EuGH-Urteil zu Planet49 – Wirksamkeitsvoraussetzungen einer Cookie-Einwilligung

Michael Neuber

Am 01.Oktober 2019 hat der Europäische Gerichtshof im Fall “Planet49” (Rechtssache C-673/17) über die Anforderungen an eine Einwilligung beim Setzen von Cookies entschieden. Wenig überraschend reicht dem EuGH eine bereits vorangekreutzte Checkbox als Einwilligungsmittel nicht aus. Die Richter fordern hier vielmehr nicht nur eine explizite sondern auch aktive Handlung des Nutzers. Diese Bedingungen sollen darüber hinaus unabhängig davon gelten, ob es sich bei den in Cookies enthaltenen Informationen um solche mit Personenbezug handelt oder nicht. Außerdem legt der EuGH fest, welche Cookie-Informationen dem Nutzer zur Verfügung gestellt werden müssen. Die Pressemitteilung des BVDW vom 01.Oktober 2019 können Sie HIER abrufen.

 

1. Keine generelle Einwilligungspflicht festgestellt

Vorab muss wohl erst einmal Folgendes klargestellt werden. Anders als kurz nach Bekanntwerden des Urteils häufig zu lesen, hat der EuGH keine generelle Einwilligungspflicht für das Setzen jeglicher Cookies etabliert. Es besteht also kein Anlass zur Panik.

Ein Grund für entsprechende Meldungen könnte sicherlich schon die leicht falsch zu verstehende Überschrift der entsprechenden Pressemitteilung des EuGH selbst gewesen sein die da lautete: “Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers“. Die Betonung musste hier aber nicht auf das Wort Einwilligung sondern das Wort aktiv gelegt werden. Dem Sachverhalt nach ging es nämlich allein um die Frage, ob die vom Anbieter Planet49 selbst gewählte Rechtsgrundlage der Einwilligung im konkreten Fall richtig angewendet worden war. Den gesamten Hintergrund des Falles können Sie hier noch einmal nachlesen.

Namentlich wollte der BGH mit der entsprechenden Vorlagefrage wissen, ob eine wirksame Einwilligung im Sinne der Regelungen der ePrivacy-Richtline, der alten EU-Datenschutzrichtlinie bzw. der heute gültigen EU-Datenschutzgrundverordnung (Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679) vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

Der EuGH hat sich in seinem Urteil weder dazu ausgelassen, ob die Einwilligung selbst das einzig verfügbare Instrument ist, noch welche alternativen Rechtsgrundlagen für den Einsatz von Tracking-Cookies daneben eine Rolle spielen könnten. Vollkommen unberührt gelassen wurde auch die Tatsache, dass Art. 5 Abs. 3 der derzeit noch geltenden ePrivacy-Richtline eine Einwilligungspflicht bereits dort nicht vorsieht, wo es sich um Cookies handelt die unbedingt erforderlich sind, damit ein Dienst dem Nutzer zur Verfügung gestellt werden kann. Üblicherweise werden hierunter (technisch) notwendige (Session-)Cookies (wie Warenkorb-Cookies usw.) verstanden.

Die durchaus interessantere – in der Vorlage nicht enthaltene – Frage, was mit Blick auf die Erforderlichkeit noch unter diese Ausnahmen fallen könnte, ist hier also nicht gestreift worden. Würde man hierunter nämlich tatsächlich nur die technisch erforderlichen Cookies verstehen dürfen, fielen all jene Cookies und andere Zugriffe bzw. Speicherungen aus dem Raster, die aus Sicht eines Webseitenbeteibers oder seiner Partner für einen nicht nur technisch sondern auch wirtschaftlich sinnvollen und optimalen Betrieb des jeweiligen Angebots nötig sind.

Dies betrifft z.B. die Möglichkeit Werbebetrug aufzudecken ebenso wie nachzuhalten, welcher Empfehlung der Nutzer gefolgt ist, um Partnern die ihm zustehende Vergütung dafür zahlen oder um die korrekte Auslieferung von Content oder Werbemitteln messen zu können. Ohne die Möglichkeit solche Vorgänge tracken zu können, werden Webseitenbetreiber ihre für Nutzer kostenfreie Angebote nicht nachhaltig finanzieren und damit zur Verfügung stellen können. Aber dazu später.

2. Besondere deutsche Rechtslage

Mit Blick auf Deutschland war dem EuGH allerdings durchaus bewußt, dass hier derzeit besondere rechtliche Rahmenbedigungen eine bedeutende Rolle für den Fall spielen. Denn während die Mehrzahl der EU-Mitgliedsstaaten die Vorgaben des Art. 5 Abs. 3 ePrivacy- Richtlline mehr oder weniger wortgleich übernommen hatten, war in Deutschland ein Sonderweg eingeschlagen worden.

Für Nutzungsdaten hatte der deutsche Gesetzgeber in § 15 Abs. 3 TMG ausgestaltend eine einwilligungslose Nutzungsdatenverarbeitung unter besonderen Bedingungen (Pseudonymisierungspflicht, Transparenz, Widerspruchsmöglichkeit) erlaubt. Eine aus Sicht der digitalen Wirtschaft begrüßenswerte Vorschrift, die den Gedanken von “privacy by design” durch abwägende, gesetzgeberische Wertung für Nutzungsdaten und die Bedingungen für deren Verarbeitung festschrieb.

Mit Anwendbarkeit der DSGVO entbrannte jedoch eine lebhafte Debatte über die Weitergeltung des TMG und namentlich dieser speziellen Vorschrift, die viele Unternehmen allerdings auch dem Gedanken aus Art. 6 Abs. 1 f) DSGVO entnahmen. Hier ist bestimmt, dass eine Verarbeitung auch ohne Einwilligung erlaubt ist, soweit sie zur Wahrung der berechtigten Interessen des (grundrechtlich ebenfalls geschützen) Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Vor dem Hintergrund dieser gesetzlichen Realität in Deutschland war und ist es daher durchaus denkbar, dass eine Abwägung vor dem Hintergrund der verarbeiteten Daten(kategorien) und des Verarbeitungszwecks sowie der getroffenen Sicherungsvorkehrungen einen Zugriff und eine Verarbeitung auf dieser Grundlage und damit ohne Einwilligung des Nutzers rechtfertigen kann.

Dem BGH ging es um die richtlinienkonforme Auslegung der Regelungen des TMG. Die deutsche Datenschutzkonferenz (DSK) wiederum hatte in ihrer Orientierungshilfe für Anbieter von Telemedien vom 03.April 2019 jedenfalls eingesehen, dass neben der Einwilligung richtigerweise auch andere Rechtsgrundlagen wie ein Vertrag (Art. 6 Abs. 1 b DSGVO) und die Interessenabwägung (Art. 6 Abs. 1 f DSGVO) in Frage kommen können. Konsens besteht dahingehend, dass eine unmittelbare Anwendung der ePrivacy-Richtlinie und damit des Art.5 Abs.3 ausgeschlossen ist.

Vielfach wurde daher erwartet, dass sich der EuGH hier mit den entsprechenden Äußerungen des Generalanwaltes Szpunar auseinander setzt, der sich mit der Frage befasste, ob § 15 Abs. 3 TMG überhaupt eine richtlinienkonforme Umsetzung darstelle (Rz. 109). Zum Verhältnis dieser Rechtsgrundlagen hat sich der EuGH aber nicht geäußert. Vielmehr bringt er durch seine Feststellungen zur Einwilligung und die strikte Abarbeitung allein der zur Vorlage gebrachten Fragen zum Ausdruck, dass den Rest der BGH wohl wird klären müssen.

3. Aktive Handlung bei Einwilligung für den konkreten Fall

Der EuGH hat in seinem Urteil also zunächst klargestellt, dass bei einer Einwilligung in den Einsatz von Cookies ein aktives Handeln der Nutzer erforderlich ist. Es reicht also nicht – will man eine wirksame Einwilligung einholen – dass diese mittels einer bereits vom Anbieter selbst vorangekreutzten Checkbox “abgeholt” wird, indem der Nutzer es einfach dabei beläßt. Die aktive Einwilligungspflicht ist nach heute geltenden DSGVO-Maßstäben nicht sonderlich überraschend. Schließlich ist bereits dem Erwägungsgrund 32 DSGVO zu entnehmen, dass bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen sollen.

Die Einwilligung darf – so der EuGH weiter – außerdem nur “für den konkreten Fall“ eingeholt werden, was laut Gerichtshof so zu verstehen ist, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann. Dieses zusätzlich aufgestellte Erfordernis ist strenger als es die DSGVO eigentlich vorsieht. In Art. 7 Abs. 2 DSGVO wird jedenfalls davon ausgegangen, dass eine Erklärung auch noch andere Sachverhalte erfassen kann.

4. Einheitliche Anforderungen nach DSGVO und ePrivacy-Richtlinie

Wesentlicher sind die Erläuterungen des Gerichtshofs zur Frage, ob es einen Unterschied mache, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Diese Frage stellte sich deshalb, weil Art. 5 Abs. 3 der ePrivacy-Richtlinie lediglich von “Informationen” die Rede ist, ohne diese Informationen näher zu bestimmen oder zu präzisieren, dass es sich bei ihnen um personenbezogene Daten handeln muss.

Aus den Erläuterungen dazu folgt interessanterweise zunächst, dass Cookies (IDs, Online-Kennungen) jedenfalls nicht per se als personenbezogene Daten anzusehen sind. Im zu entscheidenden Fall entstand ein Personenbezug der durch die Cookies gespeicherten Daten durch die dort vorgenommene Verknüpfung von Cookie-ID mit den Teilnehmerdaten des Gewinnspiels. Wenn der Nutzer dann ins Internet gehe, ist er dann wieder erkennbar, sodass es sich bei der Verarbeitung der Daten mittels Cookies um eine Verarbeitung personenbezogener Daten handele. Darauf komme es aber laut EuGH gar nicht an.

Nach Ansicht des Gerichtshofes sind hier keine unterschiedlichen Maßstäbe anzulegen. Er bezieht sich dafür nicht nur nicht auf den Wortlaut des Art. 5 Abs. 3 der ePrivacy-Richtlinie und den mit ihm verfolgten Ziel der Sicherung der Privatsphäre, sondern auch dessen Kontext und das gesamte Unionsrecht. Schließlich geht es um den Schutz vor „Hidden Identifiers“ oder ähnlichen Instrumenten, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.

Eine anderslautende Antwort hätte hier möglicherweise Auswirkungen auf den Umgang mit und die Verantwortlichkeit für Cookies gehabt, die nicht der Webseitenbetreiber selbst einsetzt (1st party) sondern von dritter Seite beim Aufruf einer Webseite gesetzt werden (3rd party). Da die skizzierten Einwilligungs-Anforderungen aber nun gleichlaufend sind, gelten diese für alle einwilligungsbedürftigen Cookies, ganz gleich, wer sie setzt. Entscheidend ist allein, auf welche (Geräte-)Daten zu welchen Verarbeitungszwecken zugegriffen bzw. diese gespeichert werden.

5. Umfang der Informationspflichten

Grundsätzliches hat der EuGH dann auch zum Umfang der dem Nutzer zur Verfügung zu stellenden Informationen festgeschrieben. So gehören jedenfalls Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen, die der Diensteanbieter dem Nutzer einer Website zu geben hat. Die Betonung insbesondere dieser beiden Angaben hat zum Hintergrund, dass genau diese Informationen seitens des vorlegenden BGH zur Frage an den EuGH gelangt waren.

Mit Blick auf seine vorherigen Feststellungen zum Verhältnis zwischen ePrivacy-Richtlinie und EU-Datenschutzrichtlinie bei der Einwilligung war hier dann auch nichts anderes zu erwarten. Art. 5 Abs. 3 der Richtlinie 2002/58 verlange, dass der Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er „gemäß der Richtlinie [95/46]“ u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung erteilt. Bei Cookies, die zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen, zählen dazu dann eben auch Angaben zur Funktionsdauer und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den klaren und umfassenden Informationen, die der Nutzer erhalten muss.

Wegen des Verweises auch auf Art. 13 DSGVO wird allerdings davon auszugehen sein, dass man diese Informationen nicht direkt in den Text der eigentlichen Einwilligungserklärung aufnehmen muss. Es wird insoweit zulässig sein müssen, diese Informationen in einer gesondert abgefassten und abrufbaren Datenverarbeitungserklärung unterzubringen.

6.Keine Äußerung zu Kopplungsverbot

Für die Unternehmen liefert das Urteil keine Antwort auf die wichtige Frage, wann die Nutzung eines Dienstes unter die Bedingung des Einwilligens in die Verarbeitung personenbezogener Daten gestellt werden kann. Der EuGH hielt sich auch hier strikt an die vorgelegten Fragen.Er führte insoweit aus dass die Frage, ob es mit dem Erfordernis einer „ohne Zwang“ (Art. 2 Buchst. h der Richtlinie 95/46) bzw. „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 der Verordnung 2016/679) erteilten Einwilligung vereinbar ist, wenn ein Nutzer nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt, mangels Vorlagefrage nicht zu prüfen brauchte.

Zur Verarbeitung personenbezogener Daten im Umfeld vertraglicher Gestaltungen hatte zuletzt der Europäische Datenschutzausschuss heftig kritisierte Leitlinien zur Konsultation vorgelegt. Die Frage der Möglichkeit einer Verknüpfung von Angebot und Einholung einer (datenschutzrechtlichen) Einwilligung ist ebenfalls heiß diskutiertes Thema im Rahmen der ePrivacy-Verordnung. Hier ist man inzwischen zumindest im EU-Rat mittlerweile zur Erkenntnis gelangt, dass es einem Anbieter – soweit anderweitige Alternativen angeboten werden können – die Gestaltnug seines Angebots überlassen bleiben muss.

7.Unmittelbare Konsequenzen

Die Einwilligung ist zweifellos auf dem Vormarsch doch sie ist leider nicht das Maß aller Dinge im Digitalen. Der EuGH hat dem BGH zwar unmissverständliche Hinweise zum Hintergrund der sich aus Art. 5 Abs. 3 ePrivacy-Richtlinie ergebenden Einwilligungsanforderungen gegeben. Dies bedeutet aber nicht, dass nun alles geklärt ist. Insbesondere darf und muss nach wie vor über das Kriterium der Notwendigkeit eines Zugriffs oder einer Speicherung gesprochen werden. Zudem gelten in Deutschland nach wie vor das TMG bzw. die DSGVO.

Bereits in seinem Vorlageschluss hatte der BGH mit Blick auf bestimmte Werbezwecke zwar Hinweise dazu gegeben, dass eine Opt-Out-Lösung nach § 15 Abs. 3 TMG möglicherweise nicht mehr in Frage kommen wird. Dies bedeutet jedoch nicht das Ende der Abwägungsmöglichkeiten, namentlich derer des bereits erwähnten Art. 6 Abs. 1 f) DSGVO.

Denn der BGH hatte in seinem Vorlagebeschluss zugleich erfreulich deutlich zwischen Notwendigkeiten und Zwecken eines Zugriffs bzw. einer Speicherung von Informationen differenziert. Danach ist es laut BGH denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z.B. über Spähsoftware oder Viren) reichen.

Auch wenn also im vom EuGH konkret zu entscheidenden Fall die Einwilligung nicht rechtswirksam eingeholt worden war bedeutet dies nicht, dass das Setzen von Cookies künftig nicht doch auf Grundlage eines überwiegenden legitimen Interesses geschehen kann. Hier besteht sogar auch nach Art. 5 Abs. 3 der ePrivacy-Richtlinie erheblicher Auslegungsspielraum. In Kombination mit dem Gedanken eins legitimen Interesses auf seitens eines Unternehmens muss es daher auch möglich sein, dass nicht allein technische Notwendigkeiten eine Rolle spielen dürfen. Dies wird der BGH hoffentlich noch einmal klar darstellen.

Für Webseitenbetreiber heißt es nun einmal zu schauen, welche Anbieter und welche Cookies auf der Seite wirklich unverzichtbar bzw. notwendig sind und wie ihre Cookie-Banner funktionieren. Auch ein Austausch mit Drittanbietern hierzu ist sicherlich hilfreich. Der BVDW ist nach wie vor der Ansicht, dass die zum Betrieb und zur Sicherstellung eines auf den Nutzer abgestimmten Angebots erforderlichen Zugriffe und Speicherungen nach wie vor auch auf Grundlage einer umfassenden Interessenabwägung ohne aktives/explizites Opt-In möglich sein müssen.

8. Ausgewogene Rechtsgrundlagen für Datenzugriffe und -verarbeitungen erforderlich

Wie bekannt wurde, plant das Bundeswirtschaftsministerium nun das TMG kurzfristig zu ändern. Der BVDW hatte sich bereits in der Vergangenheit kritisch gegen solche, die hiesige digitale Wirtschaft weiter belastende Ad-Hoc-Maßnahmen ausgesprochen. Auch jetzt sollte mit Blick auf die laufenden, kontroversen Verhandlungen zur ePrivacy-Verordnung Zurückhaltung an den Tag gelegt werden. In jedem Falle kann eine one-size-fits-all-Lösung hier keinen Raum haben. Wie bereits die Diskussionen auf europäischer Ebene zeigen kann jedenfalls die die bisherige schematische Einteilung in “technisch notwendig” oder “Einwilligung” nicht der Weisheit letzter Schluss sein. Niemandem – weder Unternehmen von Verbrauchern – ist mit endlosen Einwilligungsmarathons und Informationstexten für jeden Webseitenzugriff geholfen.

Es hat sich auch im Rahmen der Verhandlungen zur neuen ePrivacy-Verordnung herumgesprochen, dass der Begriff “Erforderlichkeit” nicht rein technisch verstanden werden kann. Für die Dienste der Informationsgesellschaft müssen mit der DSGVO kongruente Regelungen geschaffen werden können, die auch die wirtschaftlichen Erforderlichkeiten jenseits unberechtigter Zugriffe eine Rolle spielen. Nicht ohne Grund ist gerade die Inkongruenz zur DSGVO seit jeher einer der Hauptkritikpunkte an der geplanten E-Privacy-Verordnung, die ja auch als Spezialisierung und Ergänzung des Datenschutzrechts verstanden werden soll.

Hier bereitet der EuGH durch seine Hinweise zum Gleichklang hinsichtlich der Einwilligungsanforderungen der Gesetzgebung in Brüssel den Weg. Diese Gedanken müssen bei der Evaluierung der DSGVO eine zentrale Rolle einnehmen. Die derzeit diskutierten Art. 8-10 des neuen ePrivacy-Verordnungsentwurfs müssen ganzheitlich und im Rahmen der DSGVO mitgeregelt werden. Anders als beim grundrechtsverpflichteten Staat – der sich aus der Kommunikation heraushalten und deren Privatheit schützen muss  – muss es zwischen grundrechtlich gleichermaßen geschützten Rechtsträgern (Unternehmen und natürlichen Personen) auch in diesem Bereich Abwägungskriterien geben können, die Grundlage für neue Tatbestände sind.

Das Überwinden der “Consent-fatigue” sollte oberstes Ziel sein ist es dem Gesetzgeber ernst, sowohl Datenschutz als auch Privatheit effektiv gewährleisten zu wollen. Es muss eine Rolle spielen, wie Webseiten heutzutage funktionieren und in welchen Bereichen Zugriffe oder Speicherungen auf oder von Informationen jenseits einer Einwilligung oder technischen Notwendigkeit über neue gesetzliche Erlaubnistatbestände abgesichert werden können. Die Spannbreite der – gegeneinander abzuwägenden – Interessenlagen hatte der BGH bereits skizziert.

Wie hier bereits des Öfteren beschrieben bedarf es – wie schon einmal bei § 15 Abs. 3 TMG in Ansätzen erfolgreich festgeschrieben – ausgewogener Gestaltungen gesetzlicher Erlaubnisse nach verarbeitungsspezifischen Kriterien (Sicherungsmaßnahmen, Datenkategorien, Rechtewahrungsgarantien, Transparenzpflichten) die auf Tatbestandsebene festgeschrieben werden. Nur so können Unternehmen wie auch Betroffene digitale Angebote rechtssicher und ohne überbordende Anstrengungen entwickeln und nutzen. Solche Erlaubnisnormen, die konkrete Anforderungen an spezifische Verarbeitungssituationen stellen, könnten dann auch dazu führen, dass Nutzer in ihrem (eigentlich gegenüber dem Staat bestehenden) “Computergrundrecht” auch im Privaten gestärkt würden und Unternehmen endlich verlässliche Leitplanken für digitale Angebote in der Data Economy bekommen.

Dann käme man weg von Privacy-by-Consent hin zu echtem Privacy-by-Design und zu mehr Rechtssicherheit und Vertrauen im Netz. Die Frage der Schaffung und Ausgestaltung ausgewogener Rechtsgrundlagen im Kontext von Cookies ist daher mehr denn je Aufgabe der europäischen Digitalpolitk.

 

Kommentar schreiben