Télécharger en PDF

Contribution de David Rosenthal à l’occasion des cinq ans de LawInside.ch

Pour célébrer les cinq ans de LawInside.ch, nous avons demandé à des personnalités actives dans le monde juridique en Suisse romande et alémanique de commenter un arrêt comme contributeurs externes de LawInside.ch.

Comme deuxième contributeur, nous avons le plaisir d’avoir franchi le röstigraben avec David Rosenthal, chargé de cours à l’EPFZ et à l’Université de Bâle. Il est un spécialiste reconnu en matière de protection des données et droit des nouvelles technologies, matières qu’il a pratiquées durant de nombreuses années au sein de l’Étude d’avocats Homburger à Zurich. Egalement corédacteur d’un ouvrage de référence en matière de protection des données, M. Rosenthal travaille actuellement en tant qu’indépendant.

Vous trouverez ci-dessous le résumé et l’analyse de David Rosenthal en français (version traduite par Simone Schürch) et en allemand (version originale) d’un arrêt de la Cour de justice de l’Union européenne en matière de consentement en lien avec l’utilisation de cookies sur les sites Internet.

Français

CJUE, 01.10.2019, C–673/17 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. c. / Planet49 GmbH)

Dans l’Espace économique européen (EEE), les utilisateurs de sites web et d’applications ne peuvent être surveillés dans leur comportement au moyen de cookies ou de techniques similaires sans qu’ils y aient consenti spécifiquement par un comportement actif. Des cases cochées par défaut ne sont pas suffisantes pour retenir un consentement. Les utilisateurs doivent également avoir été informés de la possibilité d’accès aux cookies par des tiers et de la durée de vie des cookies. Cela s’applique même aux données anonymes. Suite à la décision de la CJUE dans l’affaire “Planet49” résumée ici, de nombreuses entreprises devront adapter leur approche en matière de cookies. Ces exigences ne sont toutefois pas applicables en Suisse pour l’instant.

Faits

Planet49 GmbH (“Planet49”) organise un concours en ligne à des fins publicitaires. Pour participer, les internautes doivent cocher une case figurant dans le formulaire d’inscription. Une autre case du formulaire est déjà cochée et permet à Planet49 de stocker des “cookies”, utilisés dans le but de collecter des informations sur le comportement de navigation des utilisateurs à des fins publicitaires pour les produits des partenaires de Planet49. Une association allemande de consommateurs ouvre action contre Planet 49. Le Bundesgerichtshof allemand (BGH) saisit la Cour de justice de l’Union européenne (CJUE) de la question de savoir si cette manière de recueillir le consentement au stockage des cookies est valable.

Droit

L’utilisation de cookies et de technologies similaires est réglementée dans l’EEE par le Règlement général sur la protection des données (RGPD) et la Directive vie privée et communications électroniques (et la législation nationale d’application). L’utilisation de cookies (codes d’identification transmis par un serveur au navigateur de l’utilisateur et conservés par ce dernier) permet de suivre l’utilisateur ou son navigateur lors de la navigation sur le site et de le reconnaître lors de sa prochaine visite, et ce même s’il ne s’enregistre pas ou ne se connecte pas personnellement. En vertu de l’art. 5 al. 3 de la Directive vie privée et communications électroniques, l’utilisation de cookies à des fins publicitaires ou de tracement n’est en principe autorisée que si l’utilisateur a “donné son accord”.

Dans son arrêt, la CJUE estime qu’une case cochée par défaut sur un formulaire ne répond pas aux exigences de la Directive vie privée et communications électroniques. En particulier, elle déduit de la formulation du législateur, selon laquelle le consentement doit être “donné”, qu’une action (comportement actif) de la part de l’internaute est requise (consid. 49). Si, comme dans le cas présent, la case d’un formulaire de participation est cochée par défaut et l’utilisateur clique sur le bouton de participation du formulaire (en confirmant donc le formulaire dans son ensemble), il est impossible de déterminer si l’utilisateur a également consenti à l’utilisation de cookies ou s’il a simplement négligé de lire la case en question. L’existence du consentement doit en effet être établie “indubitablement”, exigence qui ne peut être remplie qu’en présence d’un comportement actif de l’internaute (consid. 54 ss). Partant, la CJUE considère qu’un consentement global n’est pas suffisant pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies (consid. 59).

Bien que la CJUE n’ait pas à juger l’affaire sous l’angle du RGPD, elle estime que la validité du consentement était conforme au standard prescrit par le RGPD et que la conclusion était dès lors la même en application de cette règlementation (consid. 60 ss). La CJUE considère toutefois que cette exigence relative au consentement en ce qui concerne l’utilisation de cookies s’applique même en l’absence de données à caractère personnel et donc même dans les cas où le RGPD en tant que tel n’est pas applicable. La CJUE justifie cela par le fait que la Directive vie privée et communications électroniques vise à protéger la vie privée des utilisateurs, laquelle est toujours affectée si un serveur stocke un cookie ou un autre code d’identification caché sur l’appareil de l’utilisateur à son insu (consid. 70). Ainsi, même pour un “suivi” anonyme au moyen de cookies et de techniques similaires le consentement de l’internaute est nécessaire. En revanche, selon la CJUE, le RGPD ne devrait être applicable que si des cookies personnels sont impliqués, ce qui était le cas dans l’affaire à l’origine de la décision résumée ici (consid. 71).

Enfin, la CJUE estime que le consentement n’est valable que si l’utilisateur a été suffisamment informé à l’avance concernant l’utilisation de cookies, y compris au sujet de la “durée de conservation” des cookies et de la “possibilité pour des tiers d’avoir accès à ces cookies” (consid. 79 ss).

Dans le cas de Planet49, la participation au concours n’était possible que si l’utilisateur acceptait que ses données personnelles fussent également utilisées à des fins publicitaires. La CJUE n’a pas eu à déterminer si ce lien était admissible et a donc laissé la question ouverte (consid. 64).

Note

La plupart des internautes sont agacés par le flot de pop-ups liés aux cookies, ceux-ci empêchant l’accès au contenu des pages consultées lors de la navigation. Ils les perçoivent comme inutiles et harcelants. Une “mentalité de cliquer et fermer sans lire le contenu (Wegclick–Mentalität)” s’est donc développée : la plupart des cases à cocher dans ces pop-ups sont cochées sans être lues et ainsi – soi-disant – acceptées.

Les législateurs et les autorités chargées de la protection des données s’opposent à cette tendance en développant des normes de plus en plus strictes visant à protéger les personnes concernées de leur propre “ignorance”. La décision de la CJUE doit également être appréhendée dans ce contexte. Il est probable qu’à l’avenir les internautes, du moins dans l’EEE, devront se poser d’autant plus la question de savoir si refuser l’utilisation de cookies ou accepter simplement que quelqu’un les “trace” et, dès lors, qu’une publicité personnalisée au lieu de n’importe quel type de publicité leur soit affichée. Le cas de Planet49 concernait précisément de la publicité et la divulgation – nota bene anonyme – des données liées aux cookies. Rien de particulièrement délicat, donc. Cependant, le fait que seules des données anonymes étaient concernées n’était pas pertinent pour la CJUE : dès lors que les données relatives à la reconnaissance de l’utilisateur – à savoir les cookies – étaient stockées sur l’ordinateur de l’utilisateur, sa vie privée était violée et son consentement était donc requis en vertu de la Directive vie privée et communications électroniques. A noter que techniquement parlant, les utilisateurs peuvent aujourd’hui être reconnus et suivis même sans cookies, au moyen de l’empreinte digitale liée à la configuration de leur ordinateur et de certaines parties de l’adresse IP.

Ce n’est pas sans une certaine ironie que la CJUE se considère maintenant appelée à devoir protéger l’utilisateur contre la « mentalité de cliquer et fermer sans regarder » que le législateur européen lui-même a créée. Au vu de la situation, la CJUE n’a pas retenu la validité du consentement recueilli par Planet49 (obtenu en soi de façon exemplaire) car la plateforme devait partir du principe que les utilisateurs ne liraient pas de tels textes. Le fait que les internautes se soient lassés des nombreux consentements requis en matière de cookies est bien entendu le résultat de la réglementation, celle-ci obligeant d’innombrables sites web de l’EEE à demander de tels consentements aux utilisateurs. Cette règlementation est à son tour basée sur la (mauvaise) prémisse que nombre de problèmes en matière de protection des données – et d’utilisation de cookies – puissent être résolus de manière tout à fait élégante en faisant dépendre le traitement des données du consentement de la personne concernée.

La liste de souhaits des protecteurs de données s’allonge

La CJUE n’est pas la seule entité à s’interroger sur la manière dont le consentement des utilisateurs pourrait être obtenu pour qu’il ait une quelconque valeur compte tenu de la mentalité de clique qui prévaut sur Internet. Le commissaire britannique à la protection des données, l’Information Commissioner (ICO) a notamment publié l’année dernière de nouvelles lignes directrices sur l’utilisation des cookies, selon lesquelles un certain nombre de sites web devraient être considérés comme illégaux pour ce qui est des cookies : selon l’ICO, il ne suffit plus aujourd’hui qu’un internaute confirme le placement de cookies. En plus du bouton “OK” pour accepter l’utilisation de cookies, il devrait y avoir au moins un autre bouton pour rejeter tous les cookies. Un tel bouton ne devrait pas être relégué à un second niveau où l’on peut trouver des informations complémentaires en cliquant sur un lien. On relèvera qu’il y a quelques années encore, l’ICO considérait que le fait de poursuivre la navigation malgré un avertissement concernant les cookies était une expression suffisante du consentement de l’utilisateur.

Les autorités allemandes de protection des données vont encore plus loin dans leur perfectionnisme habituel : elles exigent que chaque utilisateur puisse non seulement accepter ou refuser les cookies, mais aussi qu’il ait la possibilité de prendre des décisions différenciées, c’est-à-dire qu’il puisse déterminer séparément pour chaque type de cookie s’il peut être placé ou non. Le fait que, dans la pratique, pratiquement aucun utilisateur ne fasse usage de cette liberté de choix, simplement parce qu’il n’a pas le temps et la patience nécessaires, est aussi peu pertinent que l’effort lié à une telle approche. Ainsi, il existe une catégorie de personnes qui profite de cette liste de souhaits de plus en plus longue en matière de protection des données : les fournisseurs de logiciels du type “Cookie Consent Manager”, avec lesquels les entreprises peuvent mettre en œuvre les exigences en constante évolution imposées par les organismes de protection des données s’agissant des déclarations de consentement. Ainsi, depuis de nombreuses années les producteurs de ces softwares font de très bonnes affaires.

Et en Suisse ?

En Suisse, rien de tout cela ne trouve application à présent – ce qui paraît raisonnable – et il n’est pas prévu de modifier la loi pour le moment. Dans notre pays, les informations sur les cookies doivent être fournies dès qu’elles sont personnelles. Dans de rares cas, le consentement est également nécessaire ; ceux qui ne veulent pas de cookies peuvent sans autres les bloquer efficacement dans leur navigateur.

La validité des consentements est jugée selon les principes habituels applicables en droit suisse de la protection des données. En soumettant un formulaire, l’utilisateur transmet une déclaration de volonté correspondant au contenu du formulaire ; si dans un tel formulaire une case de consentement est cochée, peu importe si celle-ci était déjà cochée auparavant. Seul importe que la case était placée de manière bien visible au-dessus du bouton par lequel l’utilisateur confirme l’ensemble du formulaire et de son contenu. En droit suisse, un tel consentement est non seulement explicite mais est aussi donné par un comportement actif dès lors qu’il nécessite que l’utilisateur clique sur la souris.

Ce point de vue est cohérent et existe depuis longtemps. Dans le cas d’un formulaire sur papier, personne n’affirmerait que des parties du formulaire ne seraient pas couvertes par la volonté du déclarant simplement parce qu’elles n’auraient pas fait l’objet d’une confirmation séparée par celui-ci. Le consentement ne pourrait être remis en question que pour ce qui concerne des contenus insolites sur lesquels l’attention de la personne concernée n’aurait pas été attirée. C’est pourquoi, en droit suisse, une case peut être cochée par défaut sur un formulaire de consentement. Cela ne devrait pas changer avec l’actuelle révision de la LPD.

Les cookies ne sont pas toujours des données personnelles

Deux autres aspects de la décision de la CJUE méritent d’être mentionnés : premièrement, la décision précise que les cookies ne sont pas per se des données à caractère personnel. En Suisse, ceci n’est pas nouveau – les cookies ne sont considérés comme des données personnelles que si la personne qui les place et peut y accéder sait qui est la personne touchée. Toutefois, les autorités de protection des données de l’EEE ont à plusieurs reprises estimé que le RGPD s’appliquait également à l’utilisation de cookies anonymes. Elles voulaient ainsi que le champ d’application de la loi sur la protection des données comprenne également la surveillance anonyme de personnes. En termes techniques, il s’agit de données qui “singularisent” un utilisateur, c’est-à-dire qui le distinguent de tous les autres, sans toutefois l’identifier.

Dans la décision résumée ici, la CJUE clarifie que malgré le fait que la Directive vie privée et communications électroniques – laquelle requiert le consentement – couvre également les cookies anonymes, une distinction doit être faite quant à savoir si les cookies ont effectivement un lien à la personne ou non en application du RGPD. La singularisation, comme c’est le cas pour les cookies anonymes, n’est donc pas suffisante pour conclure à l’applicabilité du RGPD. Si le RGPD n’est pas applicable, à défaut d’être en présence de données personnelles, les dispositions y relatives s’agissant des amendes ainsi que son extraterritorialité ne s’appliquent pas non plus. Ainsi, si un site web suisse suit le comportement de ses utilisateurs mais ne les identifie pas, le RGPD ne devrait pas trouver application.

Deuxièmement, la CJUE indique clairement au Bundesgerichtshof allemand, qui avait soumis les questions préjudicielles, que les dispositions de droit européen telles que la Directive vie privée et communications électroniques doivent être interprétées de manière autonome et non selon une interprétation nationale (à savoir allemande). À l’heure actuelle, l’Allemagne a transposé l’exigence de consentement prévue par la Directive vie privée et communications électroniques dans le droit national d’une manière différente de ce qui est prévu par la Directive. Dès lors, la disposition correspondante de la loi allemande sur les télécommunications devra faire l’objet d’une révision.

Effets de la décision

De nombreux exploitants de sites web dans l’EEE devront adapter leurs bannières de cookies et prévoir la possibilité de refuser l’utilisation de cookies qui ne sont pas strictement nécessaires au fonctionnement du site web aussi facilement que le consentement peut être donné. Le nombre de “boutons” auxquels un utilisateur sera confronté est donc destiné à augmenter.

Cela vaut également en ce qui concerne les informations qui doivent être fournies à l’utilisateur : bien que Planet49 fournissait de nombreuses informations sur l’utilisation des cookies, cela n’a pas suffi à la CJUE, celle-ci ayant demandé que davantage d’informations soient fournies. En théorie on comprend aisément pourquoi un utilisateur devrait savoir combien de temps un cookie reste fonctionnel, soit afin de pouvoir prendre une décision en connaissance de cause sur le sujet. Cependant, la CJUE ne tient pas en compte le fait que les utilisateurs sont déjà submergés par les avis liés à protection des données qui leur sont constamment affichés et qu’ils ne veulent donc pas du tout prendre de décision, mais plutôt faire disparaître le plus rapidement possible les pop-ups liés aux cookies.

Il serait plus judicieux d’avoir un règlement qui permette à l’utilisateur de contrôler, via son navigateur, qui est autorisé à le tracer et comment. Jusqu’à présent, l’industrie n’a pas vraiment su se mettre d’accord sur ce point, pas plus que le législateur. Le projet de règlement destiné à succéder à la Directive vie privée et communications électroniques, le Règlement sur la vie privée et les communications électroniques, a échoué jusqu’à présent en raison de divergences politiques notamment en ce qui concerne le traitement des cookies

Deutsch

EuGH, 1.10.2019, C-673/17 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH)

Im EWR dürfen Benutzer auf Websites und Apps mittels Cookies oder ähnlichen Techniken in ihrem Verhalten nur und erst überwacht werden, wenn diese darin durch eine aktive Handlung separat eingewilligt haben. Vorangekreuzte Kästchen genügen nicht. Benutzer müssen zudem darüber informiert worden sein, ob Dritte auf die Cookies Zugriff haben und wie lange die Cookies bestehen. Das gilt selbst bei anonymen Daten. Nach dem Entscheid des EuGH i.S. « Planet49 » werden viele Unternehmen ihre Vorgehensweise bei Cookies anpassen müssen. In der Schweiz gelten solche Vorgaben bisher aber nicht.

Sachverhalt

Planet49 GmbH (« Planet49 ») betrieb ein Online-Gewinnspiel zu Werbezwecken. Auf dem Teilnahmeformular musste ein Internetbenutzer ein Kästchen zur Teilnahme ankreuzen. Ein weiteres Kästchen auf dem Formular war schon angekreuzt und sollte Planet49 das Speichern eines « Cookie » erlauben, mit welchem Informationen über das Surfverhalten des Benutzers für Werbezwecke für Produkte der Partner von Planet49 gesammelt werden sollte. Dagegen klagte ein deutscher Verbraucherverband. Der deutsche Bundesgerichtshof (BGH) legte dem Europäischen Gerichtshof (« EuGH ») im Kern die Frage vor, ob eine solche Einwilligung in die Speicherung eines Cookie gültig sei.

Rechtliches

Der Einsatz von Cookies und ähnlichen Techniken ist im EWR sowohl von der EU-Datenschutz-Grundverordnung (DSGVO) als auch von der ePrivacy-Richtlinie (und ihren nationalen Umsetzungsgesetzen) regelt. Mit dem Setzen eines Cookie (einem von einem Server an den Browser des Benutzers übermittelter und von diesem aufbewahrter Identifikatioscode) kann der Benutzer bzw. sein Browser beim Surfen auf der Website verfolgt und beim nächsten Besuch wiedererkannt werden, auch wenn er sich nicht persönlich registriert oder anmeldet. Cookies zur Werbe- oder Trackingzwecken sind nach Art. 5 Abs. 3 der ePrivacy-Richtlinie grundsätzlich nur zulässig, wenn der Benutzer seine « Einwilligung gegeben » hat.

Der EuGH befand, dass ein vorangekreuztes Kästchen auf einem Formular den Anforderungen der ePrivacy-Richtlinie nicht genügt. Aus der Formulierung des Gesetzgebers, wonach die Einwilligung « gegeben » werden muss, schloss er, dass eine aktive Einwilligungshandlung erforderlich ist (Rn. 49). Ist das Kästchen auf einem Teilnahmeformular wie im vorliegenden Fall vorangekreuzt und klickt der Benutzer auf dem Teilnahmeformular auf die Schaltfläche zur Teilnahme (d.h. zur Bestätigung des Formulars als Ganzes), lasse sich unmöglich feststellen, ob der Benutzer damit auch in das Speichern der Cookies eingewilligt habe oder das fragliche Kästchen schlicht übersehen oder nicht gelesen habe. Das Vorliegen einer Einwilligung müsse aber « ohne jeden Zweifel » feststehen, was nur bei einer aktiven Handlung der Fall sei (Rn. 54 f.). Eine globale Einwilligung in das Formular lässt der EuGH somit nicht genügen (Rn. 59).

Obwohl der EuGH den Fall nicht unter der DSGVO zu beurteilen hatte, befand er, dass sich die Gültigkeit der Einwilligung dem Standard der DSGVO entspreche und sich dort dasselbe ergebe (Rn. 60 ff.). Der EuGH hielt allerdings auch fest, dass dieses Einwilligungserfordernis auch dann gelte, wenn mit dem Cookie gar keine Personendaten bearbeitet werden und daher die DSGVO an sich gar nicht zur Anwendung kommen würde. Der EuGH begründete dies damit, dass die ePrivacy-Richtlinie die Privatsphäre der Benutzer schützen soll, und diese sei in jedem Fall tangiert, wenn ein Server ein Cookie oder sonst ein verborgener Identifikationscode auf dem Gerät des Benutzers ohne deren Wissen speichert (Rn. 70). Somit braucht es selbst für ein anonymes « Tracking » mit Hilfe von Cookies und ähnlichen Techniken eine Einwilligung. Die DSGVO soll dagegen gemäss EuGH nur dann anwendbar sein, wenn es sich um personenbezogene Cookies handelt, was im konkreten Fall allerdings auch gegeben war (Rn. 71).

Der EuGH befand schliesslich, dass eine Einwilligung nur dann gültig ist, wenn der Benutzer vorab hinreichend über den geplanten Einsatz von Cookies informiert worden ist, wozu unter anderem Angaben zur « Funktionsdauer » des Cookies gehören und « ob Dritte Zugriff auf die Cookies erhalten » (Rn. 79 f.).

Im Falle von Planet49 war eine Teilnahme am Gewinnspiel nur möglich, wenn der Benutzer der Nutzung ihrer Personendaten auch für Werbezwecke zustimmen. Ob diese Koppelung ebenfalls zulässig ist, hatte der EuGH nicht zu beurteilen und liess die Frage daher offen (Rn. 64).

Kommentar

Die meisten Internet-Benutzer ärgern sich über die Schwemme von « Cookie »-Popups, die ihnen beim Surfen den Weg auf die Inhalte versperren. Sie empfinden sie als unnötig und schikanös. Es hat sich darum eine « Wegclick-Mentalität » entwickelt : Die meisten Einwilligungserklärungen werden ungelesen weggeklickt und damit – vermeintlich – bestätigt.

Dem wiederum stehen Gesetzgeber und Datenschutzbehörden gegenüber, die mit immer strengeren Vorgaben die betroffenen Personen vor ihrer eigenen « Ignoranz » schützen wollen. Hier ist auch der Entscheid des EuGH einzuordnen. Er dürfte bewirken, dass sich Internet-Nutzer jedenfalls im EWR beim Surfen im Netz künftig noch stärker mit der Frage beschäftigen müssen, ob sie Cookies ablehnen oder ob es ihnen schlicht egal ist, ob sie jemand « trackt » und daher personalisierte statt irgendwelche Werbung anzeigt. Um Werbung ging es auch im Fall von Planet49, und um eine – notabene anonyme – Weitergabe von Cookie-Daten. Nichts besonders Heikles also. Dass nur anonyme Daten weitergegeben wurden, spielte für den EuGH jedoch konsequenterweise keine Rolle : Weil die Daten zu Wiedererkennung der Benutzer – sprich : die Cookies – auf dem Rechner des Benutzers gespeichert werden, sei die Privatsphäre verletzt und darum braucht es gemäss ePrivacy-Richtlinie die Einwilligung. Technisch lassen sich Benutzer heutzutage anhand des « Fingerabdrucks » ihrer Computerkonfiguration und Teile der IP-Adresse übrigens auch ohne Cookies wiedererkennen und tracken.

Es entbehrt nicht einer gewissen Ironie, dass der EuGH sich nun berufen sieht, den Benutzer vor genau jener Wegklick-Mentalität zu schützen, die der EU-Gesetzgeber selbst verursacht hat. Denn bei Lichte betrachtet liess der EuGH die (an sich vorbildlich formulierte) Einwilligung von Planet49 deshalb nicht gelten, weil er davon ausgehen musste, dass Benutzer solche Texte gar nicht (mehr) lesen. Dass Internet-Benutzer der ganzen Cookie-Einwilligungen überdrüssig sind, ist freilich das Ergebnis jener Regulierung, die unzählige Websites im EWR dazu zwingt sie vom Benutzer abzuverlangen. Diese Regulierung ist wiederum im (Fehl)verständnis begründet, dass sich viele Probleme im Datenschutz – und beim Einsatz von Cookies – elegant lösen lassen, indem eine Datenbearbeitung von der Einwilligung der betroffenen Person abhängig gemacht wird.

Die wachsende Wunschliste der Datenschützer

Es kämpft jedenfalls nicht nur der EuGH mit der Frage, wie angesichts der Wegclick-Mentalität im Internet Einwilligung eingeholt werden müssen, damit sie überhaupt noch etwas wert sind. Der britische Datenschutzbeauftragte, der Information Commissioner (ICO), publizierte letztes Jahr zum Beispiel neue Richtlinien für den Einsatz von Cookies, nach denen etliche Websites punkto Cookie-Consent als rechtswidrig erachtet werden müssen : Seiner Meinung nach genügt es heute nicht mehr, dass ein Internet-Benutzer das Setzen von Cookies lediglich bestätigen muss. Neben einem solchen « OK »-Knopf zum Annehmen aller Cookies muss demnach mindestens auch ein Knopf zum Ablehnen aller Cookies vorhanden sein. Er darf auch nicht auf eine zweite Ebene verbannt werden, wo sich beim Anklicken eines Links weitergehende Angaben finden. Noch vor einigen Jahren hatte der ICO vertreten, das Weitersurfen trotz Cookie-Hinweis bringe die Einwilligung hinreichend zum Ausdruck.

Die deutschen Datenschutzbehörden gehen in ihrem üblichen Perfektionismus noch einen Schritt weiter : Sie verlangen, dass jeder Benutzer Cookies nicht nur annehmen oder ablehnen können muss, sondern ihnen die Möglichkeit differenzierter Entscheidungen gegeben wird, d.h. sie für jede Art von Cookie separat bestimmen können müssen, ob es gesetzt werden darf oder nicht. Dass in der Praxis kaum ein Benutzer diese Wahlfreiheit nutzt, weil ihm schlicht die Zeit und Geduld für solche Spielereien fehlt, ist ebenso irrelevant wie der damit verbundene Aufwand. Und so gibt es eine Gruppe von Profiteuren dieser ständig wachsenden Wunschliste der Datenschützer, die sich die Hände reiben : Es sind im vorliegenden Fall die Anbieter von « Cookie Consent Manager »-Software, mit denen Betriebe die ständig neuen Anforderungen der Datenschützer punkto Einwilligungserklärungen auf ihren Websites umsetzen können. Sie machen seit einigen Jahren gute Geschäfte damit.

Und in der Schweiz ?

In der Schweiz gilt dies alles bis jetzt vernünftigerweise nicht, und eine Gesetzesanpassung ist im Moment nicht vorgesehen. In der Schweiz muss über Cookies informiert werden, sobald sie personenbezogen sind. Selten Fällen kann auch eine Einwilligung nötig sein ; wer Cookies nicht will, kann sie in seinem Browser wirkungsvoll blockieren.

In der Schweiz wird auch die Gültigkeit von Einwilligungen im Datenschutz noch nach denselben Grundsätzen beurteilt wie sonst im Schweizer Recht. Durch das Absenden eines Formulars gibt der Benutzer eine Willenserklärung mit dem Inhalt des Formulars ab ; ist darin ein Kästchen mit einem Einwilligungstext angekreuzt, kommt es nicht mehr darauf an, ob es vorher schon angekreuzt war. Es zählt nur, ob es gut sichtbar über dem Button platziert war, mit welchem das gesamte Formular und sein Inhalt bestätigt wird. Eine so zustande gekommene Einwilligung ist nach Schweizer Recht nicht nur eine ausdrückliche, sondern auch eine aktive Erklärung, weil sie den Mausklick des Benutzers erforderte.

Diese Sichtweise ist konsequent und besteht seit je her. Bei einem Formular aus Papier käme normalerweise auch niemand auf die Idee, Teile eines Formulars als nicht vom Willen des Erklärenden erfasst zu betrachten, nur weil sie von ihm nicht gesondert bestätigt wurde. Nicht gültig eingewilligt hätte ein Benutzer bei einer Formularerklärung einzig in nicht besonders hervorgehobene und zugleich ungewöhnliche Inhalte. Darum darf nach Schweizer Recht ein Kästchen auf einem Formular bereits angekreuzt sein. Das soll sich mit der Revision des DSG nicht ändern.

Cookies sind nicht immer Personendaten

Erwähnenswert sind noch zwei weitere Aspekte des EuGH-Entscheids : Der Entscheid macht erstens klar, dass Cookies nicht per se als Personendaten gelten. In der Schweiz ist diese Erkenntnis nicht neu – als Personendaten gelten Cookies nur, wenn derjenige, der sie setzt und abrufen kann, weiss, wer die betreffende Person ist. Datenschutzbehörden hatten im EWR jedoch immer wieder die Ansicht vertreten, dass die DSGVO auch auf den Einsatz anonymer Cookies Anwendung findet. Damit wollten sie auch die nicht-identifizierende Überwachung von Personen datenschutzrechtlich erfassen können. In der Fachsprache ist dabei von Daten die Rede, welche einen Benutzer zwar « singularisieren », d.h. ihn von allen anderen Benutzern unterscheiden, ihn aber nicht identifizieren.

Der EuGH stellte mit seinem Entscheid nun klar, dass zwar die ePrivacy-Richtlinie, welche eine Einwilligung verlangt, auch anonyme Cookies erfasst, unter der DSGVO jedoch danach unterschieden werden muss, ob bei den jeweiligen Cookies tatsächlich ein Personenbezug vorliegt. Eine Singularisierung, wie sie bei anonymen Cookies vorliegt, genügt demnach nicht. Ist die DSGVO mangels Personendaten nicht anwendbar, kommen auch deren Bussenregelungen und Bestimmungen zur Extraterritorialität nicht zur Anwendung. Wenn also eine Schweizer Website zwar das Verhalten ihrer Benutzer verfolgt, diese aber nicht identifiziert, muss nicht mit der Anwendbarkeit der DSGVO gerechnet werden.

Zweitens hat der EuGH dem deutschen Bundesgerichtshof, von welchem die Vorlagefragen stammten, deutlich gemacht, dass europarechtliche Vorschriften wie die ePrivacy-Richtlinie eigenständig auszulegen sind und nicht nach einem nationalen (sprich : deutschem) Verständnis. Deutschland hatte das Einwilligungserfordernis der ePrivacy-Richtlinie im nationalen Recht bisher nämlich anders umgesetzt als vorgesehen. Wie zu vernehmen ist, soll die betreffende Bestimmung im deutschen Telemediengesetz nun angepasst werden.

Auswirkungen des Entscheids

Derweil werden viele Website-Betreiber im EWR ihre Cookie-Banner anpassen müssen und um die Möglichkeit erlauben, dass das Setzen von Cookies, die für den Betrieb der Website nicht unbedingt erforderlich sind, genauso einfach abgelehnt werden können, wie eingewilligt wird. Die Zahl der « Knöpfe », mit denen sich ein Benutzer befassen muss, wird also zunehmen.

Das gilt auch für die Informationen, die dem Benutzer geliefert werden müssen : Obwohl Planet49 schon umfangreich über die Verwendung der Cookies informierte, genügte dies dem EuGH nicht und er verlangte noch mehr Informationen. Sicherlich lässt es sich in der Theorie gut begründen, warum ein Benutzer wie verlangt wissen sollte, wie lange ein Cookie funktionsfähig bleibt, damit er einen « informierten » Entscheid darüber treffen kann. Der EuGH übersieht jedoch die Realität, dass Benutzer mit den allseits auf sie einprasselnden Datenschutzhinweisen schon bisher hoffnungslos überfordert sind und daher gar keine Entscheid treffen, sondern das Cookie-Popup möglichst schnell verschwinden lassen wollen.

Vernünftiger wäre eine Regelung, mit welcher der Benutzer über seinen Browser steuern kann, von wem er wie « getrackt » werden darf. Darauf konnte sich die Branche bisher nicht wirklich einigen, und der Gesetzgeber ebenfalls nicht. Der Entwurf für eine Nachfolgeregelung zur ePrivacy-Richtlinie der EU, die « ePrivacy-Verordnung », scheiterte bislang unter anderem an politischen Differenzen zur geplanten Neuregelung zum Umgang mit Cookies

Proposition de citation : David Rosenthal, Cookies  : comment la CJUE lutte-t-elle contre la mentalité du «  cliquer et fermer sans regarder  », in : https://www.lawinside.ch/883/