33: Planet49-Urteil, Einwilligungen in Cookies und Datenschutz vs E-Privacy

Frank Stiegler und Dr. Simon Assion von Bird & Bird beleuchten in dieser Folge (Aufnahme am 21.07.2020) das nun schon zwei Monate alte Urteil des BGH zum Rechtsstreit des VZBV gegen Planet49 ("Cookie-Einwilligung II", Az. I ZR 7/16, verkündet am 28.05.2020), dessen Auswirkungen für die Praxis und was eigentlich E-Privacy und Datenschutz sind und wie sie gesetzlich zusammenspielen.

00:38 Einleitung ins Thema, Vorstellung Simon

Themen dieser Folge:

• Was war der Sachverhalt, und was hat der BGH geurteilt?
• Welche Konsequenzen ergeben sich daraus für die Praxis?
• Wie spielen E-Privacy und Datenschutz ineinander?
• Wo steht die E-Privacy-VO heute, und wie geht es damit weiter?

05:05 Der Rechtsstreit

Die Parteien: VZBV (Dachverband der Verbraucherschutzverbände), Planet49 GmbH

Der Streitgegenstand: Wirksamkeit zweier Einwilligungen

Die erste hier gezeigte Checkbox musste für Teilnahme am Gewinnspiel angeklickt werden. Die zweite Checkbox war schon beim Laden der Webseite angehakt.

Wir sprechen u. a. darüber, ob bzw. wie man Informationen auf mehreren Informationsschichten für eine Einwilligung verteilt werden dürfen, ob man also praktisch gesagt Einwilligungstext mit Hyperlinks zu weiterführenden Seiten versehen darf. Das dahinter liegende Phänomen -- Nudging -- spielt für die Freiwilligkeit der Einwilligung nach Art. 7 Abs. 4 DSGVO eine wesentliche Rolle.

Der Kernpunkt der zweiten Einwilligung, nämlich die Tatsache, dass die Checkbox schon vorausgefüllt war, ist zwar für die Praxis wichtig, war aber von praktisch allen Fachleuten erwartet worden.

18:55 Warum jede Einwilligung DSGVO-Standards entsprechen muss

Wir erläutern die einschlägigen Vorschriften und insbesondere das Nebeneinander der DSGVO und derjenigen Regeln, die die E-Privacy-Richtlinie (hier vor allem § 7 UWG und § 15 Abs. TMG) umsetzen.

Simon führt aus, warum und wie sich E-Privacy und Datenschutz unterscheiden und wie die verschiedenen Regelungskreise im Verhältnis zueinander stehen. Er spricht auch darüber, wie wir zur aktuellen Rechtslage gekommen sind, u. a. wie der europäische und der deutsche Gesetzgeber mit der Materie der E-Privacy umgegangen sind, und welche Relevanz diese beiden Rechtsbereiche für das hier besprochene BGH-Urteil haben.

Telemedicus, Artikel von Adrian Schneider vom 05.02.2014: "EU-Kommission: Cookie-Richtlinie ist in Deutschland umgesetzt."

Der Knackpunkt der zweiten Einwilligung des Streitfalles ist (in rechtlicher Hinsicht): Der BGH hat den § 15 Abs. 3 TMG richtlinienkonform nach Vorgabe des Art. 5 Abs. 3 E-Privacy-Richtlinie (in der von der RL 2009/136/EG geänderten Fassung, also in seiner konsolidierten/aktuellen Fassung) ausgelegt. Es war also eine Einwilligung einzuholen und nicht nur -- wie § 15 Abs. 3 TMG es fordert -- ein Hinweis zu geben.

39:20 Die Einwilligungstexte stellten AGB dar.

Hier rekurrieren wir auf unsere Aussagen aus LB 31 (ab 52:30).

40:50 Was ändert das Urteil in der Praxis?

1. Das Setzen von Cookies -- unabhängig von deren Personenbezug -- bedarf wegen Art. 5 Abs. 3 E-Privacy-Richtlinie einer Einwilligung, und zwar aller Cookies, mit Ausnahme derer, die gesetzlich erlaubt sind.

2. Die einzuholenden Einwilligungen müssen den Anforderungen der DSGVO genügen (hierzu LB 31 ab 67:30 min).

Wir sprechen außerdem über ein total juristisches und für die Praxis vermutlich schwer verständliches Problemthema und damit eines, das bisher noch ungeklärt ist, nämlich die Frage, ob denn beim Setzen von Cookies außerdem eine Einwilligung aus DSGVO-Gesichtspunkten (genauer: wegen Art. 6 Abs. 1 DSGVO) erforderlich ist (Achtung: Das ist ein anderer Punkt als die Anforderungen an die Einwilligung, wenn sie nach Art. 5 Abs. 3 E-Privacy-Richtlinie einzuholen ist). Sehr praxisnah allerdings ist die Lösung dieser Frage, nämlich dahingehend, dass die Datenschutz-Aufsichtsbehörden das deutlich größere Bußgeldrisiko darstellen. Ein Verstoß gegen § 15 Abs. 3 TMG ist nämlich schwer zu ahnden, weil schon die Frage der Zuständigkeit äußerst schwer zu beantworten ist, aber darüber hinaus auch der Bußgeldrahmen deutlich kleiner ist.

54:15 Wie beweist man die eingeholten Einwilligungen?

Wichtig für den Beweis des Prozesses, der die Einwilligungen produziert, ist auch, dass über Dauer eindeutig nachvollziehbar ist, welche Version z. B. des Cookie-Banners zu welcher Zeit (insbesondere zum umstrittenen Zeitpunkt) verwendet wurde.

59:40 Wie lang darf/sollte man Logdateien des Webservers aufbewahren?

Hierfür gibt es keine fixen Zeiten, und wir schildern, welche Rolle die Logdateien spielen (können).

61:50 Zulässigkeit von Cookie-Walls

Wir sprechen über Cookie-Walls, die eine Art von "Kopplungsverbot" darstellen, außerdem darüber, dass es ein Kopplungsverbot an sich nirgendwo gesetzlich geregelt ist, sondern nach Art. 7 Abs. 4 DSGVO kann bei einer "Kopplung" lediglich die Freiwilligkeit ausgeschlossen wird.

65:30 Ausblick auf die E-Privacy-VO

Simon schildert,

• wo der Gesetzgebungsprozess zur E-Privacy-VO aktuell steht,
• warum der erste und die Folgeentwürfe handwerklich schlecht sind (am Beispiel der Normadressaten, also derjenigen, für die die jeweiligen Vorschriften gelten),
• wie die E-Privacy-Richtlinie bzw. -VO in Konkurrenz zur DSGVO steht und
• wie das Gesetzgebungsverfahren weitergehen kann.

Wer mehr zum EU-Gesetzgebungsverfahren wissen möchte, kann sich LB 26 ("The Making of DSGVO") mit Dr. Winfried Veil anhören.

Feedback und Wünsche gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits, @sas_assion oder @ra_stiegler!