Französische Datenschutzbehörde CNIL verhängt Rekord-Bußgelder gegen Google und Amazon wegen rechtswidriger Nutzung von Werbe-Cookies

Mit dem „Planet49“-Urteil des Europäisches Gerichtshofs wurde 2019 höchstrichterlich entschieden, dass die Verwendung von Werbe-Cookies die vorherige Zustimmung des Nutzers in Form einer aktiven Einwilligung erfordert. Die 7. Dezember ergangene Entscheidung der französischen Datenschutzbehörde CNIL gegen Google und Amazon gleicht einem Paukenschlag: Während Google und Google Ireland zusammen 100 Millionen Euro Strafe zahlen sollen, ist die Amazon-Tochter Europe Core mit einem Bußgeld in Höhe von 35 Millionen Euro belegt worden.

Sanktionierung der bisherigen Cookie-Praxis

Gegenüber Google erhebt die CNIL den Vorwurf, „ohne vorherige Zustimmung und ohne angemessene Information Werbe-Cookies auf den Computern von Nutzern der Suchmaschine google.fr platziert“ zu haben. Im Rahmen der durch die CNIL beanstandeten Praxis hatte Google bei dem Aufruf der Seite google.fr ein Banner mit der Überschrift „Rappel concernant les règles de confidentialité de Google“ („Erinnerung bezüglich der Datenschutzeinstellungen“) angezeigt. Die darauf befindlichen zwei Schaltflächen waren mit „Me le rappeler plus tard“ („Erinnere mich später“) und „Consulter maintenant“ („Jetzt zugreifen“) beschriftet.

Den Rechtsverstoß sieht die CNIL darin, dass dieser Banner den Nutzern keinen Hinweis auf das Setzen von Cookies erteilte, zumal bereits Werbe-Cookies bereits gesetzt wurden, sobald die Nutzer die Seite google.fr aufgerufen hatten. Selbst wenn die Nutzer sich entschieden hätten, die Schaltfläche „Consulter maintenant“ („Jetzt zugreifen“)aufzurufen, seien sie nicht ausreichend über die Cookies aufgeklärt worden. Den Nutzern habe so die Information gefehlt, wie sie dem Einsatz der Cookies widersprechen können.

Auch gegenüber der zum Amazon-Konzern gehörigen Europe Core wurde das automatische Setzen von Cookies ohne eine vorherige Zustimmung des Nutzers beanstandet.

Auch Anpassungen genügen nicht

Google hat die beschriebene Praxis seit der Einleitung des Bußgeldverfahren zwar angepasst. So ist der Cookie-Banner von Google seit September wie folgt gestaltet: Personen, die google.fr besuchen, sehen nun ein Popup in der Mitte ihres Bildschirms, bevor sie auf die Suchmaschine zugreifen können, das den Titel „Avant de continuer“ („Bevor Sie fortfahren“) trägt und übersetzt den folgenden Hinweis enthält:

Google verwendet Cookies und andere Daten, um seine Dienste und Anzeigen bereitzustellen, zu verwalten und zu verbessern. Wenn Sie zustimmen, werden wir die Inhalte und Anzeigen, die Sie sehen, auf der Grundlage Ihrer Aktivitäten in Google-Diensten wie Suche, Karten und YouTube anpassen. Einige unserer Partner werten auch aus, wie unsere Dienste genutzt werden. Klicken Sie auf Weitere Informationen“, um mehr über Ihre Möglichkeiten zu erfahren, oder besuchen Sie jederzeit die Seite g.co/privacytools, wo Cookies, Partner und g.co/privacytools anklickbare Links sind.

Am unteren Rand des Popups befinden sich zwei Schaltflächen mit den Beschriftungen „Plus d’information“ („Mehr Informationen“) und „J’accepte“ („Ich akzeptiere“).

Auch wenn die CNIL diesen neuen Hinweis über die Nutzung von Werbe-Cookies als unbestreitbaren Fortschritt zur früheren Praxis wertet, sind die Informationen aus Sicht der Datenschützer nach wie vor nicht geeignet, den Nutzer über alle Zwecke der hinterlegten Cookes und die Möglichkeit des Widerspruchs aufzuklären. Google und Google Ireland wurde deshalb eine Dreimonatsfrist zur erneuten Anpassung gesetzt, um weitere Strafzahlungen zu vermeiden.

Ein ähnliches Ultimatum stellt die CNIL an Europe Core, denn auch bei der Amazon-Tochter wird ein bereits überarbeitetes Informationsbanner noch nicht als Lösung des Problems gesehen.

Website-Betreiber sollten die Ausgestaltung ihrer Cookies-Banner überprüfen

In Anbetracht des drastischen Vorgehens der französischen Datenschützer ist beim Einsatz von Werbe-Cookies ein besonderes Augenmerk auf die rechtskonforme Ausgestaltung der Einwilligung und der dazu erforderlichen Information der Nutzer zu legen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat dazu eine Handreichung erstellt, mit deren Hilfe die korrekte Cookie-Einwilligung auf Webseiten erleichtert werden soll. Diese ist als erste Orientierung für die Überprüfung der Datenschutzkonformität durchaus geeignet.

Danach sind kurz zusammengefasst insbesondere folgende Punkte für die Beurteilung der Wirksamkeit der Abgabe einer Einwilligung im Zusammenhang mit der Verwendung von Cookies von Bedeutung:

  1. Cookie-Einsatz erst nach erteilter Einwilligung
    Vor dem Setzen nicht notwendiger Cookies muss eine Einwilligungeingeholt werden.
  2. Informiertheit der Einwilligung
    Im Rahmen der Einwilligungsabfrage müssen die Nutzer mit den erforderlichen Informationen ausgestattet werden, insbesondere hinsichtlich der Identität des Verantwortlichen, der Verarbeitungszwecke, der verarbeiteten Daten und über das Bestehen eines Widerrufsrechts.
  3. Eindeutige und freiwillige Einwilligung
    Die Abgabe der Einwilligung bedarf einer eindeutigen bestätigenden Handlung. Die Nutzer müssen die Einwilligung auch verweigern können.
  4. Keine unzulässige Einflussnahme auf die Nutzerentscheidung
    Die Verweigerung der Einwilligung darf nicht unnötig kompliziert sein („Nudging“). Unzulässig sind auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen, um diese „mürbe“ zu machen. 
  5. Widerruflichkeit der Einwilligung
    Der Widerruf der Einwilligung muss auf demselben Weg und so einfach wie die Erteilung der Einwilligung möglich sein.

Gern unterstützen wir Sie bei der Prüfung Ihrer Cookie-Nutzung und einer gegebenenfalls nötigen Überarbeitung Ihrer Plattform.

Frankreich: neue Orientierungshilfe zum Online-Tracking veröffentlicht

Die französische Datenschutzaufsichtsbehörde CNIL hat Anfang des Monats unter dem Titel „Cookies und andere Tracker“ zwei Papiere verabschiedet, in denen sie ihre Sichtweise zur Frage der Einwilligung beim Online-Tracking darlegt. Beim ersten der beiden Dokumente handelt es sich um „Leitlinien“, also in etwa um eine „Orientierungshilfe“ in der Sprache der deutschen Datenschutzkonferenz, das zweite Papier beinhaltet dagegen praktische Umsetzungsempfehlungen für Publisher, die prinzipiell keinen rechtlichen Gehalt haben.

Einwilligung auch beim Fingerprinting und im Mobile Tracking erforderlich

In Deutschland ist nach wie vor nicht geklärt, ob nach dem „Planet49“-Urteil des Europäischen Gerichtshofs das Erfordernis einer Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nur für Cookies oder auch für „cookieless“-Technologien wie Fingerprinting und Mobile Tracking gilt. Denn bei diesen Technologien erfolgt im Vergleich zum Tracking mit Cookies kein Zugriff auf Daten im Endgerät des Nutzers, sondern es werden lediglich Informationen genutzt, die das Endgerät ohnehin an den Server des Publishers überträgt. Ohne weitere Diskussion folgt die CNIL in ihrem Papier derjenigen Ansicht, die für alle Tracking-Technologien eine Einwilligung für erforderlich hält – wohl dem ursprünglichen Ansinnen des Gesetzgebers aus dem Jahr 2009 entsprechend, „technologieneutrale“ Regeln aufzustellen. Es bleibt abzuwarten, ob diese Position auch in Deutschland Schule macht.

Cookie Walls: die CNIL bleibt skeptisch

Obwohl das höchste französische Verwaltungsgericht, der Conseil d’État, das von der CNIL ursprünglich erlassene Verbot von Cookie Walls aufgehoben hatte, bleibt die Behörde in ihrer neuen Verlautbarung skeptisch: Consent-Management-Plattformen (CMPs), die Nutzern den Zugriff zu verweigern, wenn sie keine Einwilligung abgeben, führen für die CNIL zumindest „in bestimmten Fällen“ zur „Beeinträchtigung der Freiwilligkeit“ – und damit zur Unwirksamkeit – der Einwilligung. In Deutschland sind Cookie Walls bereits weit verbreitet, unseres Wissens auch mit dem Segen der hiesigen Aufsichtsbehörden. Auch die CNIL wird sich dieser Entwicklung nicht versperren können, zumal ihr bei diesem Thema nunmehr gerichtlich die Hände gebunden sind.

In ähnlicher Form findet sich die Problematik an anderer Stelle des Papiers erneut wieder: Die CNIL fordert, dass Publisher es (wie in der „Second Layer“ der CMP nach dem TCF 2.0 vorgesehen) Nutzern ermöglichen müssen, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken oder diese auszuschließen.

Transparenzpflichten

Hinsichtlich der Transparenzpflichten des Publishers beim Einsatz von Tracking-Technologien macht die Stellungnahme der CNIL zunächst den erfreulichen Eindruck, als folge man im Wesentlichen der Linie des TCF 2.0. Problematisch ist jedoch, dass eine vollständige Liste aller Verantwortlichen gefordert wird, die einwilligungspflichtige Tracker verwenden. Dies stellt ein Problem für Publisher dar, die Nutzerdaten für die Weitergabe an Dritte erheben (Data Broker oder Data Enrichment genannt). Hier kann der Publisher unmöglich wissen, wer die Daten letzten Endes erhält und nutzt. Die CNIL stellt hier also eine Bedingung auf, die für einen großen Teil der Branche praktisch nicht umsetzbar ist. Auch in Deutschland tritt dieses Problem auf – und wird auch vom TCF 2.0 nicht zufriedenstellend gelöst.

Publisher und Dienstleister als Joint Controller

Ohne konkret zu werden, bläst auch die CNIL in das bei allen Aufsichtsbehörden so beliebte Horn der gemeinsamen Verantwortlichkeit: Nach dem „Fashion-ID“-Urteil des Europäischen Gerichtshofs sind Publisher beim Einsatz von Tracking-Skripten wie dem Facebook-Pixel zumindest für den Vorgang der Datenerhebung gemeinsam verantwortlich, was den Abschluss einer gesonderten Vereinbarung erforderlich macht und entsprechende Transparenzpflichten auslöst.

Kein Einwilligungserfordernis für Analytics

Die erfreulichste Nachricht der CNIL findet sich ganz am Ende ihres Papiers: Für den Einsatz von Analytics-Diensten benötige man keine Einwilligung – auch dann nicht, wenn dazu Cookies gesetzt werden. Zu diesem Ergebnis kommt die Behörde über eine kreative Auslegung einer Ausnahmevorschrift der ePrivacy-Richtlinie: Der Einsatz von Webanalyse-Diensten sei für die Arbeit der Publisher in den Augen der CNIL „unbedingt erforderlich“. Dies gilt jedoch nicht, wenn die dabei erhobenen Daten für über die strikte Messung der Besucherzahlen hinaus gehende Zwecke genutzt werden – dann braucht es doch wieder eine Einwilligung.

Wird die „alles ablehnen“-Schaltfläche Pflicht?

Die CNIL wird nicht müde, es zu betonen: Für den Nutzer muss die Verweigerung der Einwilligung genauso einfach sein wie ihre Erteilung. Sie empfiehlt(!) daher, Nutzern bereits in der so genannten First Layer der CMP die Möglichkeit zu geben, mit einem Klick alle Cookies abzulehnen. Anders ausgedrückt: Die CNIL wünscht sich, dass Publisher unmittelbar neben der Schaltfläche “alle Cookies akzeptieren” auch direkt einen Button „alle Cookies ablehnen“ anzuzeigen – und ihn nicht in der Second Layer über die Schaltfläche „Einstellungen“ zu verstecken:

So wünscht es sich die CNIL: Direkt neben der Schaltfläche „alles akzeptieren“ bietet die CMP einen „alle ablehnen“-Button.

Geltungsdauer der Einwilligung

Hinsichtlich der Geltungsdauer der Einwilligung sieht es die CNIL schließlich als „gute Praxis“, die Abgabe oder Verweigerung der Einwilligung sechs Monate lang zu speichern. Aus Sicht der Publisher ist diese Äußerung als praktischer Anhaltspunkt einerseits erfreulich, andererseits wäre hier mehr Flexibilität wünschenswert: Die CNIL möchte aber verhindern, dass die CMP bei jedem Besuch einer Website erneut angezeigt wird und Nutzer so zur Einwilligung gedrängt werden.

Fazit

Es ist zu begrüßen, dass die CNIL – gerade im Vergleich zu den deutschen Aufsichtsbehörden – ihre Auslegung der gesetzlichen Anforderungen auf diese Weise klarstellt und sich darum bemüht, praktische Hinweise zu ihrer Umsetzung zu geben. Es ist gut möglich, dass die in den beiden Papieren vertretenen Ansichten auch hierzulande Schule machen. Um so mehr ist es wichtig, dass sich auch die deutsche Onlinemarketing-Branche mit ihnen auseinandersetzt und frühzeitig den Austausch mit den Aufsichtsbehörden sucht – und im Zuge der geplanten Novelle des deutschen Telemediengesetzes durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ („TTDSG“) auch mit dem Gesetzgeber. Dabei lohnt es sich auch, Haltung zu zeigen und nicht jede veröffentlichte Auslegung einfach hinzunehmen. Das beste Beispiel dafür ist die erfolgreiche Klage gegen das französische Verbot von Cookie-Walls. Besonders spannend wird dabei sein, welche CMP-Gestaltungen zukünftig von den Behörden und letztlich von den Gerichten akzeptiert werden – wir beraten Sie dazu gern.

„Schrems II“: Der Europäische Gerichtshof kippt das „Privacy Shield“-Abkommen – sind damit bald sämtliche Datentransfers in die USA tabu?

Geschrieben am

Am vergangenen Donnerstag entschied der Europäische Gerichtshof, dass das „Privacy Shield“-Abkommen zwischen der Europäischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir möchten die kurz- und mittelfristigen Folgen für Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.

Internationale Datentransfers nach der DSGVO

Zunächst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empfänger in einem Drittland versendet werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt).

  • Auf der ersten Stufe bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang natürlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird häufig beim Drittlandstransfer übersehen, wenn man nur auf die zweite Stufe schaut.)
  • Auf der zweiten Stufe stellt sich die Frage, ob eine „Datenübermittlung in ein Drittland“ nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegenüber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.

Das EU-US Privacy Shield

Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA für EU-Bürger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.

Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss ungültig ist. Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gestützt werden können.

Als Argument führt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorgängerprogramm „Safe Harbour“) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was zu nicht gerechtfertigten Grundrechtseingriffen für EU-Bürger führt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche Überwachung in einem aus EU-Sicht unverhältnismäßigen Ausmaß erlauben, haben die USA auch unter Berücksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Darüber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Maßnahme dar, mit der EU-Bürgern ein effektiver Rechtsschutz gegenüber US-Behörden und -Gerichten gewährt wird.

Zukunft der Standarddatenschutzklauseln

Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich natürlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben.

Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können. Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt.

Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsgesetze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbehörden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.

Fazit

Nach der EuGH-Entscheidung kann ein Datentransfer in die USA nicht mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zurückgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verhältnismäßig schnell neu abgeschlossen werden können. Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist und von den europäischen Datenschutzbehörden höchstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht möglich ist. Der deutsche Bundesdatenschutzbeauftragte lässt in einer ersten Pressemitteilung schon erkennen, dass die Behörden hier offenbar schnell handeln wollen, ebenso verstehen wir die Pressemitteilung der Berliner Datenschutzbeauftragten.

Für Unternehmen beiderseits des Atlantiks bedeutet dies selbstverständlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein „rechtliches Vakuum“ durch die Anwendung der Ausnahmetatbestände in Art. 49 DSGVO verhindert werden könnte. In Art. 49 DSGVO sind Ausnahmen für den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gestützt werden kann. Grundsätzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt – sie sollen gerade nicht massenhaft zur Umgehung des europäischen Datenschutzniveaus eingesetzt werden. Es handelt sich um Lösungen für sehr spezifische Einzelfälle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausländischen Reiseveranstalter. Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Maßnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte geprüft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern möglich. Derzeit gehen wir nämlich davon aus, dass mit denselben Argumenten wie im heute verkündeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden könnten.

„Voice Branding“ – Product Placement via Sprachassistent?

Sprachassistenten – sei es in Form von intelligenten Lautsprechern wie „Google Home“ oder „Amazon Echo“ im Wohnzimmer, „Siri“ auf dem Smartphone oder „Cortana“ auf dem PC – sind immer weiter verbreitet. Auch die Werbung hat diesen neuen Kanal längst für sich entdeckt und experimentiert mit neuen Formen für intelligente Markenbotschaften. Dabei stellt sich natürlich die Frage, wie diese rechtlich zu bewerten sind.

Ein Amazon Echo Spot (Foto: Zebonaut, CC BY-SA 4.0)

Neuer Kanal, alte Fragen

Aus juristischer Sicht stellen sich im neuen Kanal der Sprachassistenten die altbekannten Fragen des Werberechts:

  • Wie sind die Informationspflichten aus dem Verbraucherschutz umzusetzen?
  • Wie kennzeichnet man Werbung korrekt und im Einklang mit den geltenden Vorgaben des Medienrechts?
  • Und was ist mit den Nutzerdaten, die es DSGVO-konform zu erheben und zu nutzen gilt?

Formen des Voice Branding

Relativ verbreitet sind insbesondere im Bereich intelligenter Lautsprecher so genannte „Branded Skills“: Der Nutzer kann hier wie eine Handy-App zum Beispiel eine Funktionalität seines Lieblings-Radiosenders installieren oder die Inhalte einer Content-Plattform leichter zugänglich machen. Dadurch reagiert der Sprachassistent auf bestimmte Befehle nicht mehr neutral, sondern „branded“, antwortet also mit der Stimme des Skill-Anbieters. Rechtlich besonders spannend sind andere Formen des „Voice Branding“, die darüber hinausgehen und sich in den Bereich der echten Produktplatzierung bewegen.

Das Thema wird bereits seit 2017 diskutiert, als ein Test des intelligenten Lautsprechers „Google Home“ mit nicht gekennzeichneter Werbung für die Neuverfilmung von „Die Schöne und das Biest“ die Runde machte. Dort spielte das Gerät unverhofft einen kurzen Werbeclip zum Kinostart ab, wenn der Nutzer das Gerät nach den Neuigkeiten des Tages fragte:

Rechtliche Grenzen des Voice Branding

Im Bereich des Wettbewerbsrechts sind insbesondere die Kennzeichnungspflichten ein Problem: Wie kann man ohne visuelle Hilfen wie „Sternchenangaben“ und „Kleingedrucktes“ die gesetzlich vorgegebenen Mindestangaben machen und redaktionelle Inhalte (also normale Suchergebnisse und objektive Empfehlungen) von „sponsored content“ trennen?

Medienrechtlich waren Sprachassistenten selbst bislang nicht als Presse und auch nicht als Rundfunk einzuordnen – der neue Medienstaatsvertrag möchte jedoch diese Grenze verschieben und die Vorgaben des bisherigen Rundfunkstaatsvertrags auch auf Sprachassistenten als „Benutzeroberflächen“ anwendbar machen. Die Regeln des Telemedienrechts gelten daneben sowieso.

Insbesondere muss Werbung medienrechtlich auch per Sprachassistenten erkennbar sein. Aufgrund der Neuartigkeit des Mediums ist davon auszugehen, dass die Aufsichtsbehörden und auch die Gerichte hier zunächst eher streng herangehen werden. Insbesondere das oben erwähnte Beispiel des Disney-Spots hätte auf jeden Fall recht deutlich gekennzeichnet werden müssen.

Die umfassenden verbraucherschutzrechtlichen Informationspflichten müssen ebenfalls eingehalten werden, auch wenn das im neuen Medium der Sprachassistenten insbesondere beim Abschluss von Verträgen sehr schwierig ist. Das kann unter Umständen dazu führen, dass der Sprachassistent eine ganze Menge an Informationen „abspulen“ muss, so wie man es zum Beispiel aus der Radiowerbung für Pharmazeutika kennt.

Datenschutzrechtlich stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung von Nutzerprofilen zu Werbezwecken. Hier ist zu beachten, dass die derzeit viel diskutierte „Planet49“-Rechtsprechung nicht greift, da keine Cookies gespeichert werden, sondern das Tracking auf der Grundlage einer Geräte-ID erfolgt. Das bedeutet, dass die Frage allein nach der Datenschutzgrundverordnung zu entscheiden ist und eine Verarbeitung auf der Grundlage berechtigter Interessen des Werbetreibenden (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommt.

Wettbewerbsrechtich müssen die Anbieter von Sprachassistenten schließlich allen Werbetreibenden einen neutralen Zugang zu ihrer Plattform gewähren.

Fazit

Die rechtlichen Probleme sind hinlänglich bekannt – wie sie jedoch praktisch umgesetzt werden können, ohne den Nutzer nicht zu vergraulen, ist bislang offen. Abzwarten ist auch die weitere Entwicklung hinsichtlich des Medienstaatsvertrags, der immer noch nicht ratifiziert ist, und der weiterhin nur als Entwurf vorliegenden ePrivacy-Verordnung. Auch in technischer Hinsicht wird sich hier sicher noch viel verändern und zusätzlich zu den hier diskutierten Möglichkeiten sind sicherlich weitere neue Werbeformen denkbar.

Die „Planet49“-Entscheidung des Bundesgerichtshofs – warum die Frage nach den Cookies immer noch nicht geklärt ist

Mit dem heutigen Urteil des Bundesgerichtshofs ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH, einer Anbieterin von Online-Gewinnspielen, zu Ende. Der Prozess hatte insbesondere die Frage nach der rechtlichen Wirksamkeit der Einwilligung von Website-Besuchern in die Speicherung von Marketing-Cookies zum Gegenstand. Diese Frage wurde dadurch aufgeworfen, dass die Beklagte im Jahre 2013 ein Gewinnspiel auf ihrer Website veranstaltet hatte. Hierfür gelangte der Nutzer auf eine Seite mit einem Webformular, auf dem er Namen und Anschrift angeben musste, wobei sich unter den Eingabefeldern für die Anschrift zwei Einverständniserklärungen mit Ankreuzfeldern befanden. Das erste Ankreuzfeld war nicht mit einem voreingestellten Häkchen versehen. Das hier zu erteilende Einverständnis bezog sich auf Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS. Die Nutzer konnten die Sponsoren und Kooperationspartner selbst auswählen und ihr Einverständnis jederzeit widerrufen.

Das weitere Ankreuzfeld war bereits mit einem voreingestellten Häkchen versehen. Dieser voreingestellte Haken konnte zwar entfernt werden, eine Teilnahme am Gewinnspiel war allerdings nur möglich, wenn der Nutzer mindestens eines der beiden Felder mit einem Haken versah. Der Nutzer sollte im Rahmen dieser Erklärung dahin gehend einwilligen, dass ein mit einer Tracking-ID versehenes Cookie auf dem Endgerät gespeichert werden sollte:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier [Link zur Datenschutzerklärung].“

Der Nutzer wurde ferner darauf hingewiesen, dass mittels der gespeicherten ID jeder Besuch auf den Websites eines für Remintrex registrierten Werbepartners festgehalten würde und darüber hinaus erfasst würde, für welche Produkte sich der Nutzer interessiert und welche er kauft.

Während das Landgericht Frankfurt am Main die Beklagte zur Unterlassung beider Einverständniserklärungen verurteilte, erzielte der Kläger im Rahmen der Berufung lediglich mit dem Antrag bezüglich der Nutzung von Cookies bei voreingestellten Einwilligungserklärungen Erfolg. Nachdem das OLG Frankfurt die Revision zum Bundesgerichtshof zuließ, strengte der BGH ein Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof an, um insbesondere die Frage nach der Wirksamkeit von Einwilligungen in die Setzung von Cookies unionsrechtlich klären zu lassen. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Am 1. Oktober 2019 verkündete der EuGH das so genannte Planet49-Urteil und stellte fest, dass für eine wirksame Einwilligung eine aktive Handlung des Einwilligenden zu verlangen ist wofür vorausgewählte Checkboxen nicht ausreichen (siehe unseren Beitrag im Blog). Der EuGH begründete dies damit, dass eine voraktivierte Checkbox keine Aktivität des Nutzers darstelle. Vielmehr bestünde die Handlung des Nutzers bei voreingestellten Kästchen lediglich darin, die Voreinstellung abzuwählen.

Der BGH übernahm mit seinem heutigen Urteil diese Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Bislang ist lediglich die Pressemitteilung öffentlich, die ausführlichen Entscheidungsgründe werden erst in den nächsten Tagen veröffentlicht. Der wichtigste Satz in der Pressemitteilung lautet wie folgt:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Die ersten Reaktionen auf das Urteil und insbesondere auf diesen Kernsatz sind sehr unterschiedlich – und der Teufel liegt im Detail. Korrekt formuliert es aus unserer Sicht zum Beispiel der ARD-Rechtsexperte Frank Bräutigam:

Die Betonung liegt hier auf dem Wort Wenn. Denn die grundsätzliche Frage, Ob eine Einwilligung für das Setzen von Marketing-Cookies erforderlich ist, hatte der BGH (ebensowenig wie der EuGH im Vorabentscheidungsverfahren) nicht zu entscheiden. Anders ausgedrückt: Die eigentlich spannende, in der Onlinemarketing-Branche seit Jahren diskutierte Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – keine Silbe. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Marschroute, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. (Damit widerspricht das Urteil übrigens der im März 2019 veröffentlichten Auffassung der deutschen Datenschutzaufsichtsbehörden, die deutsche Vorschrift sei als europarechtswidrig anzusehen und daher überhaupt nicht mehr anwendbar.) Bereits in den letzten Wochen war zu beobachten, dass große Online-Medien wie Spiegel Online auf Einwilligungsmodelle umstiegen.

Dabei bringt die Einwilligung als Rechtsgrundlage für das Onlinemarketing einen Strauß neuer Probleme mit sich: Wie können Online-Publisher Einwilligungen wirksam einholen, auf die sich alle am Onlinemarketing beteiligten Unternehmen stützen können, ohne ihren Nutzern völlig überfrachtete Popups anzeigen zu müssen? Wie kann die nach der DSGVO jederzeitige Widerrufbarkeit der Einwilligung in dieser Kette praktisch umgesetzt werden? Was geschieht, wenn Nutzer die Einwilligung massenhaft verweigern und so das Geschäftsmodell werbefinanzierter Online-Angebote unterlaufen? Viele Branchenmitglieder setzen ihre Hoffnungen derzeit in das Transparency and Consent Framework 2.0 des Branchenverbands IAB, dass die Verarbeitung von Nutzerdaten auf der Grundlage von Einwilligungen standardisieren soll.

Eigentlich liegt das Problem aber ganz woanders: Denn der europäische Gesetzgeber hatte ursprünglich beabsichtigt, die Frage des Onlinemarketings in der geplanten ePrivacy-Verordnung – als Nachfolgerin der alten ePrivacy-Richtlinie und Schwestergesetz zur Datenschutzgrundverordnung – neu zu regeln. Weil jedoch im Europäischen Rat keine Einigkeit über die Frage erzielt werden konnte, wie der Schutz der Privatsphäre der betroffenen Nutzer mit dem bestehenden Geschäftsmodell werbefinanzierter Onlineangebote zu vereinbaren ist, liegt der Plan seit Jahren auf Eis. Vielleicht gibt das heutige Urteil des Bundesgerichtshof der deutschen Ratspräsidentschaft in der zweiten Jahreshälfte 2020 jetzt den entscheidenden Impuls. Zumindest auf nationaler Ebene hat die deutsche Bundesregierung bereits eine Anpassung des Telemediengesetzes angekündigt.