Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » EuGH kippt deutschen Sonderweg: Cookies zu Werbezwecken nur mit aktiver Einwilligung
EuGH kippt deutschen Sonderweg :

Cookies zu Werbezwecken nur mit aktiver Einwilligung

Lange wurde über dieses Thema in Deutschland debattiert, nun schafft der EuGH mehr Klarheit. Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Ein voreingestelltes Ankreuzkästchen genügt nicht mehr. Es könnte dazu führen, dass bald für alle Cookies, die das Nutzerverhalten zu Werbezwecken analysieren bzw. tracken, die aktive Einwilligung des Nutzers nötig ist. Dann müssten viele Webseitenbetreiber ihre Praxis ändern. Rechtsanwalt Christian Solmecke erläutert die Hintergründe und Konsequenzen.

Der Europäische Gerichtshof (EuGH) hat in umstrittenen Fragen des Schutzes der Privatsphäre im digitalen Raum sowie auch im Datenschutzrecht Klarheit geschaffen (Urt. v. 1.10.2019, Az. C-673/17):

  • Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, gilt nicht als wirksam erteilte Einwilligung. Auch die Betätigung einer Schaltfläche für die Teilnahme an einem Gewinnspiel sei keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies.
  • Diese Vorgaben zur Einwilligung gelten sowohl für die ePrivacy- bzw. Cookie Richtlinie, als auch für die Datenschutzgrundverordnung (DSGVO). Diese drei Gesetze sind einheitlich auszulegen.
  • Darüber hinaus müssten die Webseiten in diesen Fällen gegenüber den Nutzern u. a. über Angaben zur Funktionsdauer der Cookies informieren und sagen, ob Dritte auf den Cookie Zugriff erhalten.
  • Schließlich ist es für die Anwendbarkeit von Art. 5 Abs. 3 der ePrivacy-Richtlinie irrelevant, ob mit dem gesetzten Cookie nun personenbezogene Daten erhoben werden oder nicht – sie gilt in beiden Fällen.

Hintergründe zum Fall

Geklagt hatte der deutsche Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv). Im Jahr 2013 hatte die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet. Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, sollten darüber ihre Einwilligung in das Speichern von Cookies zu Werbezwecken erklären.

Der Fall ging zum Bundesgerichtshof (BGH), der dem EuGH grundlegende Fragen zur Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation stellte (Az. I ZR 7/16). Diese lauteten sinngemäß:

  • Handelt es sich um eine wirksame Einwilligung im Sinne der (alten) Datenschutz-Richtlinie sowie der (noch gültigen) ePrivacy-Richtlinie, wenn das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  • Macht es bei der Anwendung des Art. 5 Abs. 3 der ePrivacy-Richtlinie i.V.m. der alten Datenschutz-Richtlinie einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  • Liegt unter den Umständen, wie sie in diesem Fall vorlagen, eine wirksame Einwilligung im Sinne der Datenschutzgrundverordnung (DSGVO) vor?
  • Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der ePrivacy-Richtlinie vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Für die Beurteilung der Rechtmäßigkeit des Gewinnspiels in der Vergangenheit musste der EuGH die Frage anhand der ePrivacy- bzw. Cookie-Richtlinie (2002/58/EG) und der Datenschutzrichtlinie (Richtlinie 95/46/EG) beurteilen. Da es sich um einen Sachverhalt handelte, für den der vzbv Unterlassung im Hinblick auf die Zukunft verlangte, war auch die jetzige Rechtslage für die Entscheidung relevant. Hier war der Sachverhalt an der ePrivacy-Richtlinie und der Datenschutzgrundverordnung (DSGVO) zu messen.

Cookies und ihre rechtliche Einordnung im EU-Recht

Zum Hintergrund: Bei Cookies handelt es sich um kleine Textdateien zur Erkennung von Nutzern. Anbieter einer Website speichern sie auf dem Computer des Nutzers. Es gibt verschiedene Arten von Cookies.

Zunächst einmal sammeln, wie der EuGH klarstellt, nicht alle Cookies sog. personenbezogene Daten, für die auch das Datenschutzrecht relevant ist. Im vorliegenden Fall konnten die gesammelten Informationen wegen einer Verknüpfung mit den Registrierungsdaten der Gewinnspielteilnehmer zwar auf Personen zurückbezogen werden. Cookies können aber auch anonym gesetzt werden, sodass sie zwar über eine Cookie-ID bzw. andere Online-Kennungen zurückverfolgbar sind, sich aber nicht auf eine konkrete Person beziehen. Der EuGH hat hierzu entschieden, dass es für die Anwendbarkeit von Artikel 5 Abs. 3 der ePrivacy-Richtlinie irrelevant ist, ob Cookies nun einen Personenbezug haben oder nicht. Das Unionsrecht solle den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen, so die Luxemburger Richter. Das bedeutet aber auch: Wenn die Cookies gerade keinen Personenbezug haben, kann alleine die ePrivacy-Richtlinie gelten und die DSGVO kann keine Anwendung finden.

Auch die Funktion der Cookies unterscheidet sich: Manche erleichtern Nutzern die Bedienung einer Webseite (z.B. Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Webseite verwendet werden) bzw. die Seite kann ohne sie nicht betrieben werden. Andere Cookies werden aber genutzt, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und personalisierte Werbeanzeigen zu platzieren. Artikel 5 Abs. 3 der ePrivacy-Richtlinie unterscheidet zwischen diesen Formen der Cookies, zieht aber keine genaue Grenze:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Große Tracking-Anbieter wie Google Analytics nutzen Cookies, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise dessen Surfverhalten zentral zu erfassen. Auch die Cookies in diesem Fall dienten zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.

Die deutsche Rechtslage zu Cookies

Bislang ist die Rechtslage im Hinblick auf Cookies in Deutschland recht verworren. Denn Artikel 5 Absatz 3 der ePrivacy-Richtlinie von 2009, der ja (s.o.) eine explizite Einwilligung bei Cookies fordert, ist in Deutschland nie richtig umgesetzt worden. Nach dem deutschem § 15 Absatz 3 Telemediengesetz (TMG) von 2007 genügt ein „Opt Out“:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“

Die deutsche Regierung war aber immer der Ansicht, dass die deutsche Rechtslage dennoch ausreicht und änderte das deutsche Recht nicht. Diese Rechtslage führte zu den berühmten „Cookie-Bannern“, bei denen Nutzer keine echte Wahlmöglichkeit hatten, sondern nur auf „Ok“ klicken konnten, um das nervige Banner aus dem Weg zu räumen.

Der deutsche Sonderweg war lange kritisiert worden. Klarheit sollte erst die europäische ePrivacy-Verordnung bringen, die ursprünglich gemeinsam mit der DSGVO am 25. Mai 2018 gelten sollte, bislang aber noch in Verhandlung ist.

Nun hat der EuGH dem deutschen Sonderweg schon vorher eine Absage erteilt. Unklar ist allerdings, zu welchen Auswirkungen das führen wird. Denn was der EuGH nicht entschieden hat:

  • Was bedeutet das Ganze für Deutschland, wo Art. 5 der ePrivacy-Richtlinie vom Gesetzgeber nicht richtig umgesetzt worden ist?
  • Wann ist eine Einwilligung in Cookies (auch) nach der DSGVO erforderlich?
  • Darf der Webseitenbetreiber Nutzern den Zugang zur Webseite versagen, wenn diese keine Einwilligung für die Verwendung von Cookies erteilen oder greift hier das Kopplungsverbot der DSGVO?

Nach der Entscheidung des EuGH über die Vorlagefragen muss nunmehr der BGH in der Sache entscheiden. Unmittelbar durch das EuGH-Urteil hat sich aktuell also noch nichts geändert.

Wie geht es weiter?

EuGH: Einbettung des Facebook-Like-Buttons rechtswidrig

Die Entscheidung kommt nicht überraschend. Ihre Meinung hatten die EuGH-Richter ja schon im kürzlich ergangenen Urteil zum Facebook-Like-Button (Urt. v. 29.07.2019, Az. C-40/17) zur ePrivacy-Richtlinie kundgetan. Jetzt konnten sie endlich vollkommen Klartext reden und dem bisherigen deutschen Sonderweg eine Absage erteilen. Spannend bleibt daher, wie der BGH und der deutsche Gesetzgeber auf das Urteil reagieren werden.

Bislang berufen sich viele Seitenbetreiber immer noch auf § 15 Abs. 3 Telemediengesetz (TMG), der noch ein „Opt-Out“ für einwilligungspflichtige Cookies erlaubt. Dieser Paragraph ist auch trotz des EuGH-Urteils noch in Kraft. Die EU-Richtlinie, zu der sich der EuGH geäußert hat, gilt nicht direkt in Deutschland.  

Laut seinem Vorlagebeschluss plante der BGH ursprünglich, die Regelungen des deutschen TMG entsprechend der ePrivacy-Richtlinie richtlinienkonform auszulegen. Das Problem dabei ist, dass der Wortlaut eklatant der Vorlage in Artikel 5 Abs. 3 ePrivacy-Richtlinie widerspricht, sodass eine solche Auslegung schwer möglich ist. Eine direkte Anwendung der ePrivacy-Richtlinie ist jedoch in diesem Fall auch nicht möglich, weil die Rechtsprechung des EuGH zur unmittelbaren Wirkung von Richtlinien nur gilt, wenn es um das Verhältnis zwischen dem Bürger und dem Staat geht – nicht aber bei Rechtsverhältnissen der Bürger untereinander. Hier sind aber Internetanbieter angesprochen. Somit gäbe es dann eine Rechtslücke, die erst der Gesetzgeber schließen kann.

Während diese Frage noch im Raum schwebt, arbeitet das federführende Bundeswirtschaftsministerium bereits seit kurz nach dem Urteil an einem Gesetzesentwurf, der das TMG an die Vorgaben des EU-Rechts anpassen soll. Es ist davon auszugehen, dass das deutsche TMG entsprechend der Richtlinie (und dem EuGH-Urteil vom 01.10.2019) ein Cookie-Opt-in fordern wird. Die konkreten Einzelheiten sind allerdings noch offen. Bis das Gesetz in Kraft tritt, könnte es aber noch etwas länger dauern als bis zur Entscheidung des BGH. 

Insgesamt ist davon auszugehen, dass es in naher Zukunft auch in Deutschland gesetzlich erforderlich sein wird, ein Opt-In-Verfahren für einwilligungsbedürftige Cookies einzusetzen. Dies gilt jedenfalls für Cookies, die nicht „unbedingt erforderlich sind, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen“. Hierunter werden wohl Tracking-Cookies fallen, die insbesondere ein Retargeting oder Remarketing ermöglichen. Nicht hierunter dürften sog. Session-Cookies fallen (s.o.).

Darüber hinaus ist neben dem TMG nun auch die DSGVO anwendbar, nach Ansicht der Datenschutzbehörden ist letztere sogar vorrangig anzuwenden. Hier berufen sich viele beim Setzen von werblichen Cookies noch auf Artikel 6 Abs. 1 lit. f) DSGVO, also ihre überwiegenden berechtigten Interessen. Die Frage wird sein, ob das in Zukunft reichen wird. Auch hierzu könnte der BGH die Gelegenheit nutzen, sich zu äußern, ob werbliche Cookies auf diese Norm oder doch nur auf eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO gestützt werden können. Angesichts der Ausführungen des EuGH zur einheitlichen Anwendung des EU-Rechts ist davon auszugehen, dass der BGH sich hier an den Wertentscheidungen des Art. 5 Abs. 3 ePrivacy-Richtlinie orientieren und eine Einwilligung verlangen wird. Er könnte die Linie im Rahmen der DSGVO genauso ziehen wie in der ePrivacy-Richtlinie und die „unbedingte Erforderlichkeit“ eines Cookies als Kriterium ansehen.

Bis dahin gilt es, abzuwarten.

Wenn Einwilligungen Pflicht werden – was wird sich ändern?

Sollte – wie zu erwarten – das Urteil dazu führen, dass zukünftig alle nicht unbedingt erforderlichen Cookies eine aktive Einwilligung erfordern, wird dies neue Fragen aufwerfen.

Da der BGH nur in diesem speziellen Fall entscheiden wird, bleibt zukünftig von den Datenschutzbehörden und letztlich den Gerichten zu klären, wann Cookies „unbedingt erforderlich“  sind – und wann nicht. Vieles spricht dafür, dass sowohl technisch notwendige als auch andere Cookies anzusehen, die im Interesse des Nutzers sind, als „erforderlich“ anzusehen sind. Zu letzteren zählen insbes. Session-Cookies. Cookies für Werbe- bzw. Marketingzwecke werden jedoch zukünftig wahrscheinlich eine Einwilligung benötigen. Dies könnte auch beim sog. Tracking der Fall sein wie etwa bei Google Analytics. 

Sollte es dazu kommen, werden sehr viele Seiten-Betreiber ihre Cookie-Banner bald ändern müssen. Nutzer müssen zukünftig wohl die Möglichkeit haben, aktiv in „nicht notwendige“ Werbe- und Tracking Cookies einzuwilligen. Hier gilt es, in Zusammenarbeit mit den Datenschutzbehörden praxistaugliche Lösungen u.a. für folgende Fragen zu finden:

  • Wie müssen solche Banner letztlich aussehen? Müssen Nutzer einen einzelnen Haken für jedes Cookie setzen? Ist eine gewisse Form der Voreinstellung doch möglich?
  • Wie detailliert müssen die Informationspflichten erfüllt werden?
  • Wäre eine Kopplung an die Nutzung eines Dienstes erlaubt? Hierzu hat der EuGH nicht entscheiden können, weil das keine Vorlagefrage war. Die DSGVO legt aber nahe, dass eine solche Kopplung nicht zulässig wäre.
  • Darüber hinaus muss eine Lösung gefunden werden, wie Seitenbetreiber es den Nutzern ermöglichen können, die einmal erteilte Einwilligung jederzeit widerrufen zu können.

Klar ist: Sollte es wirklich so weit kommen, wird das Urteil große Auswirkungen auf die gesamte Werbewirtschaft im Internet haben, sowohl auf Webseiten-Betreiber als auch auf Anbieter von Tracking-Diensten. Kaum ein Nutzer wird freiwillig in das Sammeln von Daten zu seinem Surfverhalten zustimmen, wenn er die freie Wahl hat. Personalisierte Werbung im Netz zu platzieren, wird damit sehr viel schwieriger. Wenn es wirklich so weit kommt, könnte dies das Geschäftsmodell der personalisierten Werbung abseits von Login- und Abo-Diensten zum Wanken bringen.

ahe