Müssen Website-Betreiber künftig für die verwendeten Cookies eine Einwilligung der Nutzer einholen? Der Generalanwalt des EuGH hat sich festgelegt.
Nach Auffassung des Generalanwalts bedarf das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analysezwecken) einer aktiven Einwilligung des Nutzers. Das gelte sowohl nach alter Rechtslage, als auch nach den Vorgaben der DSGVO (Rs. C‑673/17).
Bislang handelt es sich zwar „nur“ um eine – insofern unverbindliche – Empfehlung, doch folgt der Europäische Gerichtshof solchen Empfehlungen sehr häufig. Für Website-Betreiber bedeutet dies daher zumindest Alarmstufe Dunkelorange. Alle Website-Betreiber sollten vor allem Vorkehrungen treffen, damit die aktive Einholung von Einwilligungen vor der Verwendung von Cookies auch technisch abgebildet werden kann.
Auch die Formulierung und Gestaltung der eingeholten Einwilligungen will gut überlegt sein und sollte rechtlich überprüft werden. Spätestens wenn die Rechtsprechung sich insofern festgelegt hat, dürften auch die Behörden zunehmend dazu übergehen, unzureichende Ausgestaltungen zu beanstanden und Bußgeldverfahren einleiten. Erste Anzeichen hierzu gibt es schon, so etwa die Aussagen der Bayerischen Datenschutzaufsicht (BayLDA) bei der Prüfung im Rahmen des Safer Internet Day (s. Folie 25).
Flankiert wird die Empfehlung von einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA). Der EDSA ist der Auffassung, dass sich das Setzen von Cookies alleine nach Art. 5 (3) der RL 2002/58/EG richtet und damit einer Einwilligung bedarf, wenn das Cookie nicht technisch erforderlich ist (s. Rn. 40); die Interessenabwägungsklausel des Art. 6 (1) f) DSGVO ist nach dem EDSA also keine geeignete Rechtsgrundlage. Vielmehr ist danach eine Einwilligung erforderlich (vorbehaltlich der engen Ausnahmen in Art. 5 (3) der RL 2002/58/EG).
Die Ansicht des EDSA steht in gewissem Widerspruch zu dem noch aktuellen Papier der Konferenz der deutschen Datenschutzbehörden (DSK), das auf Art. 6 DSGVO als maßgebliche Norm für den Einsatz von Cookies abstellt.
Hintergrund und Vorlagefragen: Cookie-Nutzung bei Gewinnspielteilnahme
Der Empfehlung des Generalanwalts liegt ein Rechtsstreit vor dem deutschen BGH zugrunde. Im Kern geht es dabei um eine von zwei Einwilligungen, welche die Nutzer im Rahmen eines Gewinnspiels gegenüber dem Gewinnspielveranstalter und Websitebetreiber erteilen sollten. Mit der ersten – nicht vorangekreuzten – Einwilligung sollte der Nutzer in den Erhalt von Werbung einwilligen.
Der eigentliche Dorn im Auge der klagenden Verbraucherzentrale Bundesverband e. V. ist aber die zweite – vorausgewählte, aber gleichwohl abwählbare – Formulierung:
Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
Mit Blick hierauf stellte der BGH dem EuGH (vereinfacht) folgende Fragen:
Frage 1: Anforderungen an eine Einwilligung:
a) Handelt es sich nach alter Rechtslage um eine wirksame Einwilligung, auch wenn das Kästchen zur Cookie-Setzung oder Auslesung bereits angekreuzt ist?
b) Macht es einen Unterschied nach alter Rechtslage, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
c) Was gilt diesbezüglich nach der DSGVO?
Frage 2: Umfang der Information: Worüber muss der Seitenbetreiber im Zusammenhang mit der Cookie-Nutzung informieren und zählen hierzu auch Funktionsdauer und Zugriffsmöglichkeit von Dritten auf das Cookie?
Generalanwalt: Hohe Anforderungen an Vorliegen einer informierten Einwilligung
Der Generalanwalt vertritt eine insgesamt eher strenge Auffassung.
Zur Frage 1 a) und c): Anforderungen an eine Einwilligung
Nach Ansicht des Generalanwalts ist die zitierte zweite, „vorangekreuzte“ Einwilligung sowohl nach alter wie auch nach neuer Rechtslage aus drei Gründen unwirksam (Rz. 84-93):
- Die Einwilligung sei nicht aktiv erteilt, da – anders als etwa bei dem Setzen eines Häkchens – objektiv nicht nachvollzogen werden könne, dass der Nutzer aktiv zugestimmt habe.
- Sie sei zudem nicht gesondert erteilt, weil die Einwilligung einen Teil der Handlung „Teilnahme am Gewinnspiel“ darstelle. Das Setzen oder Entfernen des Häkchens sei lediglich als vorbereitende Handlung für die eigentlich bindende Handlung (die Gewinnspielteilnahme) zu verstehen.
- Auch mangele es an der Informiertheit der Einwilligung. Zwar sei die Teilnahme am Gewinnspiel auch ohne Ankreuzen der zweiten Einwilligung möglich gewesen – darüber sei aber nicht ausreichend informiert worden.
Zur Frage 1 b): Unterschiedliche Beurteilung je nach Personenbezug?
Aus Sicht des Generalanwalts liegt es auf der Hand: Das Vorhandensein eines Personenbezugs sei für die Beurteilung nicht maßgeblich (Rz. 100-110). Auch wenn die Frage aufgrund eines eindeutigen Personenbezugs vorliegend wohl eher hypothetischer Natur sei, wäre dies aus Sicht des Generalanwalts vor dem Hintergrund der maßgeblichen Vorschrift (Art. 5 Abs. 3 der Richtlinie 2002/58/EG) eindeutig. Dort sei schließlich nur von „Informationen“ die Rede. Die Umsetzung dieser Vorgabe sei im deutschen Recht (§ 15 Abs. 3 TMG) schlicht unzureichend erfolgt.
Zur Frage 2: Umfang der Information
Im Ergebnis hält der Generalanwalt es für notwendig, dass der Betreiber den Nutzer unter anderem auch über die Dauer der Cookies und Zugriffsmöglichkeiten Dritter informiert (Rz. 112-120). Dies folge aus dem Erfordernis, den Nutzer klar und umfassend zu informieren.
Es könne zwar auf einen normal informierten, verständigen Nutzer abgestellt werden. Von diesem sei aufgrund der technischen Komplexität aber kein hoher Kenntnisstand bezüglich der Funktionsweise von Cookies zu erwarten. Die Dauer und die Identität der zugriffsberechtigten Dritten sei mithin unerlässlich, damit der Nutzer eine Einwilligung „in Kenntnis der Sachlage“ erteilen könne.
Zur – nicht gestellten – Frage der ersten (Werbe-)Einwilligung
Am Rande äußert sich der Generalanwalt auch zur Einwilligung in den Erhalt von Werbung, auch wenn diese gar nicht eigentlicher Gegenstand der Vorlagefragen war (Rz. 94-99). Es sei insofern „besser“, wenn eine „gesonderte Schaltfläche anzuklicken“ und nicht „lediglich ein Feld anzukreuzen“ sei. Für ihn ist aber wohl akzeptabel – auch unter Berücksichtigung des eben nicht absolut geltenden Kopplungsverbots – dass die Teilnahme am Gewinnspiel von der Einwilligung in den Erhalt von Werbung abhängig gemacht werden kann.
Ansicht des Generalanwalts überspannt Voraussetzungen der DSGVO
Die Auffassung des Generalanwalts zur Einwilligung im Zusammenhang mit der Cookie-Nutzung ist vor dem Hintergrund der rechtlichen Vorgaben und der Entwicklung des europäischen Datenschutzes in wesentlichen Teilen nachvollziehbar. Insbesondere mit Blick auf die Gesondertheit der Einwilligung vertritt der Generalanwalt aber eine zu strenge Auffassung, die über das gesetzgeberische Ziel hinausschießt und keinen Rückhalt in den zugrunde liegenden Vorschriften findet.
Für den Generalanwalt stellt
das Setzen oder Entfernen des Häkchens in dem die Cookies betreffenden Ankreuzfeld […] als vorbereitende Handlung für die abschließende und rechtlich bindende Handlung, [nämlich]die Betätigung der Schaltfläche für die Teilnahme (Rz. 89)
keine gesondert erteilte Einwilligung dar. Nach seinem Verständnis wird dem Nutzer so nicht ohne weiteres klar, dass die Einwilligung in die Cookie-Nutzung gerade keine Voraussetzung für die Teilnahme am Gewinnspiel ist. Dieses Verständnis entspricht aber wohl nicht den Vorgaben der DSGVO.
Seine Auslegung stützt sich auf Erwägungsgrund 43 der DSGVO. Danach soll die Einwilligung dann nicht freiwillig sein,
wenn zu verschiedenen Verarbeitungsvorgängen (…) nicht gesondert eine Einwilligung erteilt werden kann.
Gerade dieses Erfordernis ist im konkreten Fall allerdings grundsätzlich erfüllt, weil der Nutzer in die Cookie-Verwendung unabhängig von der Einwilligung in den Erhalt von Werbung bzw. die Teilnahme am Gewinnspiel einwilligen konnte (dass dies nicht per Opt-in erfolgte ist eine gesondert zu behandelnde Frage).
Die Auslegung des Generalanwalts überspannt damit die Anforderungen an die Freiwilligkeit der Einwilligung und gefährdet sämtliche Ausgestaltungen, bei denen der Nutzer im Zusammenhang mit einer Willenserklärung (z. B. einem Vertragsschluss) aktiv datenschutzrechtliche Einwilligungen erteilt.
Aktuelle Empfehlung zur freiwilligen Einwilligung hätte erhebliche Folgen für die Praxis
Schließt sich der EuGH der Auffassung des Generalanwalts an und folgt man den Ausführungen des EDSA, führte dies zu weitreichenden Konsequenzen in der Praxis:
- Die Argumentation, dass Nutzer in die Verwendung von Cookies – wie bislang in der Praxis häufig anzutreffen – dadurch einwilligen, dass sie bloß „weitersurfen“, ist kaum noch haltbar.
- Lösungen, bei denen Cookies verwendet werden und dem Nutzer (nur) eine Widerspruchsmöglichkeit gegeben wird, wären danach unzulässig – auch wenn Maßnahmen wie IP-Masking zur Anonymisierung eingesetzt werden.
- Auch Ausgestaltungen, bei denen Kästchen zur Verwendung von Cookies vorausgewählt sind, wären nicht (mehr) rechtskonform.
- Komplexere Consent-Management-Lösungen werden für einen rechtskonformen Einsatz von Cookies bzw. Tracking-Tools – nicht zuletzt zur hinreichenden Dokumentation – notwendig.
- Es müsste weitaus detaillierter über die verwendeten Cookies informiert werden, als dies bisher üblicherweise der Fall ist (insbesondere auch über die Dauer und die Zugriffsmöglichkeit durch Dritte).
- Auf Tracking-Maßnahmen basierende Tätigkeiten (insbesondere Re-Marketing/Re-Targeting) werden erheblich erschwert.
- Ggfs. müssten – jedenfalls für eine rechtssichere Ausgestaltung – zukünftig sämtliche datenschutzrechtlichen Einwilligungen zusätzlich als freiwillig gekennzeichnet werden.
- Jedenfalls wenn man der Auffassung des Generalanwalts folgt, müssten datenschutzrechtliche Einwilligungen – im abzulehnenden worst-case Szenario – identisch zu anderen, zusammenhängenden Erklärungen auf der Website ausgestaltet werden. Erfolgt also etwa der Kauf eines Produkts, mittels einer Schaltfläche „Jetzt kostenpflichtig bestellen“, so müssten für eine rechtssichere Lösung auch in diesem Zusammenhang abgegebene datenschutzrechtliche Einwilligungserklärungen mittels einer solchen Schaltfläche abgegeben werden: „Jetzt freiwillig einwilligen“.
- Änderung bzw. Erleichterungen für Website-Betreiber und Marketing-Unternehmen könnte wohl frühestens die e-Privacy-Verordnung bringen; dort ist im aktuellen Ratsentwurf eine Ausnahme vom Einwilligungsvorbehalt für die Besuchermessung (Audience) vorgesehen. Auch bei dieser ist aber unter anderem genau diese Thematik derzeit noch umstritten. Weitere Informationen zur e-Privacy-Verordnung finden Sie auf der CMS-Website zur ePrivacy-Verordnung.