EuGH: Keine Cookies ohne Zustimmung

  • Allgemein

  • mad.de
  • 787 Aufrufe 4 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • EuGH: Keine Cookies ohne Zustimmung

    In der mit Spannung erwarteten Entscheidung hat der Europäische Gerichtshof den deutschen Sonderweg bei Cookies für unzulässig erklärt.

    Webseiten dürfen Cookies nur dann auf dem Rechner der Nutzer speichern, wenn diese ausdrücklich zugestimmt haben. Zudem müssen die Nutzer detailliert informiert werden, wenn die Cookie-Daten an Dritte weitergegeben werden. Das hat der Europäische Gerichtshof in Luxemburg nun klargestellt.

    Cookie-Sonderweg
    Mit ihrer Entscheidung beenden die europäischen Richter einen deutschen Sonderweg. Bisher lässt das Telemediengesetz die Speicherung von Cookies zu, wenn die Nutzer nur informiert werden.

    Im konkreten Fall ging es um den Gewinnspiel-Anbieter Planet49, der zwar auf den eigenen Angeboten die Zustimmung zur Datenverarbeitung und für Werbeanrufe einholte, dabei die entsprechenden Checkboxen vorangekreuzt hatte. In dem bereits sechs Jahre andauernden Verfahren hatte der Bundesgerichtshof beim EuGH angefragt, ob die deutsche Gesetzeslage noch europäischem Recht entspreche.

    Der EuGH ließ die Begründung nicht gelten, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsste die explizite Zustimmung zur Datenverarbeitung erteilt werden. "Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass 'Hidden Identifiers' oder ähnliche Instrumente in sein Gerät eindringen", heißt es in der Mitteilung des Gerichts.

    Gesetzgeberische Sackgasse
    Die deutsche Politik und Wirtschaft hatte sich in den vergangenen Jahren in eine Sackgasse manövriert. So hätte Deutschland die Vorgaben aus Europa eigentlich bis 2011 umsetzen müssen, interpretierte die Richtlinie aber zu großzügig, wie auch die Datenschutzbeauftragten in mehreren Stellungnahmen hervorhoben. Aus diesem Grund sind Cookie-Banner auf rein deutschen Webseiten bisher auch deutlich subtiler als bei internationalen Betreibern. Da das deutsche Gesetz bisher nicht beanstandet wurde, hatte die Bundesregierung bisher auf Nachbesserungen verzichtet.

    Durch die Datenschutz-Grundverordnung hatte sich die Lage verändert. Eigentlich sollte parallel zu dem Gesetzeswerk auch die neue E-Privacy-Verordnung wirksam werden, die spezifische Datenschutzvorgaben für die Datenverarbeitung im Internet festlegt. Die Verabschiedung des Gesetzes scheiterte bislang unter anderem am heftigen Widerstand der deutschen Bundesregierung, die zu scharfe Datenschutz-Vorschriften verhindern will. Also gilt weiter die ePrivacy-Richtlinie von 2002, was zu dem heutigen Urteil führte.

    Cookie-Banner
    Die Rechtslage betrifft jedoch nicht nur kosmetische Änderungen auf den Websites. Denn mit den Cookie-Bannern muss den Nutzern auch die Gelegenheit gegeben werden, ihre Zustimmung zu verweigern. Die neusten Versionen von Apple Safari und Mozilla Firefox lehnen viele Cookies schon in der Voreinstellung ab – was insbesondere im Werbegeschäft zu Verlusten führt.

    Unter welchen Voraussetzungen genau die Zustimmung der Nutzer gültig sein kann, ist an vielen Stellen umkämpft. Britische Datenschützer hatten etwa das derzeit praktizierte Modell der programmatischen Werbung für unzulässig erklärt, bei dem Nutzer-Daten an eine unüberschaubare Menge von potenziellen Bietern auf Echtzeit-Werbemärkten weitergegeben wird. Werbeorganisationen und Konzerne wie Google arbeiten derzeit an neuen technischen Lösungen, um die Datenweitergabe auf ein zulässiges Maß zu beschränken.

    Quelle: EuGH: Keine Cookies ohne Zustimmung | heise online
  • Voreingestellte Einwilligung in Cookies ist unzulässig

    EuGH-Urteil 01.10.2019, 10:45 Uhr
    Voreingestellte Einwilligung in Cookies ist unzulässig
    Ein aktuelles Urteil des EuGH besagt: Die voreingestellte Einwilligung in Cookies ist unzulässig. User müssen dem Setzen der Cookies aktiv zustimmen.

    Der Europäische Gerichtshof hat entschieden: User müssen dem Setzen sogenannter Cookies nach einem Urteil des Europäischen Gerichtshofs aktiv zustimmen. Eine voreingestellte Zustimmung zum Speichern der Daten auf dem Rechner sei unzulässig, urteilten die Luxemburger Richter am Dienstag (Rechtssache C-673/17).
    Cookies speichern beim Surfen Daten auf der Festplatte des Nutzers. Beim erneuten Besuch der Webseite können mit ihrer Hilfe die Nutzer und ihre Einstellungen schneller wiedererkannt werden.

    Hintergrund

    Hintergrund ist ein Online-Gewinnspiel des Anbieters Planet49 aus Deutschland. Auf der Anmeldeseite des Gewinnspiels gibt es ein Kästchen, bei dem bereits ein Häkchen gesetzt war. Die Zustimmung in das Setzen von Cookies lag damit automatisch vor. Das Häkchen konnte jedoch auch entfernt werden.
    Der Bundesverband der deutschen Verbraucherzentrale hatte auf Unterlassung geklagt (Rechtssache C-637/17).

    Autor(in)
    dpa


    Quelle: Voreingestellte Einwilligung in Cookies ist unzulässig - onlinepc.ch
  • Nervige Cookie-Banner abschalten: So blockieren Sie die störenden Pop-Ups automatisch

    Nach einem Urteil des Europäischen Gerichtshofs nerven die DSGVO-Cookie-Banner auf fast jeder Seite. Doch das kleine Browser-Tool "I don't care about cookies" kann hier Abhilfe schaffen.

    Cookie-Banner müssen seit einiger Zeit noch größer und noch prominenter angezeigt werden. Vor dem Benutzen einer Seite müssen Sie nun immer erst eine Entscheidung fällen, welche Cookies eingesetzt werden dürfen, und diese Optionen dementsprechend bestätigen.

    Auch wenn dahinter ein guter Gedanke steckt, wird das Urteil das Surfen wohl noch komplizierter machen - doch es gibt ein Tool, das Ihnen beim Bewältigen der Bannerflut helfen kann.

    Browser-Erweiterung entfernt Cookie-Warnungen
    Sind auch Sie es mittlerweile leid, jedes Mal zu bestätigen, dass Sie zur Kenntnis genommen haben, dass die Seiten, die Sie regelmäßig besuchen Cookies einsetzen, haben wir eine einfache und schnelle Lösung für Sie.

    Die Browser-Erweiterung "I don't care about cookies" ist für den Mozilla Firefox, sowie für Google Chrome kostenlos erhältlich und lässt die Warnungen sofort verschwinden. Eine einfache Installation des Add-ons im jeweiligen Browser reicht aus. Über das Kontext-Menü lassen sich Ausnahmen für einzelne Webseiten anlegen und die gewünschten Einstellungen anpassen. Die Erweiterung funktioniert zudem nicht nur bei Cookie-Bestätigungen, sondern auch bei Auswahlfeldern. In den Einstellungen finden Sie eine Option, mit denen Sie Ihre gewünschte Wahl für die Cookie-Auswahl einmalig treffen. "I don't care about cookies" gibt diese dann automatisch an die Seite weiter.

    Quelle: Cookie-Banner auf Webseiten blockieren - so gehts - CHIP
  • E-Privacy: Kein Datensammeln aus "berechtigtem Interesse" mehr

    Die deutsche EU-Ratspräsidentschaft hat einen Entwurf für eine E-Privacy-Verordnung vorgelegt. Cookies aus "berechtigtem Interesse" wären nicht mehr möglich.

    Die Bundesregierung will verhindern, dass Betreiber von Webseiten und anderer Dienste die Erfassung von Nutzerdaten pauschal mit "berechtigtem Interesse" begründen können. Dies geht aus einem neuen Entwurf für die seit Jahren umstrittene E-Privacy-Verordnung hervor, den die deutsche Präsidentschaft des EU-Ministerrats am Mittwoch an die anderen Mitgliedsstaaten geschickt hat.

    Die Klauseln für berechtigte Interessen hat Deutschland in den Artikeln 6 und 8 des neuen Entwurfs gestrichen, in denen es um die zulässige Verarbeitung von Verbindungs- und Standortdaten sowie um Zugriffe auf Endgeräte der Nutzer und das Sammeln von Informationen etwa mithilfe von Cookies geht. Bislang krümeln einige Betreiber von Webseiten die Browser-Dateien noch ohne Information und Einwilligung auf die Festplatte. Sie verweisen dabei in der Regel auf ihr "berechtigtes Interesse".

    Generell müssen etwa Unternehmen, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Informationen von Kunden verarbeiten, dies nicht notwendigerweise durch eine rechtliche Pflicht oder einen Vertrag mit einer Person begründen. Sie können sich etwa auch auf berechtigte Interessen berufen, erläutert die EU-Kommission. Als Beispiel führt sie die Zwecke an, Direktwerbung zu betreiben, Betrug zu verhindern und die Netzwerk- und Informationssicherheit eines IT-Systems zu gewährleisten.

    Klare Regeln
    Die Bundesregierung möchte Datenverarbeitungen aus diesen Gründen weiter ermöglichen und schafft einzelne konkrete Erlaubnistatbestände dafür. Darüber hinausgehende weitere Formen des berechtigten Interesses will sie aber ausschließen. Zudem soll es Anbietern elektronischer Kommunikationsdienste wie E-Mail, Telefonie oder Messaging weiterhin möglich bleiben, Daten von Nutzern mit deren Einwilligung zu verarbeiten.

    So heißt es in den Erwägungsgründen zu Artikel 8: Die Zustimmung zum Setzen eines Cookies oder eines ähnlichen Identifizierungsmerkmals muss der Dienstleister selbst oder der Betreiber eines Anzeigennetzwerks einholen. Diese könnten diese Aufgabe auch an eine Drittpartei delegieren. Von einer solchen Einwilligung sei dann auch der erneute Besuch einer Webseite abgedeckt.

    Wer auf seiner Homepage unentgeltlich Inhalte verfügbar macht und sich über Banner finanziert, soll den Zugang dazu mit dem Aufspielen von Cookies ohne Zustimmung der Nutzer verbinden können. Auf vielen Nachrichtenseiten wie "Spiegel Online" ist diese Praxis bereits üblich. (Personalisierter) Werbung kann man dort nur entfliehen, wenn man ein kostenpflichtiges Abo abschließt. In dem Entwurf wird diese Bestimmung an die Voraussetzung geknüpft, dass der User auf Basis präziser Informationen "zwischen verschiedenen Diensten" wählen kann.

    Um Nutzer nicht mit Einwilligungsanfragen zu überlasten, bringt die Ratspräsidentschaft Softwarelösungen etwa direkt im Browser ins Spiel, "um eine spezifische und informierte Zustimmung durch transparente und benutzerfreundliche Einstellungen zu geben". So soll es möglich sein, einen oder mehrere Anbieter von Cookies für spezifische Zwecke auf eine Whitelist zu setzen. Über eine transparente Übersicht ist zu gewährleisten, dass ein Betroffener seine Einwilligung jederzeit widerrufen kann.

    "Do not track" gestrichen
    Auf ein konkretes Verfahren will die Bundesregierung hier nicht setzen: Artikel 10 zum "Do not Track"-Standard, der sich in der Praxis kaum durchsetzen konnte, hat sie gestrichen. Der Europäische Datenschutzausschuss (EDSA) soll aber einschlägige Richtlinien herausgeben und bewährte Praktiken empfehlen.

    Ein Einverständnis ist dem Plan zufolge zudem nicht nötig bei Authentifizierungs-Cookies zur Überprüfung der Identität von Nutzern, die an Online-Transaktionen beteiligt sind. Das Gleiche gilt beim Speichern von Artikel in einem Warenkorb. Cookies könnten zudem "ein legitimes und nützliches Instrument sein", um die Wirksamkeit eines bereitgestellten Dienstes etwa "für Website-Design und Werbung" zu messen oder Besucher zu zählen. Sollte es dabei aber um personalisierte Werbung und das Erstellen von Profilen über einzelne Nutzer gehen, müssten diese vorher einwilligen.

    Auch für's Internet der Dinge
    Die Verordnung soll auch für Kommunikationsübertragungen im Internet der Dinge gelten, solange diese über öffentliche Netzwerke erfolgen. Um etwa für "notwendige Prozesse" Daten auf vernetzten Thermostaten, medizinischen Geräten, intelligenten Stromzählern oder automatisierten Fahrzeugen speichern zu können, müssen Betreiber keine Einwilligung einholen.

    Anbieter sollen auch Verarbeitungs- und Speichermöglichkeiten von Endgeräten ungefragt nutzen können, um Sicherheitslücken zu beheben und einschlägige Software-Aktualisierungen vorzunehmen. Der Anwender muss über solche Updateverfahren aber prinzipiell in Kenntnis gesetzt werden und sie ausschließen können. Die Funktionalität von Hardware und Software oder vorgenommenen Datenschutzeinstellungen dürfen ferner nicht geändert werden.

    Daten sind vertraulich
    Generell sollen mit der Verordnung elektronische Kommunikationsdaten als vertraulich eingestuft und Eingriffe in die Privatheit etwa auf "notwendigen Handlungen" beschränkt werden, um eine Nachricht zu übermitteln. Genauso nötig sei es, Sicherheitsrisiken, Spam oder Angriffe auf die Endgeräte der Endnutzer erkennen und verhindern zu können.

    Metadaten dürfen Anbieter etwa für "Zwecke des Netzwerkmanagements" dessen Optimierung sowie zum Einhalten "verbindlicher technischer Anforderungen an die Dienstqualität" verarbeiten. Sie sollen auch bei berechtigten Nutzungen im Anschluss aber möglichst rasch gelöscht oder anonymisiert werden.

    Die Verordnung soll es den Mitgliedstaaten zudem nach wie vor ermöglichen, "elektronische Kommunikation rechtmäßig zu überwachen". Eingefügt wissen will Deutschland hier – im Einklang mit einem nationalen Vorhaben – eine Pflicht für die Anbieter, die zuständigen Behörden bei einschlägigen Maßnahmen Beihilfe zu leisten und sie zu unterstützen.

    Beihilfe zur Überwachung
    EU-Länder sollen zudem etwa Gesetze zur Vorratsdatenspeicherung "für einen begrenzten Zeitraum" im Lichte der Rechtsprechung des Europäischen Gerichtshofs verabschieden dürfen, "sofern dies zur Wahrung der öffentlichen Interessen erforderlich und verhältnismäßig ist". Dass Facebook, Google & Co. nach wie vor private Nutzernachrichten ohne Anlass und Verdacht auf Darstellungen sexuellen Kindesmissbrauchs hin scannen können, will der Rat über einen separaten Verordnungsentwurf regeln.

    Standortdaten sollen für Forschungs- und Statistikzwecke aggregiert und ohne direkten Personenbezug verarbeitet sowie in grafische Übersichten mit temporären Identifikationsmerkmalen für Individuen eingefügt werden dürfen. Sie könnten auch genutzt werden, "um die vitalen Interessen des Endnutzers oder einer anderen natürlichen Person zu schützen". Dabei hat die Bundesregierung etwa "humanitäre Zwecke, einschließlich der Überwachung von Epidemien und ihrer Ausbreitung" im Blick.

    Auch für Direktmarketing im Rahmen bestehender Kundenbeziehungen werden Optionen unter bestimmten Vorgaben eröffnet. Greifen sollen die Vorschriften nach 24 Monaten, während bisher eine Übergangszeit von einem Jahr geplant war. Wenn die anderen EU-Staaten mitziehen, könnte der Rat seinen gemeinsamen Standpunkt noch in diesem Jahr festzurren und dann in die Verhandlungen mit dem EU-Parlament eintreten. Die Abgeordneten hatten ihre Position bereits 2017 abgesteckt. Hierzulande plant das Wirtschaftsministerium auch eigene Regeln für Cookies und standortbasierte Werbung.

    Quelle: E-Privacy: Kein Datensammeln aus "berechtigtem Interesse" mehr | heise online
  • EU-Rat: Bundesregierung gibt bei der E-Privacy-Verordnung vorerst auf

    Der deutschen EU-Ratspräsidentschaft ist es nicht gelungen, die anderen Mitgliedsstaaten auf eine gemeinsame Linie etwa zum Setzen von Cookies zu bewegen.

    Die Initiative der Bundesregierung, im EU-Ministerrat einen Neustart bei der seit Langem heftig umstrittenen E-Privacy-Verordnung hinzubekommen und die Mitgliedsstaaten auf eine gemeinsame Position hinzubewegen, ist gescheitert. Es sei inzwischen klar, dass auch im Rahmen der deutschen Ratspräsidentschaft keine Verständigung mehr erreicht werde, hieß es laut der Gesellschaft für Datenschutz und Datensicherheit (GDD) auf deren online abgehaltenen Jahrestagung.

    Portugal übernimmt
    Damit sei es jetzt an den Portugiesen, sich um eine gemeinsame Linie für den Datenschutz in der elektronischen Kommunikation zu bemühen, zitiert die GDD Rolf Bender, Referent für Normung, Standardisierung und Sicherheit im Bundeswirtschaftsministerium (BMWi).Die deutsche Ratspräsidentschaft endet zum Jahreswechsel, dann übernimmt Portugal das Zepter. Die vorerst erneut gescheiterte "allgemeine Ausrichtung" des Gremiums der Regierungsvertreter ist die Voraussetzung dafür, dass die Verhandlungen mit dem EU-Parlament und der Kommission über einen Kompromiss starten können.

    Die europäischen Abgeordneten hatten ihren Kurs bereits 2017 abgesteckt. Der Rat kam aber lange Zeit nicht vom Fleck, die Regierungsvertreter legten das Vorhaben im vergangenen Jahr auf Eis. Die Bundesregierung veröffentlichte Anfang November nach einer Sondierungsrunde dann einen neuen Entwurf, der sich nun aber auch nicht als konsensfähig erwies.

    Deutschland wollte mit seinem Vorschlag verhindern, dass Betreiber von Webseiten und anderer Dienste für elektronische Kommunikation weiterhin persönliche Daten von Nutzern aus pauschalem "berechtigtem Interesse" erheben, speichern und auswerten dürfen. Die Regierung strich die entsprechende Klausel in den Artikeln 6 und 8 des Entwurfs.

    "Berechtigtes Interesse"?
    Firmen können sich bislang unter anderem auf ihr legitimes Interesse berufen, um etwa Direktwerbung zu betreiben, Betrug zu verhindern und die Netzwerk- und Informationssicherheit eines IT-Systems zu gewährleisten. Dafür erforderliche Datenverarbeitungen sollten weiter möglich sein, darüber hinaus gehende aber nicht mehr. Für das Setzen eines Cookies oder eines ähnlichen Identifizierungsmerkmals hätte dann eine Einwilligung eigeholt werden müssen. Der Nutzer hätte eine solche auch über Browser-Einstellungen signalisieren können.

    Aus BMWi-Kreisen war zu vernehmen, dass das deutsche Papier im Rat als zu restriktiv und wirtschaftsfeindlich aufgefasst worden sei. Dies habe auch daran gelegen, dass das Bundesjustizministerium auf vergleichsweise strenge Vorgaben gedrängt habe. Portugal werde nun voraussichtlich wieder auf den älteren finnischen Kompromissvorschlag zurückgreifen.

    Telekommunikations-Telemedien-Datenschutz-Gesetz
    Auf nationaler Ebene plant das Wirtschaftsministerium mit seinem Entwurf für ein Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) nun eigene Regeln. Auch hier ist aber noch nicht klar, ob das Justizministerium mitzieht. Mit diesem Vorhaben will das BMWi erstmals die Vorgaben zu Cookies aus der 2009 überarbeiteten EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation im Lichte der Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen.

    Der parlamentarische Innenstaatssekretär Günter Krings begrüßte auf dem GDD-Kongress das Bestreben, die Datenschutzbestimmungen im Telekommunikations- und Telemedienbereich in einem einheitlichen Gesetz zusammenzuführen. Der gegenwärtig bestehende rechtliche Flickenteppich müsse schnellstmöglich beseitigt und Rechtssicherheit geschaffen werden, meinte der CDU-Politiker. Auf die E-Privacy-Verordnung könne man nicht länger warten, das TTDSG aber als Vorlage für einen angemessenen Interessenausgleich auf EU-Ebene dienen.

    Bei dem Ansatz, mit der nationalen Initiative auch Personal Information Management Services (PIMS) und damit verknüpfbare Voreinstellungen zu regeln, mahnte Klaus Müller, Vorstand des Bundesverbands der Verbraucherzentralen (vzbv) zur Vorsicht. Solche Dienste seien zwar prinzipiell zu begrüßen. Es müsse aber sichergestellt sein, dass es sich dabei nur um neutrale Vermittler ohne eigene wirtschaftliche Interessen an der Verwertung der verwalteten Informationen handle.

    Quelle: EU-Rat: Bundesregierung gibt bei der E-Privacy-Verordnung vorerst auf | heise online