Europäischer Datenschutzausschuss: Richtlinie zu den Anforderungen an die Einwilligung unter der DSGVO

Auch wenn der europäische Datenschutzausschuss (EDSA) die vielen geläufige Art. 29 Datenschutzgruppe bereits mit Einführung der Datenschutzgrundverordnung im Mai 2018 abgelöst hat, ist er bislang in der Öffentlichkeit noch nicht besonders in Erscheinung getreten. Das hat sich Anfang Mai geändert, denn die aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) bestehende Organisation hat am 4. Mai eine Richtlinie zum Umgang mit Einwilligungen nach der DSGVO veröffentlicht, mit der sie die Anforderungen an eine wirksame Einwilligung insbesondere im Zusammenhang mit dem Betrieb von Webseiten weiter konkretisiert.

In weiten Teilen entspricht die neue Richtlinie dabei dem früheren Arbeitspapier der Artikel-29-Datenschutzgruppe WP 259.01. Aufgrund aktueller Entwicklungen in der Onlinewelt sah sich der Ausschuss aber offensichtlich veranlasst, zwei Themen im Zusammenhang mit der Einwilligung genauer zu beleuchten: Zum einen die Zulässigkeit von so genannten „Cookie-Walls“, zum anderen die Frage, ob die bloße Weiternutzung einer Webseite zum Beispiel durch Scrollen eine Einwilligung darstellen kann.

1. „Cookie-Walls“

Neu sind die Ausführungen des EDSA zu so genannten „Cookie-Walls“ in den Rz. 38-41 der Richtlinie. In diesem Abschnitt geht es grundsätzlich um die Frage der Freiwilligkeit der Einwilligung und das Kopplungsverbot in Art. 7 Abs. 4 DSGVO.

Art. 7 Abs. 4 DSGVO sieht vor:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Der EDSA argumentiert zunächst, dass eine Einwilligung nicht freiwillig sein kann, wenn sie zur Voraussetzung für die Durchführung eines Vertrages oder die Erbringung einer Dienstleistung gemacht wird und die Daten nicht erforderlich für diesen Dienst sind. Anders sieht es hingegen aus, wenn der von der Datenverarbeitung Betroffene eine Auswahlmöglichkeit hat: Lässt der Verantwortliche ihn entscheiden, ob er (a) in eine Datenverarbeitung einwilligen möchte, die für die Erbringung des Dienstes nicht erforderlich ist, oder (b) er einen gleichwertigen Dienst ohne Einwilligung in die Datenverarbeitung nutzen kann, so ist von einer Freiwilligkeit auszugehen. Dies setzt jedoch voraus, dass die vom selben Verantwortlichen angebotenen Dienste wirklich gleichwertig sind.

Anders sieht es nach Ansicht des EDSA hingegen aus, wenn der Verantwortliche den Nutzer vor folgende Wahl stellt: (a) „Sie nutzen meinen Dienst und willigen in eine Datenverarbeitung ein, die für die Erbringung des Dienstes nicht erforderlich ist“, oder (b) „Sie nutzen einen vergleichbaren Dienst eines anderen Anbieters, der ohne Einwilligung in die Datenverarbeitung funktioniert“. Ein solches „Aussperren“ der Nutzer mit Verweis auf Fremdangebote stellt in den Augen des Ausschusses keine echte gleichwertige Wahlmöglichkeit für Nutzer da, weshalb die auf eine solche Auswahlmöglichkeit erteilte Einwilligung als unwirksam, weil nicht freiwillig, eingestuft wird.

Als Beispiel führt der EDSA folgenden Fall an (von uns frei übersetzt):

„Beispiel 6a: Ein Website-Anbieter setzt ein Skript ein, das die Sichtbarkeit von Inhalten blockiert, mit Ausnahme einer Aufforderung zur Annahme von Cookies und der Information, welche Cookies gesetzt werden und zu welchen Zwecken Daten verarbeitet werden. Es gibt keine Möglichkeit, auf den Inhalt zuzugreifen, ohne auf die Schaltfläche „Cookies akzeptieren“ zu klicken.

Da der betroffenen Person keine echte Wahlmöglichkeit geboten wird, wird ihre Zustimmung nicht frei gegeben. Dies stellt keine gültige Einwilligung dar, da die Bereitstellung des Dienstes davon abhängt, dass die betroffene Person auf die Schaltfläche „Cookies akzeptieren“. Es wird keine echte Wahlmöglichkeit angeboten.“

Für „Cookie-Walls“ bedeutet dies zukünftig:

  • Die Einwilligung des Nutzers ist nur freiwillig, wenn es eine Möglichkeit gibt, das Webangebot eines Webseitenbetreibers auch ohne Einwilligung in eine nicht für den Betrieb der Webseite erforderliche Datenverarbeitung (beispielsweise der Einsatz von Marketing-Cookies) zu nutzen.
  • Der Webseitenbetreiber darf dabei nicht auf ein Drittangebot als Alternative verweisen.
  • Erlaubt bleibt demnach ein „Abo-oder-Tracking-Modell“, wie es ursprünglich derstandard.at in Österreich entwickelte und das nun auch auf deutschen Nachrichtenwebseiten anzutreffen ist, unter anderem bei spiegel.de oder zeit.de. Hier wird dem Nutzer vom selben Anbieter eine echte Wahlmöglichkeit gegeben, das Webseitenangebot entweder mit der (nicht erforderlichen) Datenverarbeitung zu nutzen, oder aber ein Abo abzuschließen und die (nicht erforderlichen) Datenverarbeitung zu vermeiden. Wichtig ist in diesem Zusammenhang jedoch, dass die angebotenen Dienste gleichwertig sein müssen. Wann von einer Gleichwertigkeit ausgegangen werden kann, wird vom EDSA leider nicht erwähnt. Aus unserer Sicht ist dieser Punkt alles andere als unproblematisch, insbesondere im Zusammenhang mit Presse-Webseiten: Wie der Fall derstandard.at zeigt, in dem sich ein Nutzer über das Abo-Modell bei der zuständigen Datenschutzbehörde beschwert hatte, werden die Aufsichtsbehörden die Gleichwertigkeit der Dienste im Wesentlichen danach bewerten, wie hoch der Preis für das Abo-Modell ist. So entschied auch die österreichische Datenschutzbehörde im Fall derstandard.at (den Beschluss gibt es hier zum Nachlesen): „Das O**-Abo ist mit einem Preis von 6 Euro monatlich ab dem zweiten Monat auch keine unverhältnismäßig teure Alternative.“ Dass sich nun Datenschutzaufsichtsbehörden dazu aufschwingen, ohne explizite gesetzliche Grundlage über die Preiskalkulation von Presseorganen zu entscheiden, muss rechtlich – insbesondere vor dem Hintergrund, dass die Pressefreiheit nach dem Grundgesetz auch eine „Pressefinanzierungsfreiheit“ beinhaltet – als zweifelhaft bewertet werden.

2. Weiterscrollen ist keine Einwilligung

Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung unmissverständlich zum Ausdruck gebracht werden. Es bedarf also einer ausdrücklichen Erklärung oder einer anderen, eindeutig bestätigenden Handlung. In diesem Zusammenhang stellt sich die Frage, ob nicht auch dann von einer eindeutig bestätigenden Handlung ausgegangen werden kann, wenn der Webseitenbetreiber den Nutzer darauf hinweist Durch weiterscrollen/weitersurfen willigen Sie in die Datenverarbeitung ein“ und der Nutzer anschließend genau solche Handlungen vornimmt.

Diesem Ansatz schiebt der EDSA einen deutlichen Riegel vor (Beispiel 16 der Richtlinie):

„Aktionen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten genügen unter keinen Umständen dem Erfordernis einer eindeutigen und bestätigenden Handlung“ (Rz. 86 der Richtlinie)

Als Begründung führt der Ausschuss an, dass solche Aktionen sich nur schwer von anderen Aktivitäten oder Interaktionen eines Benutzers unterscheiden ließen. Auch könne nicht davon ausgegangen werden, dass Nutzer den Hinweis auf die Einwilligung durch Weiterscrollen wirklich vor der Interaktion zur Kenntnis nehmen würden, weil die Vielzahl von Cookie- und Consent-Bannern mittlerweile dazu führe, dass eine gewisse Müdigkeit der Nutzer entstehe und Hinweise nicht mehr wirklich gelesen würden. Darüber hinaus sei es in einem solchen Fall für den Nutzer kaum möglich, die Einwilligung auf eine Art und Weise zu widerrufen, die so einfach ist wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO).

Dass das bloße Weitersurfen keine aktive Einwilligung mehr darstellt, hatten wir bereits in unserer Besprechung des EuGH-Planet-49-Urteils hier im Blog dargestellt (Link). Insofern ist diese Klarstellung des europäischen Datenschutzausschusses für Eingeweihte nichts Neues – insbesondere in Italien und Spanien wurde diese Rechtsauffassung aber noch vertreten.

Trotzdem können Verantwortliche in anderen Zusammenhängen weiterhin auf einen Consent-Flow setzen, bei dem auch physische Bewegungen als eindeutige bestätigende Handlungen akzeptiert werden. Die für die Verarbeitung Verantwortlichen müssen dafür Mehrdeutigkeiten vermeiden und sicherstellen, dass die Handlung, durch die die Einwilligung erteilt wird, von anderen Handlungen klar unterschieden werden kann.

Als Beispiel nennt der EDSA (frei übersetzt):

„Beispiel 15: Streichen eines Balkens auf einem Bildschirm, Winken vor einer smarten Kamera oder Drehen eines Smartphones etwa im Uhrzeigersinn oder in einem Achter-Bewegung können Optionen sein, um eine Einwilligung wirksam zu erteilen, solange vorab eindeutige Informationen zur Verfügung gestellt werden, dass mit dieser Bewegung die Zustimmung zu einer bestimmten Anfrage erteilt wird (zum Beispiel „wenn Sie diesen Balken nach links streichen, erklären Sie sich mit der Verwendung von Information X für den Zweck Y einverstanden. Wiederholen Sie die Bewegung zur Bestätigung.“).“

Praktische Folgen kurz zusammengefasst:

  • Sofern Sie bislang auf das Einholen einer Einwilligung durch bloßes Weitersurfen des Nutzers gesetzt haben, sollten Sie dies spätestens jetzt dringend umstellen. Entsprechende Texte sind aus Consent-Bannern zu löschen.
  • Abseits von Webseiten können physische Bewegungen auch weiterhin zur Einholung einer Einwilligung (bspw. in Apps durch Swipen eines Balkens) eingesetzt werden, sofern sich die Bewegung klar von üblichen Bewegungen bei der Nutzung des Dienstes unterscheidet und der Nutzer vorab informiert wird.

Insgesamt ist abschließend darauf hinzuweisen, dass es sich bei den Vorgaben in den Richtlinie des EDSA nicht um verbindliche rechtliche Vorgaben handelt, sondern nur um die bloße Auffassung der nationalen europäischen Aufsichtsbehörden. Insofern haben die Ausführungen keinen bindenden Charakter und deuten nur an, in welche Richtung sich die Aufsichtsbehörden in ihrer Aufsichtspraxis wohl entwickeln werden. Letztlich werden die Gerichte entscheiden.

Die Einwilligung ist nicht „besser“ als das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO

VG Mainz: Einwilligung nicht besser als Interessenabwägung

Die DSGVO kennt in Art. 6 Abs. 1 sechs Rechtsgrundlagen, auf die eine Datenverarbeitung gestützt werden kann. Der Verordnungsgeber hat diese sechs Erlaubnistatbestände in den Buchstaben a–f hintereinander aufgezählt. Dass die Einwilligung dabei an erster Stelle in Buchstabe a zu finden ist, sagt nichts darüber aus, dass diese Rechtsgrundlage über den anderen steht oder in irgendeiner Weise „besser“ ist als die anderen.

Häufige Fehlvorstellung: Einwilligung hat keinen Vorrang

Immer wieder sieht man in Gerichtsentscheidungen aber liest in der juristischen Literatur, dass von einem Vorrang der Einwilligung ausgegangen wird, diese insofern als „besser“ oder datenschutzfreundlicher wahrgenommen wird.

So entschied beispielsweise der bayerische Verwaltungsgerichtshof in seinem Beschluss zur Weitergabe gehashter E-Mail-Adressen im Rahmen von Facebook Custom Audiences , dass die Datenweitergabe an Facebook auf Basis berechtigter Interessen (die Entscheidung erging noch zum alten BDSG, als Rechtsgrundlage wurde aber eine Norm vergleichbar zu Art. 6 Abs. 1 lit. f DSGVO herangezogen) nicht rechtmäßig sei. Als Begründung wurde unter anderem angeführt, die Datenverarbeitung auf dieser Rechtsgrundlage sei nicht erforderlich, weil das Unternehmen ja problemlos eine Einwilligung hätte einholen können:

„Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Ast. ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der Ast., bei Vorliegen vertraglicher Beziehungen falle die Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium i.R.d. Interessenabwägung. Es ist eine Frage des Einzelfalls, welche Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die Interessenabwägung in der Gesamtheit haben. …“

(BayVGH, Beschl. vom 26.9.2018, Az. 5 CS 18.1157, ZD 2019, 43, Rz. 29)

Ein solches Rechtsverständnis würde in der Praxis zu erheblichen Problemen führen, denn mit dieser Argumentation wäre in bestehenden Vertragsbeziehungen eine Datenverarbeitung auf Grundlage berechtigterer Interessen (Art. 6 Abs. 1 lit. f DSGVO) so gut wie nie möglich, denn man könnte dem Verantwortlichen immer vorhalten, dass es ihm ja möglich gewesen wäre, eine Einwilligung im Rahmen der bestehenden Rechtsbeziehung einzuholen.

Aktuelles Urteil des VG Mainz: Gleichwertigkeit der Rechtsgrundlagen

Umso erfreulicher ist es daher, dass das Verwaltungsgericht Mainz in einem aktuellen Urteil auf die Gleichwertigkeit der Rechtsgrundlagen ausdrücklich hinweist. In der Entscheidung ging es zwar nicht um das Onlinemarketing, sondern um die Datenweitergabe einer Tierarztpraxis an eine Verrechnungsstelle. Die folgenden Ausführungen haben jedoch allgemein Gültigkeit:

„Auf dieser Rechtsgrundlage kann eine Datenübertragung unabhängig vom Verhalten des Betroffenen – insbesondere ohne eine Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1 lit. a, Art. 7 DSGVO – zulässig sein. Schließlich sind die in Art. 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (vgl. Schulz, in: Gola, DSGVO, 2. Aufl. (2018), Art. 6, Rn. 10).“

(VG Mainz Urt. v. 20.2.2020, Az. 1 K 467/19, BeckRS 2020, 5397, Rz. 27)

Dieser Aussage des VG Mainz ist auf ganzer Linie zuzustimmen. Schließlich stellt es einen erheblichen Eingriff in die Grundrechte des datenschutzrechtlich Verantwortlichen dar, wenn man davon ausginge, die Einwilligung hätte grundsätzlich Vorrang. Es ist daher Aufgabe von Verantwortlichen, Behörden und Gerichten, nicht in die „Einwilligungsfalle“ zu tappen und diesen Gedanken im Rahmen von Interessenabwägungen außen vor zu lassen.

Französische Datenschutzbehörde kündigt „Cookie-Untersuchungen“ an

Am 12. März veröffentlichte die französische Datenschutzbehörde CNIL ihre jährliche „Inspektionsstrategie“ für 2020. Die CNIL führt jedes Jahr etwa mehrere hundert Inspektionen durch.

Die CNIL kündigte an, dass sich etwa 20 % ihrer Inspektionen für 2020 im Rahmen dieser Strategie auf die folgenden drei Themen konzentrieren werden:

  1. Sicherheit von Gesundheitsdaten: Die jüngsten Entwicklungen in Bezug auf Gesundheitsdaten zeigten, dass der Sicherheit der Aktivitäten zur Verarbeitung von Gesundheitsdaten Aufmerksamkeit geschenkt werden solle.
  2. Geolokalisierung für Gemeinschafts- oder Nahverkehrsdienste (z.B. Empfehlung geeigneter Transportmodi auf der Grundlage einer definierten Route, Reiseoptimierung usw.): Die Inspektionen konzentrieren sich auf die Verhältnismässigkeit der in diesem Zusammenhang erhobenen Personendaten, die von der Organisation festgelegten Aufbewahrungsfristen, die Information der Personen über die Datenverarbeitung und die zum Schutz der Daten getroffenen Sicherheitsmassnahmen.
  3. Verwendung von Cookies und ähnlichen Technologien: Am 18. Juli 2019 veröffentlichte die CNIL in dieser Hinischt bereits neue Richtlinien zu Cookies und ähnlichen Technologien, die die Cookie-Empfehlungen der CNIL aus dem Jahr 2013 aufheben und die für die Verwendung von Cookies und ähnlichen Technologien in Frankreich geltenden Regeln neu konzipieren.

Darüber hinaus veröffentlichte die CNIL am 14. Januar 2020 Empfehlungen zu den praktischen Modalitäten für die Einholung der Einwilligung der Benutzer zur Speicherung oder zum Lesen von „nicht-essentiellen“ Cookies und ähnlichen Technologien.

Diese Empfehlungen standen bis zum 25. Februar 2020 zur öffentlichen Konsultation offen. Wichtig zu wissen ist insoweit, dass diese Empfehlungen keinen Gesetzescharakter haben. Eine endgültige Version der Empfehlungen wird in den kommenden Wochen veröffentlicht werden. Die CNIL wird dann nach der Verabschiedung der endgültigen Empfehlungen eine Frist von sechs Monaten einräumen, bevor sie ihre neuen Richtlinien in Kraft setzt. Die Untersuchungen werden voraussichtlich – aber abhängig von der COVID-19 Entwicklung – im Herbst 2020 beginnen und im Jahr 2021 fortgesetzt.

Neues von der ePrivacy-Verordnung

Neuer Entwurf mit Bedeutung für die Online-Werbebranche vorgelegt

Die von vielen totgesagte ePrivacy-Verordnung lebt noch. Nachdem es der finnischen Ratspräsidentschaft angesichts zahlreicher Unstimmigkeiten zwischen den Mitgliedsstaaten nicht gelungen war, einen Konsens zu finden, hieß es Ende 2019, dass ein komplett neuer Entwurf her müsse. Nun hat die kroatische Ratspräsidentschaft jedoch am 21. Februar 2020 auf Basis des bisherigen Entwurfs einige Änderungen vorgeschlagen, die insbesondere für die Online-Werbebranche relevant sind.

Geändert werden sollen nach dem neuen Entwurf die Artikel 6 und 8 sowie die dazugehörigen Erwägungsgründe. Maßgeblich für die Onlinewerbebranche sind die Änderungen in Art. 8 („Schutz der Endgeräteinformationen von Endbenutzern“), der als Nachfolgenorm zu Art. 5 Abs. 3 der ePrivacy-Richtlinie den Einsatz von Tracking-Technologien (wie z.B. Cookies) regeln soll.

Nun doch: Interessenabwägung wie in der DSGVO

Nachdem die bisherigen Entwürfe der ePrivacy-Verordnung vor allem auf die Einwilligung beim Einsatz von Tracking-Technologien setzten, wird durch den neuen Entwurf nun eine Abwägungslösung ins Spiel gebracht, die in Teilen an die aus der DSGVO bekannte Interessenabwägung in Art. 6 Abs. 1 lit. f DSGVO erinnert.

Der neu eingefügte Art. 8 Abs. 1 lit. g ePrivacy-VO-E lautet:

„1. The use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware, other than by the end-user concerned shall be prohibited, except on the following grounds: […]

(g) it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user.

The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679.“

Danach soll der Einsatz von Tracking-Technologien, die auf Informationen aus dem Endgerät des Nutzers zugreifen oder die Verarbeitungs- und Speichermöglichkeiten des Endgeräts nutzen, dann zulässig sein, wenn dies für die Verfolgung berechtigter Interessen des Diensteanbieters erforderlich ist, es sei denn, die berechtigten Interessen oder die Grundrechte und Grundfreiheiten des Nutzers überwiegen.

Die berechtigten Interessen der Diensteanbieter werden zunächst einmal nicht auf bestimmte Zwecke des Zugriffs beschränkt. Damit kommt der Vorschlag auf den ersten Blick der Werbewirtschaft entgegen, denn er erlaubt im Prinzip auch den Einsatz von Cookies oder Pixeln für das Ausspielen von Werbung.

Besonderheiten im Rahmen der Interessenabwägung

Anders als in der DSGVO hat die kroatische Ratspräsidentschaft es aber nicht bei einer bloßen Generalklausel belassen, sondern noch im Normtext selbst Fälle formuliert, in denen die Abwägung regelmäßig zugunsten der Nutzer ausfällt.

Nach der Norm wird davon ausgegangen, dass die Interessen der Endnutzer überwiegen,

  • wenn der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um „das Wesen und die Eigenschaften des Endnutzers“ zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Artikel 9 Abs. 1 DSGVO enthält.

Neben diesen Regelbeispielen, in denen von einem Überwiegen der Nutzerinteressen ausgegangen wird, enthält der Entwurf im Erwägungsgrund (ErwG) 21b eine genauere Beschreibung der in der Abwägung zu berücksichtigenden Punkte sowie der berechtigten Interessen des Endnutzers.

So ist nach ErwG 21b in der Abwägung zentral, ob ein Endnutzer vernünftigerweise mit einem Tracking rechnen muss. Hierzu heißt es im Entwurf:

„Ein berechtigtes Interesse könnte geltend gemacht werden, wenn der Endbenutzer im Rahmen einer bestehenden Kundenbeziehung mit dem Dienstanbieter vernünftigerweise eine solche Speicherung, Verarbeitung oder Sammlung von Informationen in oder von seinem Endgerät erwarten kann.“

Als Beispiele führt der Entwurf etwa die Behebung von Sicherheitslücken oder die Betrugsprävention an.

Sehr interessant ist, dass der Entwurf für Anbieter von Diensten, „welche die Meinungs- und Informationsfreiheit (auch für journalistische Zwecke) gewährleisten, wie zum Beispiel Online-Zeitungen oder andere Presseveröffentlichungen oder audiovisuelle Mediendienste“, eine Sonderregelung vorsieht. Sie können sich – trotz der Ausnahmetatbestände – auf berechtigte Interessen stützen, wenn ihre Dienste ohne direkte Geldzahlung zugänglich sind und ganz oder überwiegend durch Werbung finanziert werden, vorausgesetzt der Endnutzer erhält klare, präzise und benutzerfreundliche Informationen über die Zwecke der verwendeten Cookies oder ähnlicher Techniken. Für journalistische Inhalte kann das „berechtigte Interesse“ also auch ein Finanzierungsinteresse bedeuten.

Besonders problematisch für die Online-Werbebranche sind die Ausnahmegründe (2) und (3) in der neu geschaffenen Norm. Aufgrund der Formulierung ist zu befürchten, dass das normale Tracking (außerhalb des journalistischen Kontexts) doch nicht per Interessenabwägung möglich sein soll. Der Erwägungsgrund 21b liefert hierzu leider nur eine wenig erhellende Erklärung:

„Umgekehrt sollte sich ein Anbieter nicht auf legitime Interessen berufen können, wenn die Speicherung oder Verarbeitung von Informationen in den Endgeräten des Endnutzers oder die daraus gesammelten Informationen dazu verwendet werden, das Wesen oder die Eigenschaften eines Endnutzers zu bestimmen oder ein individuelles Profil eines Endnutzers zu erstellen. In solchen Fällen haben die Interessen des Endnutzers und die Grundrechte und -freiheiten Vorrang vor den Interessen des Diensteanbieters, da solche Verarbeitungsvorgänge ernsthaft in das Privatleben eines Endnutzers eingreifen können, z.B. wenn sie für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens verwendet werden.“

Wann Tracking dazu führt, dass „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, bleibt auch unter Hinzuziehung der Erwägungsgründe unklar.

Weitere Schutzmaßnahmen für die Endnutzer

Will ein Diensteanbieter Daten aufgrund einer Interessenabwägung verarbeiten, erlegt der neue Art. 8 Abs. 1a ePrivacy-VO-E ihm weitere Pflichten auf, die dem Schutz der Endnutzer dienen sollen. So darf der Anbieter die mittels Tracking gewonnenen Daten nur nach vorheriger Anonymisierung an Dritte weitergeben (Auftragsverarbeiter nach Art. 28 DSGVO sind hiervon nicht umfasst, da sie keine Dritten im datenschutzrechtlichen Sinne sind).

Darüber hinaus muss der Anbieter vor der Datenverarbeitung eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen und den Endnutzer in einer effektiven und einfachen Art über die Verarbeitung und sein Widerspruchsrecht informieren.

Unsere Bewertung des neuen Entwurfs

Aus Sicht der Online-Werbebranche ist der neue Entwurf im Prinzip zu begrüßen, stellt er doch erstmals eine Bewegung weg vom Einwilligungserfordernis beim Tracking dar. Die Einführung einer flexibleren Rechtsgrundlage neben der Einwilligung ist in jedem Fall ein Fortschritt.

Problematisch ist jedoch, dass gerade in Bezug auf das Tracking außerhalb von journalistischen Webseiten aufgrund der im Entwurf enthaltenen Ausschlussgründe abermals viel Verwirrung gestiftet wird.

Wenn durch das Tracking „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, muss wieder auf die Einwilligung zurückgegriffen werden. Hier begibt sich der Entwurf in rechtlich unklare Fahrwasser. Er spricht beispielhaft von einem ernsthaften Eingriff in das Privatleben der Nutzer, wenn ihre Daten „für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens“ verwendet werden.

Sinn des Trackings ist regelmäßig, pseudonymisierte Profile der Endnutzer zu erstellen, mit denen ihr Verhalten auf bestimmten Webseiten nachvollzogen werden kann und das letztlich zur Ausspielung zielgerichteter Werbung genutzt wird. Doch reicht das aus, um von einer Überwachung des Verhaltens bestimmter Endnutzer zu sprechen? Dafür spricht, dass der Entwurf eine klare Privilegierung journalistischer Webseiten vorsieht und für diese Angebote ein Tracking und eine damit verbundene Werbefinanzierung ohne Einwilligung der Nutzer anerkennt. Im Umkehrschluss bedeutet dies, dass bei allen anderen Formen von Webseiten eine solche Lösung von den Verfassern des Entwurfs eher abgelehnt wird. Dass aber zielgerichtete Werbung auf journalistischen Angeboten nur funktioniert, wenn auch auf anderen Webseiten Informationen über den betreffenden Endnutzer eingeholt wurden, wird im Entwurf nicht berücksichtigt. Eine konsistente Lösung sieht anders aus.

Es bleibt damit zu hoffen, dass der Entwurf der kroatischen Ratspräsidentschaft nicht den Endpunkt der Debatte rund um die ePrivacy-Verordnung darstellt, sondern er den Stein mit neuem Schwung ins Rollen bringt und die Diskussion um den sinnvollen Umgang mit den berechtigten Interessen der Online-Werbebranche neu entfacht.

Die „Planet49“-Entscheidung des Europäischen Gerichtshofs – eine Gefahr für die programmatische Werbung?

Vor wenigen Tagen hat der Europäische Gerichtshof den Fall „Planet49“ entschieden (Rs. C‑673/17). Dieses Urteil war mit Spannung erwartet worden – in der Hoffnung, der EuGH würde das Urteil zur Gelegenheit nehmen, der Onlinemarketingbranche mehr rechtliche Klarheit zu verschaffen. Das geschah jedoch nur zum Teil. Wichtige Fragen bleiben leider nach wie vor unbeantwortet.

Worum ging es im „Planet49“-Verfahren?

Im September 2013 veranstaltete das Unternehmen Planet49 auf der Website „www.dein-macbook.de“ ein Gewinnspiel. Um an dem Gewinnspiel teilnehmen zu können, mussten Internetnutzer zunächst ihre Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern für ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeld versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld (im Folgenden: erstes Ankreuzfeld) nicht mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. […]“

Der zweite Hinweistext, dessen Ankreuzfeld (im Folgenden: zweites Ankreuzfeld) mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres [in der verlinkten Datenschutzerklärung].“

Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde.

Der Bundesverband der Verbraucherschutzzentralen erhob daraufhin beim Landgericht Frankfurt am Main Klage gegen Planet49, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt werden sollte, solche Einverständniserklärungen nicht mehr zu verlangen. Das Landgericht Frankfurt am Main gab der Klage teilweise statt, das Oberlandesgericht Frankfurt wies sie dagegen in zweiter Instanz zurück.

Der vom Bundesverband der Verbraucherschutzzentralen im Wege der Revision angerufene Bundesgerichtshof hatte Zweifel, ob die von Planet49 mittels des zweiten Ankreuzfelds eingeholten Einwilligungen wirksam waren. Daher setzte er das Verfahren aus und legte dem Europäischen Gerichtshof eine Reihe von Fragen zur so genannten Vorabentscheidung vor:

Welche Fragen lagen dem Europäischen Gerichtshof zur Entscheidung vor?

Der Bundesgerichtshof hatte dem EuGH die folgenden Fragen gestellt (sprachlich etwas angepasst):

  1. Handelt es sich um eine wirksame Einwilligung, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzfeld erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene oder um anonyme Daten handelt?
  3. Liegt unter den in Frage 1 genannten Umständen eine wirksame Einwilligung im Sinne der Datenschutzgrundverordnung vor?
  4. Welche Informationen muss ein Website-Betreiber den Nutzern zur Verfügung stellen, um Cookies setzen zu dürfen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

 Wie fiel das Urteil des EuGH aus?

Der Europäische Gerichtshof entschied Folgendes:

  • Es liegt keine wirksame Einwilligung im Sinne der maßgeblichen EU-Richtlinien vor, wenn das Setzen von und der Zugriff auf Cookies durch ein voreingestelltes Ankreuzfeld  abgefragt wird, welches der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
  • Es kommt nicht darauf an,  ob es sich bei den im Endgerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
  • Nach der ePrivacy-Richtlinie muss ein Website-Betreiber Angaben zur Funktionsdauer der Cookies machen und darüber informieren, ob Dritte Zugriff auf die Cookies erhalten.

Was bedeutet das für die Praxis?

Die Entscheidung war für Brancheninsider wenig überraschend: Wer Cookies einsetzt, braucht zukünftig eine „aktive“ Einwilligung. Eine Opt-out-Lösung reicht nicht mehr aus. Die heute noch so beliebte Formulierung, „wenn Sie jetzt weiter surfen, stimmen sie der Verarbeitung Ihrer Daten zu.“ ist nicht mehr zulässig. Eine solche stillschweigende Einwilligung ist unwirksam.

Das gilt – und das ist ein wenig überraschend – sowohl für Cookies mit personenbezogenen Inhalten wie auch mit anonymen Inhalten.

Was war nicht Gegenstand des EuGH-Urteils? Anders ausgedrückt: Braucht man für Cookies jetzt immer eine Einwilligung?

Die Besonderheit eines solchen Verfahrens vor dem Europäischen Gerichtshof besteht darin, dass der EuGH nur die Fragen zu beantworten hat, die das Ausgangsgericht (in diesem Fall der Bundesgerichtshof) ihm stellt. Deshalb hatte er keine Veranlassung, zu den weiteren für die Onlinebranche wichtigen Fragen Stellung zu nehmen. Damit hat der EuGH insbesondere nicht geklärt,

  • ob das Setzen von Cookies durch andere Rechtgrundlagen gerechtfertigt sein könnte, zum Beispiel durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO),
  • wer für das Setzen eines third-party-Cookies eigentlich datenschutzrechtlich verantwortlich ist,
  • wann so genannte „erforderliche“ Cookies vorliegen, für die keine gesonderte Einwilligung einzuholen ist (Art. 5 Abs. 3 ePrivacy-RL).
  • Es ist auch nicht geklärt, ob Nutzereinzelnen Onlinemarketing Dienstleistern oder zumindest Dienstleister-Gruppen (Kategorien, also zum Beispiel “Onlinemarketing”) aktiv zustimmen müssen. Diese Frage ist natürlich von weitreichender Bedeutung: Alle Dienstleister zu benennen, die im Onlinemarketing-Ökosystems beteiligt sind, wäre eine praktisch unlösbare Aufgabe.

 Gibt es also noch „einwilligungsfreie“ Cookies?

Nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (auch als „Cookie-Richtlinie“ bekannt) gibt es nach wie vor Cookies, die „unbedingt erforderlich“ sind und daher keinerlei Einwilligung benötigen. Wann ein Cookie jedoch „unbedingt erforderlich“ ist, lässt sich weder der Richtlinie noch dem EuGH-Urteil entnehmen. Zu dieser Kategorie dürften aber zum Beispiel mindestens die folgenden Cookies zählen: Warenkorb-Cookies, Login-Cookies, Sprachauswahl-Cookies und Ähnliche. Natürlich müssen diese Cookies auch in der Datenschutzerklärung erläutert werden. Das beinhaltet Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf diese Cookies erhalten.

Vieles ist hier auch nach der Entscheidung des EuGH trotzdem noch unklar. Marketing-Cookies oder Cookies für das Erstellen von Statistiken werden jedoch allgemein als nicht „unbedingt erforderlich“ betrachtet. In diesen Fällen muss daher vor dem Einsatz eine informierte Einwilligung der Nutzer eingeholt werden.

Müssen alle Dienstleister in der Datenschutzerklärung erwähnt werden – oder reichen Gruppen (Kategorien) aus?

Man steht oft vor dem Problem, dass eine unüberschaubare Anzahl von Dienstleistern (third parties) in die programmatische Werbung eingebunden werden. Es ist kaum möglich, all diese Dienstleister namentlich und einzeln zu benennen, zum Teil sind sie auch gar nicht bekannt. Kann man deshalb aus Vereinfachungsgründen „Gruppen“ bilden, um diesem Problem zu entgehen? (zum Beispiel durch die Angabe „Retargeting-Dienstleister)

Auch diese für die Praxis so wichtige Frage hat der EuGH offen gelassen. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg schreibt dazu kürzlich:

„In der Einwilligung […] muss der Verarbeitungsvorgang klar und deutlich beschrieben werden. Nutzer müssen ohne Weiteres verstehen können, in was sie einwilligen. Ein bloßer Hinweis ‚diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern‘ oder ‚für Webanalyse und Werbemaßnahmen‘ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die Einwilligung muss nicht für die Verwendung von Cookies an sich, sondern für die Erhebung und Weitergabe personenbezogener Daten eingeholt werden. Insbesondere muss genau und verständlich aufgelistet werden, an welche namentlich zu benennenden Dritten welche Daten weitergegeben werden, bzw. welche Dritten Daten erheben oder empfangen (Empfänger) und zu welchem genauen Zweck dies geschieht. Verfolgen Dritte eigene Zwecke, müssen auch diese beschrieben werden. Diese Informationen müssen klar und deutlich dargestellt werden und dürfen nicht verschleiert werden, auch nicht durch die Wahl der Überschrift. Nutzer müssen aktiv und freiwillig einwilligen […], die Zustimmung darf nicht vorausgewählt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte Kästchen reichen nicht aus (‚privacy by design‘ und ‚privacy by default‘).“

Er schreibt aber auch – und das ist bedeutsam (Hervorhebung hinzugefügt):

„Die einzelnen Empfänger sollten einzeln, bzw. nach Kategorien auswählbar sein.“ 

Das bedeutet, dass es möglich sein muss, die Empfänger auch (nur) in Kategorien zu benennen. Dies steht auch im Einklang mit Art. 13 Abs. 1 lit. e) DSGVO, denn auch danach sind „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ zu benennen. Es bleibt also abzuwarten, ob der EuGH diese Ansicht in einem zukünftigen Verfahren bestätigen wird.

Die englische Datenschutz-Aufsichtsbehörde ICO sieht diese Fragen übrigens deutlich kritischer. Das gleiche gilt für die französische Aufsichtsbehörde CNIL. Um so wichtiger ist es, dass hier so bald wie möglich endlich einmal Klarheit geschaffen wird.

Wie geht es weiter?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen eine Änderung des deutschen Telemediengesetzes angekündigt, um auf das „Planet49“-Urteil zu reagieren. Es bleibt abzuwarten, was hier geschieht. Parallel dazu wird der Rechtsstreit jetzt an den Bundesgerichtshof zurückverwiesen, der den konkreten Fall dann endgültig entscheiden muss.

Was sollte man jetzt tun?

  • Website-Betreiber, die derzeit für Cookies ein „Opt-out“ anbieten, also voreingestellte Ankreuzfelder verwenden, müssen diese Praxis ändern.
  • Website-Bbetreiber, die kein Consent-Banner nutzen, sondern sich nach wie vor auf § 15 Abs. 3 TMG und Art. 6 Abs. 1 lit. f) DSGVO berufen, müssen mit einem nicht geringen rechtlichen Risiko rechnen. Dennoch halten einige diesen sicherlich riskanten Weg für vertretbar, solange die bestehende Gesetzeslage noch nicht geändert wurde.
  • Das Setzen von Cookies, die einer Einwilligung bedürfen, erfordert nach der Ansicht des EuGH zukünftig eine ausdrückliche Einwilligung, das heißt etwa das Setzen eines Häkchens, das Klicken auf eine Schaltfläche oder die Betätigung eines Schiebeschalters.
  • Das einfache „Weitersurfen“ nach einem Hinweis oder eine voreingestellte Einwilligung genügen künftig in diesen Fällen nicht.
  • Die Einwilligung muss eingeholt werden, bevor die Cookies gesetzt werden! Das Cookie darf also erst gesetzt werden, nachdem die Einwilligung eingeholt wurde. Dies entspricht auch der Ansicht der Aufsichtsbehörden, die in einer Orientierungshilfe für die Anbieter von Telemedien bereits Anfang des Jahres Stellung genommen hatten .
  • Ferner müssen Cookie-Policies und Datenschutzerklärungen nach den Vorgaben des Europäischen Gerichtshofs vervollständigt werden. Dazu gehören insbesondere Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten. Dabei auf die Nennung von Gruppen zurückzugreifen, erscheint uns vertretbar. Abschließend geklärt ist diese Frage aber nicht.