Vor wenigen Tagen hat der Europäische Gerichtshof den Fall „Planet49“ entschieden (Rs. C‑673/17). Dieses Urteil war mit Spannung erwartet worden – in der Hoffnung, der EuGH würde das Urteil zur Gelegenheit nehmen, der Onlinemarketingbranche mehr rechtliche Klarheit zu verschaffen. Das geschah jedoch nur zum Teil. Wichtige Fragen bleiben leider nach wie vor unbeantwortet.
Worum ging es im „Planet49“-Verfahren?
Im September 2013 veranstaltete das Unternehmen Planet49 auf der Website „www.dein-macbook.de“ ein Gewinnspiel. Um an dem Gewinnspiel teilnehmen zu können, mussten Internetnutzer zunächst ihre Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern für ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeld versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld (im Folgenden: erstes Ankreuzfeld) nicht mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. […]“
Der zweite Hinweistext, dessen Ankreuzfeld (im Folgenden: zweites Ankreuzfeld) mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres [in der verlinkten Datenschutzerklärung].“
Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde.
Der Bundesverband der Verbraucherschutzzentralen erhob daraufhin beim Landgericht Frankfurt am Main Klage gegen Planet49, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt werden sollte, solche Einverständniserklärungen nicht mehr zu verlangen. Das Landgericht Frankfurt am Main gab der Klage teilweise statt, das Oberlandesgericht Frankfurt wies sie dagegen in zweiter Instanz zurück.
Der vom Bundesverband der Verbraucherschutzzentralen im Wege der Revision angerufene Bundesgerichtshof hatte Zweifel, ob die von Planet49 mittels des zweiten Ankreuzfelds eingeholten Einwilligungen wirksam waren. Daher setzte er das Verfahren aus und legte dem Europäischen Gerichtshof eine Reihe von Fragen zur so genannten Vorabentscheidung vor:
Welche Fragen lagen dem Europäischen Gerichtshof zur Entscheidung vor?
Der Bundesgerichtshof hatte dem EuGH die folgenden Fragen gestellt (sprachlich etwas angepasst):
- Handelt es sich um eine wirksame Einwilligung, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzfeld erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
- Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene oder um anonyme Daten handelt?
- Liegt unter den in Frage 1 genannten Umständen eine wirksame Einwilligung im Sinne der Datenschutzgrundverordnung vor?
- Welche Informationen muss ein Website-Betreiber den Nutzern zur Verfügung stellen, um Cookies setzen zu dürfen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Wie fiel das Urteil des EuGH aus?
Der Europäische Gerichtshof entschied Folgendes:
- Es liegt keine wirksame Einwilligung im Sinne der maßgeblichen EU-Richtlinien vor, wenn das Setzen von und der Zugriff auf Cookies durch ein voreingestelltes Ankreuzfeld abgefragt wird, welches der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
- Es kommt nicht darauf an, ob es sich bei den im Endgerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
- Nach der ePrivacy-Richtlinie muss ein Website-Betreiber Angaben zur Funktionsdauer der Cookies machen und darüber informieren, ob Dritte Zugriff auf die Cookies erhalten.
Was bedeutet das für die Praxis?
Die Entscheidung war für Brancheninsider wenig überraschend: Wer Cookies einsetzt, braucht zukünftig eine „aktive“ Einwilligung. Eine Opt-out-Lösung reicht nicht mehr aus. Die heute noch so beliebte Formulierung, „wenn Sie jetzt weiter surfen, stimmen sie der Verarbeitung Ihrer Daten zu.“ ist nicht mehr zulässig. Eine solche stillschweigende Einwilligung ist unwirksam.
Das gilt – und das ist ein wenig überraschend – sowohl für Cookies mit personenbezogenen Inhalten wie auch mit anonymen Inhalten.
Was war nicht Gegenstand des EuGH-Urteils? Anders ausgedrückt: Braucht man für Cookies jetzt immer eine Einwilligung?
Die Besonderheit eines solchen Verfahrens vor dem Europäischen Gerichtshof besteht darin, dass der EuGH nur die Fragen zu beantworten hat, die das Ausgangsgericht (in diesem Fall der Bundesgerichtshof) ihm stellt. Deshalb hatte er keine Veranlassung, zu den weiteren für die Onlinebranche wichtigen Fragen Stellung zu nehmen. Damit hat der EuGH insbesondere nicht geklärt,
- ob das Setzen von Cookies durch andere Rechtgrundlagen gerechtfertigt sein könnte, zum Beispiel durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO),
- wer für das Setzen eines third-party-Cookies eigentlich datenschutzrechtlich verantwortlich ist,
- wann so genannte „erforderliche“ Cookies vorliegen, für die keine gesonderte Einwilligung einzuholen ist (Art. 5 Abs. 3 ePrivacy-RL).
- Es ist auch nicht geklärt, ob Nutzereinzelnen Onlinemarketing Dienstleistern oder zumindest Dienstleister-Gruppen (Kategorien, also zum Beispiel “Onlinemarketing”) aktiv zustimmen müssen. Diese Frage ist natürlich von weitreichender Bedeutung: Alle Dienstleister zu benennen, die im Onlinemarketing-Ökosystems beteiligt sind, wäre eine praktisch unlösbare Aufgabe.
Gibt es also noch „einwilligungsfreie“ Cookies?
Nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (auch als „Cookie-Richtlinie“ bekannt) gibt es nach wie vor Cookies, die „unbedingt erforderlich“ sind und daher keinerlei Einwilligung benötigen. Wann ein Cookie jedoch „unbedingt erforderlich“ ist, lässt sich weder der Richtlinie noch dem EuGH-Urteil entnehmen. Zu dieser Kategorie dürften aber zum Beispiel mindestens die folgenden Cookies zählen: Warenkorb-Cookies, Login-Cookies, Sprachauswahl-Cookies und Ähnliche. Natürlich müssen diese Cookies auch in der Datenschutzerklärung erläutert werden. Das beinhaltet Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf diese Cookies erhalten.
Vieles ist hier auch nach der Entscheidung des EuGH trotzdem noch unklar. Marketing-Cookies oder Cookies für das Erstellen von Statistiken werden jedoch allgemein als nicht „unbedingt erforderlich“ betrachtet. In diesen Fällen muss daher vor dem Einsatz eine informierte Einwilligung der Nutzer eingeholt werden.
Müssen alle Dienstleister in der Datenschutzerklärung erwähnt werden – oder reichen Gruppen (Kategorien) aus?
Man steht oft vor dem Problem, dass eine unüberschaubare Anzahl von Dienstleistern (third parties) in die programmatische Werbung eingebunden werden. Es ist kaum möglich, all diese Dienstleister namentlich und einzeln zu benennen, zum Teil sind sie auch gar nicht bekannt. Kann man deshalb aus Vereinfachungsgründen „Gruppen“ bilden, um diesem Problem zu entgehen? (zum Beispiel durch die Angabe „Retargeting-Dienstleister)
Auch diese für die Praxis so wichtige Frage hat der EuGH offen gelassen. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg schreibt dazu kürzlich:
„In der Einwilligung […] muss der Verarbeitungsvorgang klar und deutlich beschrieben werden. Nutzer müssen ohne Weiteres verstehen können, in was sie einwilligen. Ein bloßer Hinweis ‚diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern‘ oder ‚für Webanalyse und Werbemaßnahmen‘ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die Einwilligung muss nicht für die Verwendung von Cookies an sich, sondern für die Erhebung und Weitergabe personenbezogener Daten eingeholt werden. Insbesondere muss genau und verständlich aufgelistet werden, an welche namentlich zu benennenden Dritten welche Daten weitergegeben werden, bzw. welche Dritten Daten erheben oder empfangen (Empfänger) und zu welchem genauen Zweck dies geschieht. Verfolgen Dritte eigene Zwecke, müssen auch diese beschrieben werden. Diese Informationen müssen klar und deutlich dargestellt werden und dürfen nicht verschleiert werden, auch nicht durch die Wahl der Überschrift. Nutzer müssen aktiv und freiwillig einwilligen […], die Zustimmung darf nicht vorausgewählt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte Kästchen reichen nicht aus (‚privacy by design‘ und ‚privacy by default‘).“
Er schreibt aber auch – und das ist bedeutsam (Hervorhebung hinzugefügt):
„Die einzelnen Empfänger sollten einzeln, bzw. nach Kategorien auswählbar sein.“
Das bedeutet, dass es möglich sein muss, die Empfänger auch (nur) in Kategorien zu benennen. Dies steht auch im Einklang mit Art. 13 Abs. 1 lit. e) DSGVO, denn auch danach sind „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ zu benennen. Es bleibt also abzuwarten, ob der EuGH diese Ansicht in einem zukünftigen Verfahren bestätigen wird.
Die englische Datenschutz-Aufsichtsbehörde ICO sieht diese Fragen übrigens deutlich kritischer. Das gleiche gilt für die französische Aufsichtsbehörde CNIL. Um so wichtiger ist es, dass hier so bald wie möglich endlich einmal Klarheit geschaffen wird.
Wie geht es weiter?
Das Bundeswirtschaftsministerium hat schon vor einigen Wochen eine Änderung des deutschen Telemediengesetzes angekündigt, um auf das „Planet49“-Urteil zu reagieren. Es bleibt abzuwarten, was hier geschieht. Parallel dazu wird der Rechtsstreit jetzt an den Bundesgerichtshof zurückverwiesen, der den konkreten Fall dann endgültig entscheiden muss.
Was sollte man jetzt tun?
- Website-Betreiber, die derzeit für Cookies ein „Opt-out“ anbieten, also voreingestellte Ankreuzfelder verwenden, müssen diese Praxis ändern.
- Website-Bbetreiber, die kein Consent-Banner nutzen, sondern sich nach wie vor auf § 15 Abs. 3 TMG und Art. 6 Abs. 1 lit. f) DSGVO berufen, müssen mit einem nicht geringen rechtlichen Risiko rechnen. Dennoch halten einige diesen sicherlich riskanten Weg für vertretbar, solange die bestehende Gesetzeslage noch nicht geändert wurde.
- Das Setzen von Cookies, die einer Einwilligung bedürfen, erfordert nach der Ansicht des EuGH zukünftig eine ausdrückliche Einwilligung, das heißt etwa das Setzen eines Häkchens, das Klicken auf eine Schaltfläche oder die Betätigung eines Schiebeschalters.
- Das einfache „Weitersurfen“ nach einem Hinweis oder eine voreingestellte Einwilligung genügen künftig in diesen Fällen nicht.
- Die Einwilligung muss eingeholt werden, bevor die Cookies gesetzt werden! Das Cookie darf also erst gesetzt werden, nachdem die Einwilligung eingeholt wurde. Dies entspricht auch der Ansicht der Aufsichtsbehörden, die in einer Orientierungshilfe für die Anbieter von Telemedien bereits Anfang des Jahres Stellung genommen hatten .
- Ferner müssen Cookie-Policies und Datenschutzerklärungen nach den Vorgaben des Europäischen Gerichtshofs vervollständigt werden. Dazu gehören insbesondere Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten. Dabei auf die Nennung von Gruppen zurückzugreifen, erscheint uns vertretbar. Abschließend geklärt ist diese Frage aber nicht.