein, nicht wirklich. Und: Bedeutet das jetzt, dass für jedes Cookie eine Einwilligung eingeholt werden muss? Nein, auch das nicht.

Und so ist es durchaus sinnvoll für die praktische Arbeit, sich das Urteil einmal näher anzusehen und die möglichen Konsequenzen zu diskutieren. Dies aber nicht, ohne vorher einen Blick in den Sachverhalt und auf die gesetzlichen Grundlagen, auf derer das Urteil basiert, zu werfen (das hilft schließlich gemeinhin bei der Rechtsfindung).

Sachverhalt oder: Worüber wurde entschieden?

Das Werbeunternehmen „Planet 49 GmbH“ veranstaltete ein Gewinnspiel zu Werbezwecken und platzierte vor dem „Teilnahme“-Button zwei Ankreuzkästchen mit kurzer Beschriftung. Das erste Kreuzchen war nicht voreingestellt und betraf die Einwilligung in postalische und telefonische Angebote aus dem jeweiligen Geschäftsbereich von Sponsoren und Kooperationspartnern. Das war für das Urteil weniger relevant als das zweite Ankreuzkästchen, welches bereits angekreuzt war.

Dieses enthielt den folgenden Text:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

Nach dem im EuGH-Urteil beschriebenen Sachverhalt führte das „hier“ zu weiteren Informationen über die Cookies, die mit diesem Ankreuzkästchen (welches bereits angekreuzt ist! *das ist wichtig, denn darum geht die ganze Entscheidung!) versehen waren. Der Knackpunkt: Die Cookies waren auch für die Werbepartner von Remintrex, dem Webanalysedienst, auslesbar – mithin also für Dritte bestimmt. Dabei sagt Planet49 zwar, dass die Cookies „ausschließlich für Werbung verwendet“ werden und „für jeden Werbepartner getrennt erhoben, gespeichert und genutzt“ werden, also keine übergreifenden Profile erstellt werden. Auch meint Planet49, es werden keine „personenbezogenen Daten“ an die Werbepartner weitergegeben (*…naja – später mehr).

Der Bundesverband der Verbraucherzentralen (vzbv) meint, dies genüge nicht den Anforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und sie mahnte entsprechend ab. Der Rechtsstreit zog sich bis zum Bundesgerichtshof (BGH), welcher wiederum meinte, eine Entscheidung insbesondere über die Zulässigkeit des voreingestellten Ankreuzkästchens hinge maßgeblich von Art. 5 Abs. 3 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in der Fassung vom 25. November 2009 (Richtlinie 2009/136/EG) (auch bekannt als: Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 lit. h) der alten EU-Datenschutzrichtlinie 95/46 sowie Art. 6 Abs. 1 lit. a) DSGVO (Verordnung 2016/679) und legte deshalb dem EuGH Vorlagefragen vor (Sie wissen schon: Das ist das Verfahren nach Art. 267 AEUV, wo nationale Gerichte, die einen Sachverhalt mit EU-Rechtseinschlag haben, den EuGH fragen können, wie das ja vorrangige EU-Recht auszulegen ist).

Was sagen die gesetzlichen Grundlagen?

Die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der Fassung vom 25. November 2009 spielt bei der Entscheidung eine maßgeblich Rolle. In Art. 5 Abs. 3 eben dieser heißt es:

Die Mitgliedstaaten stellen sicher, dass die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teil­nehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG* u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Spei­cherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

*Die Datenschutz-Richtlinie wurde mit Wirkung zum 25. Mai 2018 durch die Datenschutzgrundverordnung ersetzt.

Dies bedeutet, dass bereits seit 2009 das gesetzliche Erfordernis besteht, grundsätzlich ein sogenanntes „informed opt-in“, also eine informierte Einwilligung des Nutzers beim Setzen von Cookies einzuholen. In Deutschland hat das niemanden interessiert, weil man, einschließlich des deutschen Gesetzgebers, einfach sagte, mit § 15 TMG, welcher nur die Opt-Out-Möglichkeit vorsieht, sei die Richtlinie doch bereits in deutsches Recht umgesetzt. Das ist in Bezug auf die Richtlinie 2002/58/EG in der Fassung vor 2009 zwar richtig, nicht aber in der Fassung nach 2009, denn seit dem verlangt die EU-Richtlinie eindeutig eine Einwilligung. (Vgl. dazu Rn. 103 ff. der Schlussanträge des Generalanwalts in der Sache C-673/17). Obwohl die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG weiterhin neben der DSGVO galt und noch gilt, reüssierte insbesondere die Werbeindustrie darauf, dass für das „Tracking mittels Cookies“ weiter § 15 TMG, jedenfalls aber  Art. 6 I f) DSGVO gelte und damit eine Einwilligung nicht erforderlich sei.

Das Urteil oder: So hat der EuGH diesen Sachverhalt rechtlich bewertet

Bei dem vorliegenden Sachverhalt und den gesetzlichen Grundlagen ist es nicht verwunderlich, dass nicht die Frage, ob eine Einwilligung vorliegen müsse, Gegenstand des Verfahrens war, sondern ausschließlich die Frage diskutiert wurde, wie eine solche Einwilligung ausgestaltet werden müsse.

Konkret fragte der BGH

  • ob ein solches bereits gekreuztes Kästchen, welches derartige Cookies setzt, eine nach den vorgenannten Rechtsgrundlagen „wirksame Einwilligung“ darstellt (Frage 1. a)),
  • ob es einen Unterschied macht, ob der Cookie „personenbezogene Daten“ verarbeitet oder nicht (Frage 1. b))
  • ob die Einwilligung nach DSGVO(!) wirksam wäre (Frage 1. c)).
  • und welche Informationen für eine wirksame Einwilligung zu erteilen sind (Frage 2.).

Keine wirksame Einwilligung zu Cookies durch voreingestellt angekreuzte Häkchen [Vorlagefrage 1a) und 1c)]

Wenig überraschend stellt der EuGH fest, dass die Anforderungen an eine wirksame Einwilligung bei voreingestellt angekreuzten Häkchen weder nach dem (damals noch geltenden) Art. 7 lit a) EU-DSRL 95/46 noch nach Art. 4 Nr. 11 bzw. Art. 6 I a), 7 DSGVO erreicht seien. Schließlich muss eine solche „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ sowie „in einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ abgegeben werden. Es braucht einer aktiven Handlung. Und diese ist bei vorangekreuzten Häkchen nun einmal nicht gegeben. (Honestly, that’s nothing really new).

Gilt das nur für Cookies, die personenbezogene Daten verarbeiten? [Vorlagefrage 1b)]

Nein, nach Auffassung des EuGH ist es irrelevant, ob ein Cookie personenbezogene Daten zum Gegenstand hat oder nicht (Frage 1. b)). Denn die relevante Datenschutzrichtlinie zur elektronischen Kommunikation 2002/58 spricht in dem oben zitierten Art. 5 Abs. 3 S. 1 lediglich von „Speicherung von Informationen“ und vom „Zugriff auf Informationen, die bereits […] gespeichert sind“, das heißt, hier kommt es eben nicht darauf an, ob personenbezogene Daten vorliegen. (Siehe Rn. 68 des Urteils).

Denn anders als die DSGVO, die dem Schutz personenbezogener Daten dient, soll die Datenschutzrichtlinie zur elektronischen Kommunikation eben den Nutzer vor jedem Eingriff in die Privatsphäre schützen – gleichgültig, ob personenbezogene oder andere Daten betroffen sind.

Dazu gab es heute durchaus Aufschreie zu vernehmen. Malte Engeler schrieb „Das ist die Quadratur der Schutzgut-Konfusion“ und Simon Assion sagte „Meine Damen und Herren, wir haben damit ein neues Rechtsgut im Europarecht: Die informationelle Integrität des Endgeräts.

Zugegeben, dogmatisch ist das alles nicht ganz so einfach zusammenzubringen, aber letztlich ist es konsequent. Denn gerade wenn wir über Tracking durch Cookies und die Weitergabe der getrackten Daten an Dritte, ergo über den Bereich des Remarketings und Retargetings sprechen, kommt es gar nicht darauf an, dass personenbezogenen Daten im engeren Sinne verarbeitet werden. Gerade hier ist es möglich an sich nicht personenbeziehbare Daten über Identifier (d.h. ein an sich eben auch nicht personenbeziehbares Datum) derart miteinander zu verbinden und anzureichern, dass diese Daten personenbeziehbar werden. Und eben genau diese personenbeziehbaren Daten will schließlich auch die DSGVO mit Art. 4 Nr. 1 DSGVO erfassen. Anders ausgedrückt: Was nützt es, wenn ich einen Schutz vor der Verarbeitung personenbeziehbarer Daten habe, aber die Verarbeitung nicht personenbeziehbarer Daten, die zusammen personenbeziehbar werden, erst dann untersagen könnte, bzw. erst dann einem gesetzlichen Verbot mit Erlaubnisvorbehalt unterfielen, wenn sie personenbeziehbar geworden sind, aber ich nicht nachvollziehen kann, wann und wo dies geschieht und ich auch nicht wissen kann, wohin ich mich zur Durchsetzung meiner Rechte wenden müsste. Von daher ist es konsequent, bereits an der Stelle anzusetzen, an dem aus nicht personenbeziehbaren Datenverarbeitungsvorgängen durch Zusammenführung personenbeziehbare werden können. Denn nur hier kann der einzelne Nutzer eingreifen und ansetzen.

Wie weit müssen Nutzer aufgeklärt werden? [Vorlagefrage 2)]

Diese Frage war für den EuGH recht leicht zu beantworten: Die Datenschutzrichtlinie zur elektronischen Kommunikation 2002/58 verweist in Art. 5 Abs. 3 auf die alte EU-DSRL, die inzwischen durch die DSGVO abgelöst wurde. In beiden Normen (Art. 10 EU-DSRL, sowie Art. 13 DSGVO) werden eine Reihe an verpflichtenden Informationen bezüglich der Verarbeitung von personenbezogenen Daten genannt. Dazu gehört nach Ansicht des EuGH aber auch die Funktionsdauer eines Cookies (Rn. 78-81 des Urteils).

Was heißt das denn nun?! – Oder: Die (möglichen) Auswirkungen des Urteils auf die Praxis.

Das Urteil selbst hat eigentlich nur Offensichtliches klargestellt:

Eine Einwilligung muss ein Opt-In sein und darf nicht als Opt-Out gestaltet sein. Die Informationspflichten nach Art. 12, 13 DSGVO sind einzuhalten. Und nach der geltenden EU-Richtlinie für elektrische Kommunikation sind nach dem Wortlaut von Art. 5 Abs. 3 S. 1 nun einmal seit 2009 Einwilligungen für die „Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind“ einzuholen. Also, für Cookies sind grundsätzlich Einwilligungen einzuholen. Bums. Aus die Maus.

„Moooooment!“ so denken Sie, „Sie haben doch oben gesagt, es müsse nicht für jeden Cookie eine Einwilligung einholt werden!!“.

Ja. Moment. Wenn der Jurist grundsätzlich sagt, folgt die Relativierung nun einmal auf dem Fuße.

Der EuGH hat sich ausschließlich mit einer offensichtlichen Fallgestaltung des Art. 5 Abs. 3 S. 1 der EU-DS-RiLi für elektronische Kommunikation befasst und diesen geprüft. In Art. 5 Abs. 3 S. 2 heißt es jedoch (wir erinnern uns, ich hatte es oben bereits zitiert):

Dies steht einer technischen Spei­cherung oder dem Zugang nicht entgegen, […]wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Das heißt nichts anderes, als das zum Beispiel technisch erforderliche Speicherungen von Informationen (call them Cookies right now, if you like to), wie Warenkorb-Cookies ohne Einwilligung gesetzt werden können.

Tja. Und jetzt wird es in vielerlei Hinsicht spannend.

Was ist „unbedingt erforderlich“?

Ok. Session- und Warenkorb-Cookies werden wohl ohne großen Streit als unbedingt erforderlich einzuordnen sein. Aber was ist etwa mit einfachen Analyse-Cookies, um die Besucherströme auf Webseiten und Applikationen nachvollziehen und damit die Angebote entsprechend optimieren zu können. Ein Personenbezug oder auch nur eine Personenbeziehbarkeit ist für solche Analysen nicht notwendig. Und es gibt meines Erachtens gute Gründe dafür, dass eben solche Analysemöglichkeiten „unbedingt erforderlich [sind], damit der Anbieter eines Dienstes […] diesen Dienst zur Verfügung stellen kann“. Wenn ein Anbieter nicht nachvollziehen kann, was die Kunden wünschen, kann er nicht wissen, welche Produkte oder Dienstleistungen er weiter nach vorne oder hinten in den Laden bzw. eben die digitalen Verkaufsflächen stellen soll und für den Nutzer ist es eben auch vorteilhaft und wünschenswert, wenn für den Nutzer (als Gesamtheit) attraktive Produkte nach vorne in den leicht sichtbaren und auffindbaren Bereich aufgrund solch einer Analysen gestellt werden.

Retargeting-Identifier jeglicher Art und Weise wiederum werden eben kaum (mir würde nicht einfallen wie) unter diese Norm subsumiert werden können. Denn diese sind schlicht nicht erforderlich. Sie sind für Unternehmen hilfreich, um Produkte und Dienstleistungen digital zielgenau an den Mann oder die Frau zu bekommen, klar. Aber sie sind eben nicht unbedingt erforderlich, um einen Dienst im vorgenannten Sinne zu erbringen.

Gilt vielleicht doch noch § 15 TMG?

Wie eingangs schon gesagt, wird immer noch gerne auf § 15 TMG reüssiert, der jedenfalls das pseudonyme Tracking unter ein Opt-Out stellte. Ich würde sagen, schöne Idee, aber § 15 TMG widerspricht im ganzen Grundsatz seit 2009 so dermaßen Art. 5 Abs. 3 S. 1, dass ich nicht so recht wüsste, wie eine „richtlinienkonforme Auslegung“ an dieser Stelle aussehen sollte. Man könnte allenfalls, vielleicht, unter Umständen, dazu kommen, dass § 15 TMG Anwendungen des Art. 5 Abs. 3 S. 2 ausgestaltet…

Meines Erachtens ist § 15 TMG nun spätestens mit den letzten beiden EuGH-Urteilen, in denen das Gericht stets nur auf Art. 5 Abs. 3 EU-DSRiLi für elektronische Kommunikation in den Entscheidungsgründen eingeht, in die Rechtsgeschichte eingegangen.

Aber die DSGVO gilt doch jetzt!

Weiter wird als Argument hervorgebracht, dass nun mehr die DSGVO gelte und damit jedenfalls bestimmte Formen des Tracking nach Art. 6 I f) ohne Einwilligung möglich seien.

Die DSGVO kann die EU-DSRiLi zur elektronischen Kommunikation nicht verdrängen, da diese nun einmal nebeneinanderstehen (und auch andere Schutzrichtigungen aufweisen). Das sieht – schaut man sich die Argumentation im vorliegenden Urteil an – ganz offensichtlich auch der EuGH so.

Davon aber einmal abgesehen, sind die Ergebnisse im Hinblick auf personenbeziehbare Trackings doch nicht wesentlich anders. Was in der EU-DSRiLi zur elektrokonischen Kommunikation „unbedingt erforderlich“ sein muss, bedarf nach Art. 6 I f) DSGVO dem berechtigten Interesse des Verantwortlichen, welchem nicht überwiegenden Interessen des Betroffenen entgegenstehen dürfen.

Tracking = Tracking = Tracking oder nicht?

Zwischen den Zeilen ist hier – hoffentlich! – überall aufgeblitzt, dass eben nicht den „Cookie“ und „das „Tracking“ gibt. Und schon gar nicht gibt es nur Tracking per Cookie. Da gibt es inzwischen, was red ich, schon lang, noch ganz andere Möglichkeiten. So zum Beispiel die Google-WerbeID (Kennen Sie nicht? Startpagen Sie mal).

Zu diesem Thema könnte man einen gesonderten Blogartikel schreiben. Müsste man eigentlich. Aber ganz sicher nicht heute.

Wichtig ist nur: Die Diskussion um die Zulässigkeit von Cookies und Tracking und allem, was damit zu tun hat, leidet ganz maßgeblich davon, dass immer von „dem Tracking“ gesprochen wird. „Das Tracking“ gibt es nicht. Es gibt sehr viele unterschiedliche Varianten. Diese müssen unterschiedlich bewertet werden. Alles andere ist nicht sachgerecht.

Aber die Werbeindustrie!

Ja, die Werbeindustrie wird an dieser Stelle wieder Zeter und Mordio schreiben und den Untergang des Abendlandes, ähm, jedenfalls den Untergang der kompletten Werbeindustrie, den abhängigen Industrien, den Verlust von Arbeitsplätzen und den Aufmarsch der Konkurrenz aus Übersee beschwören. Mir fällt dazu immer nicht viel mehr als ein Schulterzucken ein. Zum einen war Werbung zu Zeiten von Plakaten, Zeitschriften und non-digitalen Fernsehern auch „nur“ zielgruppenorientiert und -segmentiert auszuspielen und trotzdem sind Produkte wie Dienstleistungen verkauft worden und die Werbemärkte liefen rund. Zum anderen kann es doch nicht sein, dass der Einzelne aufgrund der technologischen „Möglichkeit interessensgerechter, individualisierter und personalisierter Werbung“ und den damit verbundenen „Unternehmensinteressen“ die Anlage von (Persönlichkeits-)Profilen einfach hinnehmen muss. Ja, hinnehmen muss. Denn wir alle wissen, dass die derzeitigen Opt-Out-Regelungen nur extrem mühsam bzw. gar nicht funktionieren.

Und die Regelungen sind auch nicht „ungerecht“. Die gelten nämlich für alle.

Ich würde mich hier vielmehr zu dem folgenden Statement hinreißen lassen: Liebe Werbeindustrie, ihr kennt die Rechtslage sowohl nach Eu-DSRiLi für elektronische Kommunikation als auch nach der DSGVO seit Jahren und ihr habt es versiebt, funktionierende Werbemodelle und -netzwerke auf den Markt zu bringen und anzubieten. Nun weint bitte nicht so sehr. Oder jedenfalls nicht so laut.

Last but not least: Was ist mit den Sanktionen?

Hier wird es wieder spannend. Die EU-DSRiLi für elektronische Kommunikation verfügt natürlich nicht über Sanktionen. Eine nicht vorhandene oder mangelhafte Einwilligung bei der Verarbeitung von personenbeziehbaren Daten stellt jedoch einen Verstoß gegen die DSGVO dar und eröffnet damit auch das Sanktionswerkzeug eben dieser.

Hier darf wohl mit Spannung abgewartet werden, wann die Werbenetzwerke endlich den Druck durch EuGH und nationale Datenschutzbehörden als hinreichend empfinden, um konforme Lösungen anzubieten.

Fazit

Es bleiben viele offene Fragen. Aber nun ja, wäre ja sonst auch langweilig oder? (Ooooookay, ich verstehe, wenn das nur aus Sicht der Datenschutzanwältin spannend ist…)

In diesem Sinne,

auf bald!

20 Responses
  1. Pflichtfeld

    Endlich hat es jemand verstanden. ;-)
    Die Prüfung per 2016/679 bezieht sich ja auf die Prüfung, ob zukünftige Unterlassensklagen bei solchen Einwilligungen möglich sind.

  2. Heiko

    Vielen Dank für den Artikel! Nach den hunderten immer gleichen Meldungen der großen Medien ist das zur Abwechslung endlich ein Beitrag mit genauerer Betrachtung, vielen Klarstellungen und erkennbarer Kompetenz. Danke.

    Dennoch machen mich einzelnen Auslegungen und fehlende Praxisauswirkung stutzig.

    1. In deinem (ich hoffe das Du ist auch in dieser Branche mittlerweile ok) Beitrag, nennst du zur Erklärung eines „erforderlichen technischen Cookies“ ein Beispiel aus deiner Wahrnehmung: „Wenn ein Anbieter nicht nachvollziehen kann, was die Kunden wünschen, kann er nicht wissen, welche Produkte oder Dienstleistungen er weiter nach vorne oder hinten in den Laden bzw. eben die digitalen Verkaufsflächen stellen soll und für den Nutzer ist es eben auch vorteilhaft und wünschenswert, wenn für den Nutzer (als Gesamtheit) attraktive Produkte nach vorne in den leicht sichtbaren und auffindbaren Bereich aufgrund solch einer Analysen gestellt werden.“

    Das heißt die Optimierung des Online-Shops in Form von veränderter Produktplatzierung ist ok, die Optimierung eines Ads, auf Basis der gleichen Insights, aber nicht? Warum? Einzige Unterscheidung, die ich dem Absatz entnehmen kann, ist die Optimierung der „Verkaufsfläche“ für die „Gesamtheit“. Sprich eine Optimierung in der Masse ist ok, aber die konkrete Personalisierung eines Ad nicht. Kann man drüber streiten, aber noch nachvollziehbar. Wie sieht es dann aber mit den Analyse-Daten aus, die ebenfalls die „Verkaufsflächen“ eines Shops individuell, also nicht für die Masse optimieren? Das ist heute viel eher der Default. Nicht alle bekommen die gleichen Kategorien oder Empfehlungen auf der Startseite angezeigt, sondern jeder User andere. Auch bekommt jeder User andere „related products“ angezeigt. Diese Grenze gibt es daher in der Praxis einfach nicht.

    2. Das Urteil bezog sich ja in erster Linie auf die Zustimmung bei einer Anmeldung, wie im Falle von Planet49. In den vielen. Diskussionen zu dem Thema stellt sich der Großteil aber eher die Frage wie es bei anderen Abfragen aussieht. Vorrangig dem Cookie Consent Banner. Hier ist es bisher in der Regel so, dass man als User zwar informiert wird, aber i.d.R. einfach nur „OK“ klickt. Das führt sich jetzt für mich nicht nach einer „eindeutig bestätigende Handlung„ an. Siehst du diese Abfragen von dem Urteil auch betroffen und sind diese getrennt zu betrachten?

  3. Chris

    „Und die Regelungen sind auch nicht „ungerecht“. Die gelten nämlich für alle.“

    Ach? Auch für Amerikaner, Chinesen und allem anderen das ausserhalb der EU fröhlich extrem zielgerichtete und kostengünstigere Werbung schalten kann? Ein Verlust der retargeting Möglichkeit kann die Kosten der Werbemaßnahme schnell verdreifachen um die gleichen Ergebnisse zu erzielen.

    Ich sehe hier schon einen ENORMEN Wettbewerbsnachteil gegenüber dem Rest der Welt…

    1. Michael Atzert

      Da der vermeintliche „Wettbewerbsnachteil“ für die gesamte EU gilt, ist das wohl verschmerzbar. Mit demselben Argument könnten wir die Arbeitsschutz- und Urlaubsgesetze wieder abschaffen. Die sind nämlich bspw. auch ein Wettbewerbsnachteil ggü. all den chinesischen Firmen, die ihren Arbeitnehmer*innen nur 2 Urlaubstage pro Jahr bei 14 Std.-Schichten gönnen; No weekends inclusive, natürlich! ;-) In meinen Augen ist die derzeitige Regelung ein klares Statement der EU zu einem Plus an Schutz der EU-Bürger*innen. Mit besten Grüßen, Michael

  4. Fritz von Allmen

    Guten Tag
    Danke für den ausführlichen Bericht – mit einer Portion Humor, macht das ganze menschlich :). Ich hätte dazu eine Frage (und eine Bemerkungen)

    Frage: da die Klage des Verbraucherschutzverbandes ja auf dem UWG basiert, hat der EUGH hier jetzt ungewollt der Abmahnbranche eine Aktivlegitimierung zugesprochen (kommen jetzt die Abmahnanwälte wieder)?

    Bemerkungen: ich verstehe, dass das Gericht nur die Funktionsweise und das Einverständnis zu Cookies beurteilt hat. Aber die Konsequenzen der Werbewirtschaft sind IMHO nun einfach diejenigen, dass man die Identifikatoren nun statt in cookies im local storage des Browsers speichert oder wem das noch zu heikel ist, der forciert Tracking-Pixel und Fingerprinting (dann sind die Daten nicht mehr auf einem Endgerät) => alles in allem ein ziemlich schwarzer Tag für die user, mit diesem Entscheide wurde die informationelle Selbstbestimmung leider nicht gestärkt :(

  5. Tom Stiefel

    Vielen Dank für diese winderbaren und wirklich sehr gut geschriebenen Artikel, mit dem man sich – trotz der Länge ^^ – einen schnellen Überblick verschaffen kann.
    Sachlich unaufgeregt geschrieben und mit einer guten Prise Humor gewürzt, macht es wirklich Spaß etwas über ein eigentlich sehr trockenes Thema zu lesen, das zudem auch für Laien absolut verständlich rüber kommt.
    Man spürt förmlich die Leidenschaft, mit der dieser Artikel geschrieben wurde. Weiter so!

  6. Oliver

    Vielen Dank für diesen sehr ausführlichen und fachlich sehr klaren Artikel! Wie stehen Sie zu der Frage, ob das pseudonyme Tracking von Nutzerverhalten mit Widerspruchsmöglichkeit (also Logik nach §15 Abs. 3 TMG), welches ausschließlich das Nutzungsverhalten der jeweils besuchten Domain erfasst und nicht mit Daten über das Nutzungsverhalten auf Drittseiten zusammengeführt wird sowie auch nicht zur Profilierung für interessensbasierte Werbung verwendet wird, für die Bereitstellung der vom Nutzer aufgerufenen Seite als unbedingt notwendig zu erachten ist?

    In ihrem Artikel sprechen sie nur von nicht-personenbeziehbarem also tatsächlich anonymem Tracking, worunter ich z.B. einfaches Hochzählen von Page Impressions, welche nicht mit einem pseudonymen Nutzerprofil sondern nur zur jeweils gezählten URL verknüpft sind bzw. für diese summiert werden.

    Eine Zusammenführung des Pseudonyms mit Daten über den Träger des Pseudonyms (wie es im Planet49-Fall durch Verknüpfung der Pseudonymen Cookie-ID mit Adressdaten des Trägers dieses Pseudonyms aus der Gewinnspielteilnahme vorgenommen werden sollte) würde hier nicht stattfinden, insofern dies auch durch §15 Abs. 3 TMG untersagt wird.

  7. Liebe Frau Dircks, verstehe ich das richtig, dass die einschlägige Norm bzgl. dem setzen von Cookies die europäische Richtlinie ist, da die BRD diese nicht konform umgesetzt hat?

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Rechtsanwältin Nina Diercks

Nina Diercks (M.Litt, University of Aberdeen) ist seit 2010 Rechtsanwältin und seit 2011 selbstständig. Sie führt derzeit die Anwaltskanzlei Diercks in Hamburg. Die Rechtsanwältin arbeitet ausschließlich in den Bereichen IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Ab 2020 wird Nina Diercks als Partnerin für IT- und Datenschutzrecht bei MÖHRLE HAPP LUTHER tätig sein. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

 

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.