EuGH-Verhandlung zu DSGVO-Einwilligungsanforderungen bei Gewinnspielen im Internet

Michael Neuber

Heute fand vor dem Gerichtshof der Europäischen Union (EuGH) die mündliche Verhandlung (hearing)  im Fall “Planet49” (Rechtssache C-673/17) statt. Dieser wichtige Fall betrifft die Rechtmäßigkeit der Einwilligung nach der „alten“ Datenschutzrichtlinie, der geltenden ePrivacy-Richtlinie und der seit Mai 2018 anwendbaren DSGVO. Konkret geht es auch um die Frage, ob für das Setzen von Cookies und eine entsprechende Einwilligungsabfrage ein vorangekreutztes Kästchen ausreichend ist.

Das Unternehmen Planet49 bietet Online-Gewinnspiele an. In dem zu entscheidenden Fall gelangte der Nutzer nach Eingabe der Postleitzahl auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Lediglich beim ersten Hinweistext war das Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen. Eine Teilnahme am Gewinnspiel war nur möglich, wenn mindestens das Häkchen vor dem ersten Hinweistext gesetzt wurde. Dieser lautete:

 

□ Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.

 

Der zweite Hinweistext lautete:

 

× Ich bin einverstanden, dass der Webanalysedienst …  bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die ….GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches …. eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch …  ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.

 

Der Verbraucherzentrale Bundesverband (vzbv) hatte die Formulierungen und Modalitäten der Einwilligungsabfrage moniert und gegen die Verwendung geklagt. Da die Vorinstanzen zu unterschiedlichen Auffassungen sowohl hinsichtlich der Formulierung als auch der Voreinstellungen kamen, musste sich letztlich der Bundesgerichtshof (BGH) mit dem Fall beschäftigen. Mit Beschluss vom 05.Oktober 2017 (Az.: I ZR 7/16) legte dieser dem EuGH schließlich mehrere Fragen vor, die sich mit der Auslegung der zugrundeliegenden, europäischen Normen beschäftigen (wir berichteten). Konkret wollte der BGH vom EuGH folgendes wissen:

 

1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG (Anm: ePrivacy-Richtlinie)in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG (Anm.: alte Datenschutzrichtlinie), wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 (Anm.: DSGVO)vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

 

Der Fall betrifft grundlegende Fragen rund um die Anforderungen der Einwilligung und sein Ausgang wird von nicht zu unterschätzender Bedeutung sein. Da die DSGVO hier auch ausdrücklich in den Prüfumfang einbezogen ist, wird dies die erste Grundlagenentscheidung des EuGH zum neuen Datenschutzrecht sein. Die zuletzt ergangene „Fanpage-Entscheidung“ erging hingegen noch zum „alten“ Recht.

Die DSGVO sieht bereits vor, dass „voreingestellte“ Checkboxen keine wirksame Einwilligung darstellen, so dass der EuGH wohl hierauf verweisen wird. In Erwägungsgrund 32 zur DSGVO heißt es u.a.:  “Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.”

Mit Blick auf die Frage des Endgerätezugriffs (Cookies) sind die Bedingungen für die Wirksamkeit von Einwilligungen jedoch unter Umständen anders zu bewerten. In seiner derzeitigen Fassung des EU-Rates vom 19.10.2018 sieht der entsprechende Artikel 4a hierzu folgendes vor: “Unbeschadet des Absatzes 1 kann die Einwilligung, wenn technisch möglich und machbar, für die Zwecke der von Artikel 8 Absatz 1 Buchstabe b), auch durch die Verwendung entsprechender technischer Einstellungen, einer Softwareanwendung die die elektronische Kommunikation erlaubt einschließlich der Abfrage und des Bereithaltens von Informationen im Internet, ausgedrückt werden.” Für den Nachweis einer Einwilligung kann in Cookie-Umgebungen, in denen keine Identifizierung einer natürlichen Person möglich ist auch nicht das Nachweisregime der DSGVO-Einwilligung gelten. Dies würde wegen der Höchstpersönlichkeit der Einwilligungserklärung ansonsten bedeuten müssen, dass jede Cookie-Einwilligung mit der Identifizerungspflicht der betreffenen Person verbunden sein müßte. Dies sieht auch der Entwurfstext so: “Soweit der für die Verarbeitung Verantwortliche nicht in der Lage ist, eine betroffene Person zu identifizieren, muss das technische Protokoll, aus dem hervorgeht, dass die Zustimmung des Endgeräts erteilt wurde, ausreichen, um die Zustimmung des Endnutzers gemäß Artikel 8 Absatz 1 Buchstabe b) nachzuweisen.” In der Verhandlung wurden dann auch einige Fragen zur Umsetzung der ePrivacy-Richtlinie im deutschen Recht erörtert.

Der EuGH könnte diesen Fall daher außerdem dazu nutzen Feststellungen dazu zu treffen, ob der Zugang zu einem Dienst/Webseite grundsätzlich von der Erklärung einer Einwilligung des Nutzers abhängig gemacht werden kann. Diese Frage wird derzeit im Rahmen des Gesetzgebungsverfahrens zur geplanten ePrivacy-Richtlinie kontrovers diskutiert. Sollte es Webseitenbetreibern künftig nicht mehr möglich sein, die über ihre Seite ausgespielten Inhalte datengetrieben vermarkten und kontrollieren zu können, wäre dies ein einschneidender Eingriff in die Möglichkeiten werbefinanzierte Inhalte kostenfrei anbieten zu können. Auch die Beantwortung der zweiten Frage zur Transparenz wird zeigen, in welchem Umfang und Detail die bereitzustellenden Informationen künftig gegeben werden müssen.

Vor einer Entscheidung wird der Generalanwalt Szpunar seine Schlussanträge vorstellen. Nach diesen richtet sich der EuGH regelmäßig, obgleich er nicht daran gebunden ist. Die Veröffentlichung der Schlussanträge soll am 28.Februar 2019 erfolgen.

Kommentar schreiben