Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

22/06/2020

Cookie update: Duitse Bundesgericht neemt eindbeslissing in Planet49 zaak

Leesduur: 4 minuten

Het Duitse Bundesgerichtshof bevestigde op 28 mei dat de regels uiteengezet in het Planet49 arrest van het Europees Hof van Justitie ook op Duitse websites van toepassing zijn.  Voorafgaande vrije toestemming voor het plaatsen van cookies en een verbod op vooraf aangevinkte keuzevakjes zijn vanaf nu ook in Duitsland noodzakelijk.

 

Het Planet49 arrest even samengevat

Op 1 oktober 2019 heeft het Hof van Justitie van de Europese Unie in de Planet49-zaak een belangrijk arrest geveld met betrekking tot cookies en toestemming krachtens de AVG. 

Het Duitse bedrijf Planet49 GmbH had een online reclameloterij georganiseerd. Internetgebruikers die aan dit spel wilden deelnemen, moesten hun postcode invoeren, waarna zij op een website terechtkwamen waar zij hun naam en adres moesten opgeven. 

Onder de invoervelden voor het adres stonden twee mededelingen met daarbij aanvinkvakjes. Het eerste aanvinkvakje, waarmee de bezoeker toestemming gaf voor het ontvangen van commerciële communicatie, was niet standaard aangevinkt. Het tweede aanvinkvakje was echter wél vooraf aangevinkt. Het ging om de toestemming voor het plaatsen van cookies.

Dit had tot gevolg dat deelnemen aan de wedstrijd enkel mogelijk was als de deelnemer zijn of haar toestemming verleende om zijn of haar persoonsgegevens te delen met “sponsors en partners”.

Volgens een Duitse consumentenbeschermingsorganisatie voldeden deze toestemmingsverklaringen van Planet49 niet aan de minimale vereisten van het Duitse recht.

De zaak kwam uiteindelijk terecht bij het Bundesgerichtshof, die de zaak doorverwees naar het Hof van Justitie met een prejudiciële vraag over de correcte interpretatie van de ePrivacyrichtlijn, de oude Gegevensbeschermingsrichtlijn en de AVG. 

Het Hof oordeelde dat vooraf aangevinkte keuzevakjes en impliciete toestemmingen met zekerheid geen geldige toestemming vormen onder artikel 5 van de ePrivacyrichtlijn. Een toestemming moet ook “geïnformeerd” zijn en moet “specifiek” zijn in die zin dat toestemming voor één type cookies (bijvoorbeeld analytische cookies die het bezoekersgedrag op een website meten) niet automatisch kan worden beschouwd als toestemming voor andere types van cookies (zoals tracking cookies die informatie delen met derde partijen). Dezelfde regels gelden bovendien ongeacht de vraag of met bepaalde cookies al dan niet persoonsgegevens verzameld worden of kunnen worden.

Op basis van deze beslissing, gecombineerd met een reeks recente recente aanbevelingen van diverse Europese gegevensbeschermingsautoriteiten en opgelegde boetes in onder meer Spanje en België, moeten bedrijven zich ervan bewust zijn dat de vereisten voor cookietoestemming de afgelopen maanden aanzienlijk zijn geëvolueerd of althans veel strikter gelezen worden.

 

Beslissing van het Bundesgerichtsof

Het Duitse Bundesgerichtshof, dat de initiële prejudiciële vraag had gesteld aan het Europees Hof,  heeft nu in een arrest van 28 mei 2020 Cookie Consent II, I ZR 7/16 (persbericht) op basis van het Europese arrest beslist dat websites ook in Duitsland de Europese cookieregels moeten volgen en voorafgaande toestemming moeten bekomen voor het plaatsen van cookies.

Hierover was verwarring ontstaan omdat Duitsland destijds de ePrivacy richtlijn, waarin de cookieregels zijn opgenomen, niet correct had omgezet in Duits recht. Artikel 15 van de Duitse telemediawet (Telemediengesetz; TMG) staat toe dat websitebeheerders pseudonieme gebruikersprofielen maken voor reclame, marktonderzoek en gebruiksdoeleinden, terwijl dat volgens de ePrivacy richtlijn enkel kan mits voorafgaande toestemming. De TMG vereist echter geen opt-in, maar alleen dat de gebruiker wordt geïnformeerd en toestemming krijgt om bezwaar te maken (“opt-out”).

Het Bundesgerichtshof legt de Duitse wet nu naast de ePrivacy richtlijn en besluit, op basis van het Planet 49 arrest van het Europees Hof, dat de Duitse wet aan het Europees recht moet voldoen en dus dat ook in Duitsland websites geen vooraf aangevinkte selectievakjes mogen gebruiken om toestemming te verkrijgen. Bovendien zijn de vereisten van toepassing ongeacht of de informatie in de cookie persoonlijke gegevens zijn die onder de AVG vallen (Verordening (EU) 2016/679).

Websites in Duitsland zijn met andere woorden onderworpen aan dezelfde cookieregels als hun collega’s in andere lidstaten van de Europese Unie en zullen vanaf nu ook expliciet toestemming moeten vragen voor het gebruik van alle niet-noodzakelijke cookies.

 

Strenge controles in Duitsland

Wie een website in Duitsland uitbaat of zelfs vanuit een derde land een website specifiek gericht op Duitsland uitbaat, moet overigens zéér voorzichtig zijn.  De controles op het naleven van de cookieregels, maar ook de consumentenwetgeving en GDPR, zijn er duidelijk anders opgezet dan bij ons.  Het systeem is zo dat élke concurrent die meent een inbreuk vast te stellen bij een concurrent, een ingebrekestelling kan verzenden rechtstreeks aan die concurrent en daarin een schadevergoeding/boete kan opeisen, inclusief vergoeding van advocatenkosten!  De tussenkomst van de overheid is daarin helemaal niet nodig en concurrenten houden elkaar zéér scherp in de gaten.  Wie de regels niet volgt, riskeert elke dag tegen een (opportunistische) claim van een concurrent aan te lopen.  

 

Vragen over GDPR, cookies of e-commerce in de EU?

Neem gerust vrijblijvend contact op met Bart Van den Brande op bart@siriuslegal.be of op +32 486 901 931

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.