Geht es um Cookies und andere Tracking-Methoden, wird von Verbraucherverbänden und Diensteanbietern um jeden Millimeter gekämpft. Anbieter befürchten, durch immer schärfere Reglementierungen und Einschränkungen drastische Verluste hinnehmen zu müssen und argumentieren häufig damit, ihre kostenlosen Online-Angebote seien auf (insbesondere personalisierte) Werbung unbedingt angewiesen. Zunehmend werden Adblocker genutzt, um die teils aufdringlichen Werbebanner und Pop-ups zu umgehen. Die Befürchtung der Unternehmen: Je mehr die Nutzer über ihre Daten (und ihre Bereitschaft, diese für Tracking- und Werbezwecke zur Verfügung zu stellen) bestimmen dürfen, desto häufiger werden sie nicht nur auf die Daten der Nutzer verzichten müssen, die Cookies explizit ablehnen, sondern auch auf die Informationen derjenigen Nutzer, die die Banner ignorieren – und bislang durch Weiternutzung der Seite in die Datenverarbeitung „eingewilligt“ haben.
Was sind Cookies und wofür werden sie eingesetzt?
Cookies sind kleine Textdateien, die der Server des jeweiligen Diensteanbieters an den Rechner des Nutzers verschickt und auf diesem gespeichert werden. Anschließend können beispielsweise spätere Aufrufe der Seite beschleunigt, benutzerdefinierte Einstellungen für die Website abgerufen und bestimmte Informationen über das Nutzungsverhalten während des Besuchs der betreffenden Website (oder auch außerhalb derselben) aufgezeichnet werden.[1]
Umfassendes Tracking der Surf-Aktivitäten, Social-Media-Inhalte, gesuchten Begriffe, Transaktionen und Geodaten ermöglichen jedoch erschreckend genaue Profile individueller Nutzer und Nutzergruppen. Zum einen werden Big Data-Analysen genutzt, um Cross- und Up-Selling-Potenziale zu erschließen und durch die Identifizierung von Kaufmustern Kundengruppen zu segmentieren, sodass Werbekampagnen individueller und effizienter gestaltet werden können.[2] Je nach Art und Umfang der abgerufenen und gespeicherten Informationen können zudem Wahrscheinlichkeitsaussagen darüber getroffen werden, ob eine Person krank ist, mit dem Gedanken spielt, den Job zu wechseln, eine Familie gründet und welche politischen Ansichten sie vertritt – um anschließend passende Inhalte anbieten zu können.[3]
Zu beachten ist, dass der EuGH zwar ausdrücklich nur Cookies nennt; gemeint sind jedoch alle Technologien (z.B. Fingerprinting[4]), die Daten auf den Geräten der Nutzer speichern und auslesen.[5]
Hintergrund des Verfahrens
Der Entscheidung des EuGH liegt ein Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (Verbraucherzentrale Bundesverband e.V.) und der Planet49 GmbH zugrunde, in dessen Rahmen ein Vorabentscheidungsverfahren nach Art. 257 AEUV angestrengt wurde.
Planet49 veranstaltete ein Gewinnspiel, zu dessen Teilnahme Name und Adresse in ein mit Ankreuzkästchen versehenes Web-Formular eingegeben werden mussten. Das erste Häkchen, mit dem Werbung per Telefon, Brief und Mail erlaubt wurde, musste für die Teilnahme zwingend angekreuzt werden. Das zweite Häkchen, welches das Setzen von Cookies erlaubte (und um das sich die Entscheidung maßgeblich dreht), war voreingestellt. Letzteres erlaubte Planet49, ein Permanent-Cookie[6] zu speichern und eine eindeutige Identifikationsnummer zu generieren, die gleichzeitig den Registrierungsdaten zugeordnet ist. So sollte das spätere Surfverhalten auf Webseiten registrierter Werbepartner des Webanalysedienstes aufgezeichnet und ausgewertet werden. Dank des bei der Gewinnspielregistrierung zwingend zu erteilenden Werbeeinverständnisses (der erste Haken) durfte Planet49 sodann E-Mails mit personalisierter Werbung an die Nutzer verschicken.[7]
Der Bundesverband der Verbraucherzentralen mahnte Planet49 darauf hin ab, weil die Anforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht erfüllt seien. Schließlich landete der Rechtsstreit vor dem BGH, welcher der Ansicht war, die Entscheidung über die Zulässigkeit des voreingestellten Häkchens hinge maßgeblich von Art 5 Abs. 3 der e-Privacy-Richtlinie[8] in Verbindung mit Art. 2 lit. h) der Datenschutzrichtlinie 95/46[9] ab. Der BGH setzte das Verfahren aus und übergab die Angelegenheit dem EuGH.
Vorlagefragen und anwendbare Vorschriften
Zum einen wollte der BGH wissen, ob eine wirksame Einwilligung i.S.d. Art. 5 Abs. 3 und des Art. 2 lit. f) der e-Privacy-Richtlinie in Verbindung mit Art. 2 lit. h) der Datenschutzrichtlinie vorliegen kann, wenn das entsprechende Kästchen standardmäßig angekreuzt ist und ob hierbei Unterschiede bestehen, je nachdem, ob die Daten personenbezogen sind oder nicht.
Zum anderen ging es darum, welche Informationen der Diensteanbieter bereitstellen muss, um seiner Informationspflicht gemäß Art. 5 Abs. 3 der e‑Privacy‑Richtlinie nachzukommen und insbesondere, ob dazu auch die Funktionsdauer der Cookies sowie die Frage nach dem Zugriff Dritter auf diese Cookies zählen.[10]
Zum Zeitpunkt der Vorlage Ende 2017 galt noch die Datenschutzrichtlinie, die jedoch am 24. Mai 2018 durch die DSGVO[11] ersetzt wurde. Aufgrund der Regelung des Art. 94 Abs. 2 der e-Privacy-Richtlinie, wonach Verweise auf die Datenschutzrichtlinie nach deren Außerkrafttreten als Verweise auf die DSGVO gelten sowie wegen des zeitlichen Rahmens der Verfahren waren die Fragen auf Grundlage sowohl der Datenschutzrichtlinie als auch der DSGVO zu beantworten.[12]
Die Entscheidung des EuGH
Der EuGH stellte klar, dass der Begriff der Einwilligung nach sämtlichen genannten Vorschriften ein aktives Verhalten fordert. Ein vorangekreuzter Haken genügt dem nicht. Im hiesigen Fall war insbesondere die Tatsache, dass der Nutzer den Button zur Gewinnspielteilnahme betätigen musste, nicht ausreichend im Sinne einer „aktiven“ Cookie-Einwilligung.[13]
Einwilligung immer erforderlich?
Nach Art. 5 Abs. 3 der e-Privacy-Richtlinie betrifft dies jedoch nur Verarbeitungsvorgänge, die nicht unbedingt erforderlich sind. Webseitenbetreiber versuchen kontinuierlich, Lücken in Regelungen und Rechtsprechung gezielt zu finden und auszunutzen. Bestimmte Cookies, die de facto für Tracking und Werbung eingesetzt werden, werden als „notwendig“ und bestimmte Verarbeitungszwecke als „unerlässlich für die Funktion der Seite“ bezeichnet. Einen verbindlichen Katalog, welche Cookies notwendig sind, gibt es nicht; viele einleuchtende Beispiele offenbaren bei näherer Betrachtung Abgrenzungsschwierigkeiten. Während beispielsweise ein Cookie einer E-Commerce-Seite, welches den Warenkorb für die Dauer des Besuchs speichert, an sich essenziell für den Online-Einkauf ist, lässt sich über die Notwendigkeit, den Warenkorb dauerhaft (etwa über das Beenden des Browsers hinaus) zu speichern, diskutieren.[14]
Ein weiteres beliebtes Mittel, die Verbraucher zu verwirren, sind unübersichtliche und aufgeblähte Datenschutzerklärungen – ähnlich wie bei winzig klein gedruckten, verklausulierten AGB neigen viele Nutzer dazu, nach einem kurzen Überfliegen die Lektüre derartiger Dokumente aufzugeben und, einer gewissen Frustration folgend, auf „Akzeptieren“ zu klicken. Auch Thomas Duhr, Vizepräsident des Bundesverbands der Digitalwirtschaft, erwartet eine Zunahme an Einwilligungstexten als Folge des Urteils.[15]
Ob die Daten personenbezogen sind oder nicht ist hingegen dem EuGH zufolge für die Einwilligung irrelevant, was angesichts des unübersichtlichen Werbemarktes konsequent ist.[16]
Informationspflichten
Anbieter müssen klare, umfassende Informationen bereitstellen, die den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und die gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird.[17] Diese Informationen sind in Art. 10 der Datenschutzrichtlinie und auch in Art. 13 der DSGVO aufgeführt; besonders hervorgehoben werden die Identität des für die Verarbeitung Verantwortlichen, die Zweckbestimmungen der Datenverarbeitung, die Empfänger oder Kategorien von Empfängern. Mit Verweis auf das Erfordernis einer Verarbeitung nach Treu und Glauben wird auch die Funktionsdauer genannt[18] – eine sehr lange oder gar unbegrenzte Funktionsdauer ermöglicht das Sammeln zahlreicher Informationen über die Nutzungsgewohnheiten und widerspricht daher den Grundsätzen des Art. 5 DSGVO.[19] Auch muss offengelegt werden, inwieweit Dritte Zugriff auf die Daten erhalten können.[20]
Fazit
An sich ist es nicht überraschend, dass Werbe-Cookies der aktiven Einwilligung bedürfen – schließlich verlangt Art. 5 Abs. 3 der e-Privacy-Richtlinie bereits seit 2009, dass der Nutzer „seine Einwilligung gegeben“ haben muss.[21] Das Urteil ist dennoch wichtig, weil es den deutschen Sonderweg (§ 15 Abs. 3 TMG sieht lediglich eine Widerspruchslösung vor) explizit beendet und den Handlungsbedarf für den deutschen Gesetzgeber verdeutlicht, der die 2009 eingeführte Opt-In-Lösung nie richtig umgesetzt hat.[22] Allerdings bezieht sich die Entscheidung nur auf die Datenverarbeitung aufgrund einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO; sollen aufgrund anderer Vorschriften Daten erhoben und gespeichert werden, etwa zur Vertragserfüllung oder vorvertraglichen Kommunikation nach Art. 6 Abs. 1 lit. b) DSGVO, ist nicht zwingend eine aktive Einwilligung erforderlich.
Es wird sich zeigen, ob Gesetzgeber und Datenschutzbehörden als Folge dieses Urteils endlich stärker gegen Webseitenbetreiber vorgehen, die vorausgefüllte Einwilligungen bzw. einfache Cookie-Banner nutzen, die eine „konkludente“ Einwilligung durch Weiternutzung der Seite annehmen.
Diensteanbietern ist zu empfehlen, den Einsatz von nicht unbedingt erforderlichen Cookies auf ein Mindestmaß zu beschränken und gegebenenfalls ihre Cookie-Banner dahingehend anzupassen, dass bis zu einem aktiven, ausdrücklichen Einverständnis des Nutzers keine Cookies gesetzt bzw. keine Daten gespeichert werden. Auch ist der Grundsatz der Freiwilligkeit der Einwilligung zu beachten: Gemäß Art. 7 Abs. 4 DSG-VO darf kein Zwang auf den Betroffenen ausgeübt werden.[23] Angesichts des in Erwägungsgrund 42 S. 5 der DS-GVO genannten Koppelungsverbotes ist diese Frage durchaus umstritten.[24] Der EuGH äußerte sich hierzu ausdrücklich nicht.[25]
Von Cookie-Bannern, die eine Einwilligung durch weitere Nutzung der Seite statuieren, ist in jedem Fall dringend abzuraten. Hinsichtlich der Informationspflichten ist auf die bisherige Rechtslage zu verweisen.[26]
[1] Vgl. Heckmann/Scheurer in: jurisPK-Internetrecht, 6. Aufl. 2019, Kapitel 9 Rn. 131; EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 31, zuletzt abgerufen am 2. Oktober 2019.
[2] Vgl. Dorschel (Hrsg.), Praxishandbuch Big Data, Wiesbaden 2015, S. 105 f.
[3] Vgl. beispielsweise Dachwitz, Tracking um jeden Preis: Das Stockholm-Syndrom der Presseverlage, Netzpolitik.org, 8. Juni 2018, zuletzt abgerufen am 18.10.2019; Herbold, Die tägliche Verfolgungsjagd, Zeit Online, 13. April 2012, zuletzt abgerufen am 18.10.2019.
[4] Browser hinterlassen einer Studie der Electronic Frontier Foundation (EFF) zufolge weitgehend eindeutige Fingerabdrücke, anhand derer sie sich auch ohne Cookies eindeutig identifizieren lassen: Ihlenfeld, Fingerabdruck: Fast jeder Browser ist eindeutig zu identifizieren, Golem.de, 18. Mai 2010, zuletzt abgerufen am 10.10.2019; Tremmel, Browser-Fingerprinting gestern und heute, Golem.de, 20. Juni 2019, zuletzt abgerufen am 10.10.2019.
[5] Vgl. Schwenke, Neues EuGH-Urteil: Cookie-Einwilligung-Banner und Detailinformationen sind nun endgültig Pflicht!, Datenschutz-Generator.de, 1. Oktober 2019, zuletzt abgerufen am 09.10.2019.
[6] Im Gegensatz zu Session-Cookies werden Permanent-Cookies nach dem Verlassen der Seite nicht automatisch gelöscht, sondern verbleiben auf dem Rechner, vgl. Heckmann/Scheurer in: jurisPK-Internetrecht, 6. Aufl. 2019, Kapitel 9, Rn. 131.
[7] EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 27, Rn. 30.
[8] Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation („e-Privacy-Richtlinie“) in der durch die Richtlinie 2009/136/EG vom 25. November 2009 geänderten Fassung.
[9] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie).
[10] Vgl. das Vorabentscheidungsersuchen des BGH vom 30. November 2017 (C-673/17), zuletzt abgerufen am 2. Oktober 2019.
[11] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung: DSGVO).
[12] Eine Entscheidung des BGH nach Abschluss des Vorabentscheidungsverfahrens würde die DSGVO voraussichtlich berücksichtigen müssen, vgl. EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 38 ff.
[13] Vgl. EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 49 ff, Rn. 59 ff.
[14] Vgl. auch Schwenke, Datenschutz-Generator.de, 1. Oktober 2019 (Fn. 5).
[15] Vgl. Kleinz, Gemischtes Echo auf Cookie-Entscheidung des EuGH (Update), Heise Online, 1. Oktober 2019, zuletzt abgerufen am 10.10.2019.
[16] EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 71; vgl. Kleinz, Heise Online, 1. Oktober 2019 (Fn. 15).
[17] EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 74.
[18] Vgl. auch Art. 13 Abs. 2 lit. a) DSGVO.
[19] Insbesondere Art. 5 Abs. 1 lit. a), lit. c), lit. e) DSGVO.
[20] EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 81.
[21] In der ursprünglichen Fassung war lediglich das Recht des Nutzers, die Speicherung von Cookies zu verweigern, vorgesehen; Dies wurde durch die RL 2009/136 geändert.
[22] Vgl. Kleinz, Heise Online, 1. Oktober 2019 (Fn. 15); Schwenke, Datenschutz-Generator.de, 1. Oktober 2019 (Fn. 5); Salewski¸ EuGH: Cookie-basierte Anwendungen weitgehend einwilligungspflichtig, 1. Oktober 2019, zuletzt abgerufen am 09.10.2019; vgl. auch Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, S. 2 ff., Stand: März 2019, zuletzt abgerufen am 18.10.2019.
[23] Vgl. Heckmann/Scheurer in: jurisPK-Internetrecht, 6. Aufl. 2019, Kapitel 9, Rn. 286 ff.
[24] Vgl. etwa Krohm/Müller-Peltzer, ZD 2017, S. 551; Krohm, ZD 2016, S. 373; Buchner, DuD 2016, S. 158.
[25] EuGH, Urteil vom 1. Oktober 2019 (C-673/17), Rn. 64.
[26] Ausführlich: Der Bayerische Landesbeauftragte für den Datenschutz, Informationspflichten des Verantwortlichen – Erläuterungen zu Art. 13 und 14 Datenschutz-Grundverordnung. Orientierungshilfe, Stand: 26. November 2019, zuletzt abgerufen am 16.10.2019; Heckmann/Scheurer in: jurisPK-Internetrecht, 6. Aufl. 2019, Kapitel 9, Rn. 395 ff.
