Für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung ist die Einwilligung des Nutzers erforderlich.
Ein voreingestelltes Ankreuzkästchen ist keine rechtswirksame Einwilligung.
Eine fehlende wirksame Cookie-Einwilligung wird einem Cookie-Widerspruch gleichgestellt.
Pressemeldung im Einzelnen:
Der Bundesgerichtshof (BGH) hat nun das lange erwartete Urteil im Fall Cookie-Einwilligung II verkündet. Im Verlauf des Verfahrens hat der BGH verschiedene Fragen dem Europäischen Gerichtshof (EuGH) C‑673/17 vorgelegt, dessen Antworten als Grundlage für die vorliegende Entscheidung dienten.
Zurzeit liegt nur die Pressemeldung zum Urteil, eine siebenseitige Zusammenfassung des Urteils, vor. Der BGH hatte in einem Fall zu entscheiden, der sich im Jahr 2013 ereignete und damit noch nicht in den Anwendungsbereich der EU- Datenschutzgrund–verordnung (DS-GVO) fällt. In seinem jetzigen Urteil geht der BGH aber auf die Rechtslage nach dem Inkrafttreten der DS-GVO am 25. Mai 2018 ebenfalls ein.
Gegenstand des Verfahrens war ein Gewinnspiel der Planet 49 GmbH aus dem Jahr 2013, das im Rahmen der Anmeldung mit einem vorbelegten Ankreuzhäkchen die Zustimmung der Teilnehmer zu einer Datenerhebung und Nutzung der Online-Nutzungsdaten für Partner und Sponsoren des Gewinnspiels einholen wollte.
Ohne den endgültigen Urteilstenor vorliegen zu haben ergeben sich bereits aus der Pressemeldung gravierende Einschränkungen beim zukünftigen Umgang mit Cookies.
Der BGH sieht in Daten und Nutzungsprofilen, die durch Cookies auf der Basis von Zufallszahlen erhoben und kombiniert werden, ein pseudonymes Datum, das den Datenschutzregeln unterliegt. Diese Feststellung deckt sich mit dem Erwägungsgrund 30 der DS-GVO.
Bisher ist vor allem der deutsche Online Markt davon ausgegangen, dass ein Nutzungsverhalten, das auf Basis solcher pseudonymen Cookies erhoben und analysiert wurde, unter dem Widerrufsvorbehalt, dem sogenannten Opt-Out, möglich sei. Als Rechtsgrundlage gemäß der DS-GVO wurde das berechtigte Interesse des Online Anbieters z.B. an einer Analyse des Nutzungsverhaltens im Hinblick auf seine Angebote oder die bedarfsgerechte Gestaltung des Onlineangebots herangezogen.
Der BGH stellt nun fest, dass ohne die aktive Zustimmung des Nutzers von einem grundsätzlichen Widerspruch ausgegangen werden muss. Diese Auslegung führt im Ergebnis dazu, dass damit grundsätzlich eine Zustimmungspflicht für das Erstellen von cookiebasierten Nutzungsprofilen besteht.
In der Pressemeldung wird zudem ausdrücklich ausgeführt, dass eine wirksame Einwilligung nur dann vorliegt, wenn der Nutzer aktiv und in Kenntnis der Sachlage einer Datenverarbeitung zustimmt. Bereits der EuGH hatte in seinem Urteil festgestellt, dass die klaren und umfassenden Informationen im Rahmen der Einwilligung bedeuten, dass auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zählen.
Aus unserer Sicht unerwartet ist, dass der BGH sehr grundsätzlich für alle Cookies zur Nutzerprofilierung die Zustimmung fordert und beim Nutzungszweck oder der Frage der für die Cookies verantwortlichen Stelle nicht differenziert. First und Third Partyszenarien werden gleichwertig unter die Einwilligungspflicht gefasst.
Handlungsempfehlung
Unternehmen sollten nun umgehend alle Cookies, die nicht für den technischen Betrieb der Webseite erforderlich sind, nur noch nach aktiver Zustimmung des Nutzers zu einsetzen. Die Funktionsweise, die Zwecke und die Speicherdauer der Cookies sollten in der Datenschutzerklärung genau beschrieben werden.
Es gibt immer wieder Projekte, in denen andere Rechtsgrundlagen nicht einschlägig sind und der Betroffene eine Einwilligung abgeben muss. Die Datenschutzaufsichtsbehörden haben nun die Anforderungen an solche Einwilligungserklärungen formuliert:
Die SICODA GmbH rät alle Bereiche, die videoüberwacht werden, ausreichend zu kennzeichnen.
Videoüberwachungsanlagen sind immer deutlich zu kennzeichnen. Auch wenn der mündige Bürger davon ausgehen kann, dass alle Verkaufsbereiche videoüberwacht sind, ist ihm dies trotzdem in geeigneter Weise deutlich zu machen. Auf eine Kennzeichnung kann nur in Ausnahmefällen verzichtet werden. Das ist z.B. dann der Fall, wenn die Videoanlage so positioniert ist, dass der Betroffene Sie vor Betreten der Geschäftsräume sieht. Von dieser Erkennbarkeit kann man aber nur ausgehen, wenn diese auf Augenhöhe angebracht wurde.
Wissenschaftler der Universität Lausanne haben eine Sicherheitsgefahr für RSA Schlüssel ausmachen können. In dem Artikel Ron was wrong, Whit is right stellen die Wissenschaftler die Gefahr dar.
Das RSA Verschlüsselungsverfahren basiert auf dem Grundsatz der Komplexität. Insbesondere die Primfaktorzerlegung stellt in diesem Verfahren die besondere Herausforderung dar. Je größer und zufälliger die Primzahlen, um so schwieriger wird die Faktorzerlegung.
Die Forscher der Universität konnten feststellen, dass die Generierung der Schlüsselpaare nicht so zufällig erfolgte, wie angenommen. Die Wissenschaftler konnten in der Auswertung öffentlicher RSA Schlüssel feststellen, dass es öffentliche Schlüssel gibt, die mehr als einmal existieren. Nachrichten, die mit diesen, mehrfach existenten Schlüsseln verschlüsselt wurden, können auch von Besitzern der dann gleichen geheimen Schlüssel entschlüsselt werden.
Soweit man bei den geringen absoluten Zahlen von Kollisionen von besonders betroffenen Systemen sprechen kann, sind nach Aussage der Forscher Embedded-Geräte besonders betroffen.
Eines der Probleme kann die fehlende Zufälligkeit in der Generierung der Schlüssel sein. Gerade für solche Hardware Geräte ist es schwierig auf einen wirklichen Zufallsalgorithmus zugreifen zu können.
Die Konsequenz für Wirtschaft und Nutzer ist indes nicht ganz klar. Die Mechanismen der Schlüsselgenerierung sind nicht ohne weiteres beeinflussbar. Soweit das System aber Interaktion zur Zufälligkeit eines Schlüssels forder (z.B. Mausbewegung bei der Generierung), sollte diese Gelegenheit ernsthaft genutzt werden.
Die SICODA GmbH empfiehlt die Einwilligung als Verarbeitungserlaubnis nur dann einzusetzen, wenn es keine wirtschaftlich adäquate Alternative gibt.
Entsprechend der Version 56 der General Data Protection Regulation soll es künftig genauere Regelungen zur Einwilligung im Datenschutz geben.
Artikel 7 fordert in sechs Punkten:
Die Beweislast für das vorliegen einer Einwilligungserklärung liegt bei der verantwortlichen Stelle.
Soweit eine Erklärung im Rahmen eines schriftlichen Dokumentes abgegeben wird muss die Datenschutzerklärung deutlich hervorgehoben werden.
Der Betroffene kann die Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zurückziehen.
Soweit ein Ungleichverhältnis der Parteien besteht, soll einer Einwilligungserklärung unzulässig sein.
Eine Einwilligung darf nicht die Verarbeitungsgrundlage darstellen soweit
öffentliche Stellen hoheitlicher Aufgaben erfüllen oder
es sich um Datenverarbeitungen aus dem Arbeitsverhältnis handelt.
Die Einwilligung eines Kindes ist nur mit Genehmigung eines Erziehungs- oder Betreuungsberechtigten zulässig.
Im Ergebnis wird in dem neuen Art. 7 der Datenschutzverordnung nur gesetzlich festgelegt, was bereits § 4 BDSG geregelt ist. Auch hier wird die freiwillige schriftliche Einwilligung bereits gesetzlich vorgeschrieben.
Soweit Art. 7 Abs. 5b auf die Einwilligung im Arbeitsverhältnis eingeht, bleibt abzuwarten, inwieweit diese Regelung mit den geplanten Änderungen des § 32ff BDSG in Einklang zu bringen ist, die jedenfalls in einzelnen aufgezählten Fällen die Einwilligung im Arbeitsverhältnis zu lassen. Art. 8 dieser Verordnung schränkt die Regelungen zur Datenverarbeitung im Arbeitsverhältnis insofern ein, dass hier nationale Gesetze mit besonderen Sicherheitsmaßnahmen für die Betroffenen unter dem Schutzrahmen dieser Datenschutzverordnung bleiben können. Inwieweit diese Erleichterung auch auf Art. 7 anwendbar ist, bleibt abzuwarten.
In den Entscheidungsgründen zu Art. 7 wird ausgeführt dass eine Einwilligung im Arbeitsverhältnis niemals eine gültige Rechtsgrundlage bilden dürfe.
Wir speichern Cookies und werten den Erfolg unserer Werbemaßnahmen und die Nutzung unserer Webseite aus. Bitte akzeptieren Sie die Marketing Cookies, damit wir unser Werbebudget gezielt einsetzen können und nicht unnötig amerikanische Suchamaschinen reich machen.
Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
