Die „Planet49“-Entscheidung des Bundesgerichtshofs – warum die Frage nach den Cookies immer noch nicht geklärt ist

Mit dem heutigen Urteil des Bundesgerichtshofs ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH, einer Anbieterin von Online-Gewinnspielen, zu Ende. Der Prozess hatte insbesondere die Frage nach der rechtlichen Wirksamkeit der Einwilligung von Website-Besuchern in die Speicherung von Marketing-Cookies zum Gegenstand. Diese Frage wurde dadurch aufgeworfen, dass die Beklagte im Jahre 2013 ein Gewinnspiel auf ihrer Website veranstaltet hatte. Hierfür gelangte der Nutzer auf eine Seite mit einem Webformular, auf dem er Namen und Anschrift angeben musste, wobei sich unter den Eingabefeldern für die Anschrift zwei Einverständniserklärungen mit Ankreuzfeldern befanden. Das erste Ankreuzfeld war nicht mit einem voreingestellten Häkchen versehen. Das hier zu erteilende Einverständnis bezog sich auf Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS. Die Nutzer konnten die Sponsoren und Kooperationspartner selbst auswählen und ihr Einverständnis jederzeit widerrufen.

Das weitere Ankreuzfeld war bereits mit einem voreingestellten Häkchen versehen. Dieser voreingestellte Haken konnte zwar entfernt werden, eine Teilnahme am Gewinnspiel war allerdings nur möglich, wenn der Nutzer mindestens eines der beiden Felder mit einem Haken versah. Der Nutzer sollte im Rahmen dieser Erklärung dahin gehend einwilligen, dass ein mit einer Tracking-ID versehenes Cookie auf dem Endgerät gespeichert werden sollte:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier [Link zur Datenschutzerklärung].“

Der Nutzer wurde ferner darauf hingewiesen, dass mittels der gespeicherten ID jeder Besuch auf den Websites eines für Remintrex registrierten Werbepartners festgehalten würde und darüber hinaus erfasst würde, für welche Produkte sich der Nutzer interessiert und welche er kauft.

Während das Landgericht Frankfurt am Main die Beklagte zur Unterlassung beider Einverständniserklärungen verurteilte, erzielte der Kläger im Rahmen der Berufung lediglich mit dem Antrag bezüglich der Nutzung von Cookies bei voreingestellten Einwilligungserklärungen Erfolg. Nachdem das OLG Frankfurt die Revision zum Bundesgerichtshof zuließ, strengte der BGH ein Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof an, um insbesondere die Frage nach der Wirksamkeit von Einwilligungen in die Setzung von Cookies unionsrechtlich klären zu lassen. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Am 1. Oktober 2019 verkündete der EuGH das so genannte Planet49-Urteil und stellte fest, dass für eine wirksame Einwilligung eine aktive Handlung des Einwilligenden zu verlangen ist wofür vorausgewählte Checkboxen nicht ausreichen (siehe unseren Beitrag im Blog). Der EuGH begründete dies damit, dass eine voraktivierte Checkbox keine Aktivität des Nutzers darstelle. Vielmehr bestünde die Handlung des Nutzers bei voreingestellten Kästchen lediglich darin, die Voreinstellung abzuwählen.

Der BGH übernahm mit seinem heutigen Urteil diese Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Bislang ist lediglich die Pressemitteilung öffentlich, die ausführlichen Entscheidungsgründe werden erst in den nächsten Tagen veröffentlicht. Der wichtigste Satz in der Pressemitteilung lautet wie folgt:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Die ersten Reaktionen auf das Urteil und insbesondere auf diesen Kernsatz sind sehr unterschiedlich – und der Teufel liegt im Detail. Korrekt formuliert es aus unserer Sicht zum Beispiel der ARD-Rechtsexperte Frank Bräutigam:

Die Betonung liegt hier auf dem Wort Wenn. Denn die grundsätzliche Frage, Ob eine Einwilligung für das Setzen von Marketing-Cookies erforderlich ist, hatte der BGH (ebensowenig wie der EuGH im Vorabentscheidungsverfahren) nicht zu entscheiden. Anders ausgedrückt: Die eigentlich spannende, in der Onlinemarketing-Branche seit Jahren diskutierte Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – keine Silbe. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Marschroute, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. (Damit widerspricht das Urteil übrigens der im März 2019 veröffentlichten Auffassung der deutschen Datenschutzaufsichtsbehörden, die deutsche Vorschrift sei als europarechtswidrig anzusehen und daher überhaupt nicht mehr anwendbar.) Bereits in den letzten Wochen war zu beobachten, dass große Online-Medien wie Spiegel Online auf Einwilligungsmodelle umstiegen.

Dabei bringt die Einwilligung als Rechtsgrundlage für das Onlinemarketing einen Strauß neuer Probleme mit sich: Wie können Online-Publisher Einwilligungen wirksam einholen, auf die sich alle am Onlinemarketing beteiligten Unternehmen stützen können, ohne ihren Nutzern völlig überfrachtete Popups anzeigen zu müssen? Wie kann die nach der DSGVO jederzeitige Widerrufbarkeit der Einwilligung in dieser Kette praktisch umgesetzt werden? Was geschieht, wenn Nutzer die Einwilligung massenhaft verweigern und so das Geschäftsmodell werbefinanzierter Online-Angebote unterlaufen? Viele Branchenmitglieder setzen ihre Hoffnungen derzeit in das Transparency and Consent Framework 2.0 des Branchenverbands IAB, dass die Verarbeitung von Nutzerdaten auf der Grundlage von Einwilligungen standardisieren soll.

Eigentlich liegt das Problem aber ganz woanders: Denn der europäische Gesetzgeber hatte ursprünglich beabsichtigt, die Frage des Onlinemarketings in der geplanten ePrivacy-Verordnung – als Nachfolgerin der alten ePrivacy-Richtlinie und Schwestergesetz zur Datenschutzgrundverordnung – neu zu regeln. Weil jedoch im Europäischen Rat keine Einigkeit über die Frage erzielt werden konnte, wie der Schutz der Privatsphäre der betroffenen Nutzer mit dem bestehenden Geschäftsmodell werbefinanzierter Onlineangebote zu vereinbaren ist, liegt der Plan seit Jahren auf Eis. Vielleicht gibt das heutige Urteil des Bundesgerichtshof der deutschen Ratspräsidentschaft in der zweiten Jahreshälfte 2020 jetzt den entscheidenden Impuls. Zumindest auf nationaler Ebene hat die deutsche Bundesregierung bereits eine Anpassung des Telemediengesetzes angekündigt.

Die Einwilligung ist nicht „besser“ als das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO

VG Mainz: Einwilligung nicht besser als Interessenabwägung

Die DSGVO kennt in Art. 6 Abs. 1 sechs Rechtsgrundlagen, auf die eine Datenverarbeitung gestützt werden kann. Der Verordnungsgeber hat diese sechs Erlaubnistatbestände in den Buchstaben a–f hintereinander aufgezählt. Dass die Einwilligung dabei an erster Stelle in Buchstabe a zu finden ist, sagt nichts darüber aus, dass diese Rechtsgrundlage über den anderen steht oder in irgendeiner Weise „besser“ ist als die anderen.

Häufige Fehlvorstellung: Einwilligung hat keinen Vorrang

Immer wieder sieht man in Gerichtsentscheidungen aber liest in der juristischen Literatur, dass von einem Vorrang der Einwilligung ausgegangen wird, diese insofern als „besser“ oder datenschutzfreundlicher wahrgenommen wird.

So entschied beispielsweise der bayerische Verwaltungsgerichtshof in seinem Beschluss zur Weitergabe gehashter E-Mail-Adressen im Rahmen von Facebook Custom Audiences , dass die Datenweitergabe an Facebook auf Basis berechtigter Interessen (die Entscheidung erging noch zum alten BDSG, als Rechtsgrundlage wurde aber eine Norm vergleichbar zu Art. 6 Abs. 1 lit. f DSGVO herangezogen) nicht rechtmäßig sei. Als Begründung wurde unter anderem angeführt, die Datenverarbeitung auf dieser Rechtsgrundlage sei nicht erforderlich, weil das Unternehmen ja problemlos eine Einwilligung hätte einholen können:

„Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Ast. ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der Ast., bei Vorliegen vertraglicher Beziehungen falle die Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium i.R.d. Interessenabwägung. Es ist eine Frage des Einzelfalls, welche Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die Interessenabwägung in der Gesamtheit haben. …“

(BayVGH, Beschl. vom 26.9.2018, Az. 5 CS 18.1157, ZD 2019, 43, Rz. 29)

Ein solches Rechtsverständnis würde in der Praxis zu erheblichen Problemen führen, denn mit dieser Argumentation wäre in bestehenden Vertragsbeziehungen eine Datenverarbeitung auf Grundlage berechtigterer Interessen (Art. 6 Abs. 1 lit. f DSGVO) so gut wie nie möglich, denn man könnte dem Verantwortlichen immer vorhalten, dass es ihm ja möglich gewesen wäre, eine Einwilligung im Rahmen der bestehenden Rechtsbeziehung einzuholen.

Aktuelles Urteil des VG Mainz: Gleichwertigkeit der Rechtsgrundlagen

Umso erfreulicher ist es daher, dass das Verwaltungsgericht Mainz in einem aktuellen Urteil auf die Gleichwertigkeit der Rechtsgrundlagen ausdrücklich hinweist. In der Entscheidung ging es zwar nicht um das Onlinemarketing, sondern um die Datenweitergabe einer Tierarztpraxis an eine Verrechnungsstelle. Die folgenden Ausführungen haben jedoch allgemein Gültigkeit:

„Auf dieser Rechtsgrundlage kann eine Datenübertragung unabhängig vom Verhalten des Betroffenen – insbesondere ohne eine Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1 lit. a, Art. 7 DSGVO – zulässig sein. Schließlich sind die in Art. 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (vgl. Schulz, in: Gola, DSGVO, 2. Aufl. (2018), Art. 6, Rn. 10).“

(VG Mainz Urt. v. 20.2.2020, Az. 1 K 467/19, BeckRS 2020, 5397, Rz. 27)

Dieser Aussage des VG Mainz ist auf ganzer Linie zuzustimmen. Schließlich stellt es einen erheblichen Eingriff in die Grundrechte des datenschutzrechtlich Verantwortlichen dar, wenn man davon ausginge, die Einwilligung hätte grundsätzlich Vorrang. Es ist daher Aufgabe von Verantwortlichen, Behörden und Gerichten, nicht in die „Einwilligungsfalle“ zu tappen und diesen Gedanken im Rahmen von Interessenabwägungen außen vor zu lassen.

Französische Datenschutzbehörde kündigt „Cookie-Untersuchungen“ an

Am 12. März veröffentlichte die französische Datenschutzbehörde CNIL ihre jährliche „Inspektionsstrategie“ für 2020. Die CNIL führt jedes Jahr etwa mehrere hundert Inspektionen durch.

Die CNIL kündigte an, dass sich etwa 20 % ihrer Inspektionen für 2020 im Rahmen dieser Strategie auf die folgenden drei Themen konzentrieren werden:

  1. Sicherheit von Gesundheitsdaten: Die jüngsten Entwicklungen in Bezug auf Gesundheitsdaten zeigten, dass der Sicherheit der Aktivitäten zur Verarbeitung von Gesundheitsdaten Aufmerksamkeit geschenkt werden solle.
  2. Geolokalisierung für Gemeinschafts- oder Nahverkehrsdienste (z.B. Empfehlung geeigneter Transportmodi auf der Grundlage einer definierten Route, Reiseoptimierung usw.): Die Inspektionen konzentrieren sich auf die Verhältnismässigkeit der in diesem Zusammenhang erhobenen Personendaten, die von der Organisation festgelegten Aufbewahrungsfristen, die Information der Personen über die Datenverarbeitung und die zum Schutz der Daten getroffenen Sicherheitsmassnahmen.
  3. Verwendung von Cookies und ähnlichen Technologien: Am 18. Juli 2019 veröffentlichte die CNIL in dieser Hinischt bereits neue Richtlinien zu Cookies und ähnlichen Technologien, die die Cookie-Empfehlungen der CNIL aus dem Jahr 2013 aufheben und die für die Verwendung von Cookies und ähnlichen Technologien in Frankreich geltenden Regeln neu konzipieren.

Darüber hinaus veröffentlichte die CNIL am 14. Januar 2020 Empfehlungen zu den praktischen Modalitäten für die Einholung der Einwilligung der Benutzer zur Speicherung oder zum Lesen von „nicht-essentiellen“ Cookies und ähnlichen Technologien.

Diese Empfehlungen standen bis zum 25. Februar 2020 zur öffentlichen Konsultation offen. Wichtig zu wissen ist insoweit, dass diese Empfehlungen keinen Gesetzescharakter haben. Eine endgültige Version der Empfehlungen wird in den kommenden Wochen veröffentlicht werden. Die CNIL wird dann nach der Verabschiedung der endgültigen Empfehlungen eine Frist von sechs Monaten einräumen, bevor sie ihre neuen Richtlinien in Kraft setzt. Die Untersuchungen werden voraussichtlich – aber abhängig von der COVID-19 Entwicklung – im Herbst 2020 beginnen und im Jahr 2021 fortgesetzt.

Neues von der ePrivacy-Verordnung

Neuer Entwurf mit Bedeutung für die Online-Werbebranche vorgelegt

Die von vielen totgesagte ePrivacy-Verordnung lebt noch. Nachdem es der finnischen Ratspräsidentschaft angesichts zahlreicher Unstimmigkeiten zwischen den Mitgliedsstaaten nicht gelungen war, einen Konsens zu finden, hieß es Ende 2019, dass ein komplett neuer Entwurf her müsse. Nun hat die kroatische Ratspräsidentschaft jedoch am 21. Februar 2020 auf Basis des bisherigen Entwurfs einige Änderungen vorgeschlagen, die insbesondere für die Online-Werbebranche relevant sind.

Geändert werden sollen nach dem neuen Entwurf die Artikel 6 und 8 sowie die dazugehörigen Erwägungsgründe. Maßgeblich für die Onlinewerbebranche sind die Änderungen in Art. 8 („Schutz der Endgeräteinformationen von Endbenutzern“), der als Nachfolgenorm zu Art. 5 Abs. 3 der ePrivacy-Richtlinie den Einsatz von Tracking-Technologien (wie z.B. Cookies) regeln soll.

Nun doch: Interessenabwägung wie in der DSGVO

Nachdem die bisherigen Entwürfe der ePrivacy-Verordnung vor allem auf die Einwilligung beim Einsatz von Tracking-Technologien setzten, wird durch den neuen Entwurf nun eine Abwägungslösung ins Spiel gebracht, die in Teilen an die aus der DSGVO bekannte Interessenabwägung in Art. 6 Abs. 1 lit. f DSGVO erinnert.

Der neu eingefügte Art. 8 Abs. 1 lit. g ePrivacy-VO-E lautet:

„1. The use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware, other than by the end-user concerned shall be prohibited, except on the following grounds: […]

(g) it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user.

The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679.“

Danach soll der Einsatz von Tracking-Technologien, die auf Informationen aus dem Endgerät des Nutzers zugreifen oder die Verarbeitungs- und Speichermöglichkeiten des Endgeräts nutzen, dann zulässig sein, wenn dies für die Verfolgung berechtigter Interessen des Diensteanbieters erforderlich ist, es sei denn, die berechtigten Interessen oder die Grundrechte und Grundfreiheiten des Nutzers überwiegen.

Die berechtigten Interessen der Diensteanbieter werden zunächst einmal nicht auf bestimmte Zwecke des Zugriffs beschränkt. Damit kommt der Vorschlag auf den ersten Blick der Werbewirtschaft entgegen, denn er erlaubt im Prinzip auch den Einsatz von Cookies oder Pixeln für das Ausspielen von Werbung.

Besonderheiten im Rahmen der Interessenabwägung

Anders als in der DSGVO hat die kroatische Ratspräsidentschaft es aber nicht bei einer bloßen Generalklausel belassen, sondern noch im Normtext selbst Fälle formuliert, in denen die Abwägung regelmäßig zugunsten der Nutzer ausfällt.

Nach der Norm wird davon ausgegangen, dass die Interessen der Endnutzer überwiegen,

  • wenn der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um „das Wesen und die Eigenschaften des Endnutzers“ zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Artikel 9 Abs. 1 DSGVO enthält.

Neben diesen Regelbeispielen, in denen von einem Überwiegen der Nutzerinteressen ausgegangen wird, enthält der Entwurf im Erwägungsgrund (ErwG) 21b eine genauere Beschreibung der in der Abwägung zu berücksichtigenden Punkte sowie der berechtigten Interessen des Endnutzers.

So ist nach ErwG 21b in der Abwägung zentral, ob ein Endnutzer vernünftigerweise mit einem Tracking rechnen muss. Hierzu heißt es im Entwurf:

„Ein berechtigtes Interesse könnte geltend gemacht werden, wenn der Endbenutzer im Rahmen einer bestehenden Kundenbeziehung mit dem Dienstanbieter vernünftigerweise eine solche Speicherung, Verarbeitung oder Sammlung von Informationen in oder von seinem Endgerät erwarten kann.“

Als Beispiele führt der Entwurf etwa die Behebung von Sicherheitslücken oder die Betrugsprävention an.

Sehr interessant ist, dass der Entwurf für Anbieter von Diensten, „welche die Meinungs- und Informationsfreiheit (auch für journalistische Zwecke) gewährleisten, wie zum Beispiel Online-Zeitungen oder andere Presseveröffentlichungen oder audiovisuelle Mediendienste“, eine Sonderregelung vorsieht. Sie können sich – trotz der Ausnahmetatbestände – auf berechtigte Interessen stützen, wenn ihre Dienste ohne direkte Geldzahlung zugänglich sind und ganz oder überwiegend durch Werbung finanziert werden, vorausgesetzt der Endnutzer erhält klare, präzise und benutzerfreundliche Informationen über die Zwecke der verwendeten Cookies oder ähnlicher Techniken. Für journalistische Inhalte kann das „berechtigte Interesse“ also auch ein Finanzierungsinteresse bedeuten.

Besonders problematisch für die Online-Werbebranche sind die Ausnahmegründe (2) und (3) in der neu geschaffenen Norm. Aufgrund der Formulierung ist zu befürchten, dass das normale Tracking (außerhalb des journalistischen Kontexts) doch nicht per Interessenabwägung möglich sein soll. Der Erwägungsgrund 21b liefert hierzu leider nur eine wenig erhellende Erklärung:

„Umgekehrt sollte sich ein Anbieter nicht auf legitime Interessen berufen können, wenn die Speicherung oder Verarbeitung von Informationen in den Endgeräten des Endnutzers oder die daraus gesammelten Informationen dazu verwendet werden, das Wesen oder die Eigenschaften eines Endnutzers zu bestimmen oder ein individuelles Profil eines Endnutzers zu erstellen. In solchen Fällen haben die Interessen des Endnutzers und die Grundrechte und -freiheiten Vorrang vor den Interessen des Diensteanbieters, da solche Verarbeitungsvorgänge ernsthaft in das Privatleben eines Endnutzers eingreifen können, z.B. wenn sie für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens verwendet werden.“

Wann Tracking dazu führt, dass „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, bleibt auch unter Hinzuziehung der Erwägungsgründe unklar.

Weitere Schutzmaßnahmen für die Endnutzer

Will ein Diensteanbieter Daten aufgrund einer Interessenabwägung verarbeiten, erlegt der neue Art. 8 Abs. 1a ePrivacy-VO-E ihm weitere Pflichten auf, die dem Schutz der Endnutzer dienen sollen. So darf der Anbieter die mittels Tracking gewonnenen Daten nur nach vorheriger Anonymisierung an Dritte weitergeben (Auftragsverarbeiter nach Art. 28 DSGVO sind hiervon nicht umfasst, da sie keine Dritten im datenschutzrechtlichen Sinne sind).

Darüber hinaus muss der Anbieter vor der Datenverarbeitung eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen und den Endnutzer in einer effektiven und einfachen Art über die Verarbeitung und sein Widerspruchsrecht informieren.

Unsere Bewertung des neuen Entwurfs

Aus Sicht der Online-Werbebranche ist der neue Entwurf im Prinzip zu begrüßen, stellt er doch erstmals eine Bewegung weg vom Einwilligungserfordernis beim Tracking dar. Die Einführung einer flexibleren Rechtsgrundlage neben der Einwilligung ist in jedem Fall ein Fortschritt.

Problematisch ist jedoch, dass gerade in Bezug auf das Tracking außerhalb von journalistischen Webseiten aufgrund der im Entwurf enthaltenen Ausschlussgründe abermals viel Verwirrung gestiftet wird.

Wenn durch das Tracking „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, muss wieder auf die Einwilligung zurückgegriffen werden. Hier begibt sich der Entwurf in rechtlich unklare Fahrwasser. Er spricht beispielhaft von einem ernsthaften Eingriff in das Privatleben der Nutzer, wenn ihre Daten „für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens“ verwendet werden.

Sinn des Trackings ist regelmäßig, pseudonymisierte Profile der Endnutzer zu erstellen, mit denen ihr Verhalten auf bestimmten Webseiten nachvollzogen werden kann und das letztlich zur Ausspielung zielgerichteter Werbung genutzt wird. Doch reicht das aus, um von einer Überwachung des Verhaltens bestimmter Endnutzer zu sprechen? Dafür spricht, dass der Entwurf eine klare Privilegierung journalistischer Webseiten vorsieht und für diese Angebote ein Tracking und eine damit verbundene Werbefinanzierung ohne Einwilligung der Nutzer anerkennt. Im Umkehrschluss bedeutet dies, dass bei allen anderen Formen von Webseiten eine solche Lösung von den Verfassern des Entwurfs eher abgelehnt wird. Dass aber zielgerichtete Werbung auf journalistischen Angeboten nur funktioniert, wenn auch auf anderen Webseiten Informationen über den betreffenden Endnutzer eingeholt wurden, wird im Entwurf nicht berücksichtigt. Eine konsistente Lösung sieht anders aus.

Es bleibt damit zu hoffen, dass der Entwurf der kroatischen Ratspräsidentschaft nicht den Endpunkt der Debatte rund um die ePrivacy-Verordnung darstellt, sondern er den Stein mit neuem Schwung ins Rollen bringt und die Diskussion um den sinnvollen Umgang mit den berechtigten Interessen der Online-Werbebranche neu entfacht.

Einwilligung gegen Gewinnchance? Aktuelles zum Kopplungsverbot

Eine Frage, die im eCommerce häufiger auftaucht: Darf man die Anmeldung zu einem Werbe-Newsletter nach der Datenschutzgrundverordnung (DSGVO) zur Teilnahmevoraussetzung für ein ansonsten kostenloses Gewinnspiel machen?

Die Antwort findet sich in Artikel 7 Absatz 4 DSGVO, der das so genannte Kopplungsverbot EU-weit einheitlich regelt. Diese Vorschrift hat den folgenden Wortlaut:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“.

Der Anknüpfungspunkt für das Verbot der „Kopplung “ von Einwilligung (in unserem Beispiel die Anmeldung für den Newsletter) und Vertragsschluss (hier die Teilnahme am Gewinnspiel) ist also die „Freiwilligkeit“ der Einwilligung, die eine der gesetzlichen Voraussetzungen für die Wirksamkeit der Einwilligung ist. Freiwilligkeit ist dabei gleichzusetzen mit „ohne Zwang“.

Wann das Kopplungsverbot genau greift und wann nicht, ist nach wie vor rechtlich ungeklärt. Um ein wenig Licht in dieses Dunkel zu bringen, haben wir die aktuell verfügbare Rechtsprechung zum Kopplungsverbot aus drei EU-Mitgliedstaaten einmal zusammengestellt.

Österreich: Werbe-Einwilligung in kostenpflichtigem Vertrag unzulässig

Bezüglich eines möglichen Kopplungsverbots hatte der Oberste Gerichtshof in Österreich bereits 2018 unter Verweis auf Erwägungsgrund 43 der DSGVO entschieden (Az.  6Ob140/18h):

„Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

An die Beurteilung der „Freiwilligkeit“ der Einwilligung seien hohe Anforderungen zu stellen. Daher ist bei einer Kopplung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Im konkreten Fall entschied das Gericht, dass ein Pay-TV-Anbieter den Vertragsschluss nicht mit einer Einwilligung in den Erhalt von Werbung von Partnerunternehmen verknüpfen durfte. Hierbei ist jedoch zu beachten, dass es hier um einen kostenpflichtigen Vertrag ging, dessen Erfüllung in keinem Zusammenhang mit der Werbeeinwilligung stand.

Deutschland: Newsletter-Anmeldung darf Teilnahmevoraussetzung für Gewinnspiel sein

Das Oberlandesgericht (OLG) Frankfurt am Main hat in einer Entscheidung aus dem Juni 2019 (Az. 6 U 6/19) festgestellt, dass eine Einwilligung auch dann als freiwillig anzusehen ist, wenn die Einwilligungserklärung Voraussetzung für die Teilnahme an einem Gewinnspiel ist. Nach Ansicht des Gerichts kann und muss der Verbraucher selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.

Auch wenn sich das OLG Frankfurt in seiner Entscheidung nicht explizit auf das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO bezieht, so ergibt sich aus der Entscheidung, dass es eine Kopplung von Einwilligung an Dienstleistung dann für zulässig hält, wenn die Einwilligung sozusagen als „Gegenleistung“ für die Teilnahme an einem an sonsten kostenlosen Gewinnspiel gesehen werden kann.

Das bloße „Anlocken“ von Newsletter-Empfängern durch das Versprechen einer Vergünstigung, wie hier die Teilnahme an einem Gewinnspiel, reicht also nicht aus, um die Wirksamkeit der Einwilligung auszuschließen.

Die übrigen Voraussetzungen für eine wirksame Einwilligung gelten natürlich ebenso, insbesondere der so genannte „Double Opt-in“. Eine weitere Voraussetzung ist nach Art. 4 Nr. 11 DSGVO, dass die Einwilligung „für einen bestimmten Fall“ erteilt werden muss. Diese Bedingung ist nach einer Entscheidung des Bundesgerichtshofs aus dem Jahr 2012 nur dann erfüllt, wenn sich aus der Einwilligungserklärung ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden, also von wem genau der Betroffene auf welche Weise Werbung erhalten wird. Andernfalls ist die Einwilligung ebenfalls unwirksam.

Italien: Werbe-Einwilligung als zulässige Gegenleistung für ansonsten kostenlose Dienstleistung

Der italienische Kassationsgerichtshof hatte bereits 2018 über einen ähnlich gelagerten Fall zu entscheiden, in dem ein Newsletter zu Finanz- und Steuerthemen nur abonniert werden konnte, wenn der Empfänger in die Verarbeitung personenbezogener Daten zu Werbezwecken einwilligte (Az. 17278).

Nach der Entscheidung des Gerichts ist für die Beurteilung der Freiwilligkeit entscheidend, wie „unersetzlich“ oder „unverzichtbar“ der angebotene Dienst für die Betroffenen ist. Sind die Nutzer nicht auf den konkreten Dienst angewiesen, sondern können sie die angebotene Leistung auch auf anderem Weg erlangen, soll eine Kopplung von Einwilligung und Nutzung des Dienstes erlaubt sein. DIe Nutzer können in einem solchen Fall auf den Dienst verzichten, ohne ein „ernsthaftes Opfer“ erbringen zu müssen.

Ähnlich wie das OLG Frankfurt führt der Kassationsgerichtshof aus, dass dabei jedoch eine informierte Einwilligung erforderlich ist, damit diese als wirksam angesehen werden kann. So muss aus der Einwilligung hervorgehen, für welche Produkte oder Dienstleistungen der Betroffene Werbung erhalten wird.

Fazit

Das Kopplungsverbot ist im Marketing von großer Bedeutung. Seine Kontur muss wegen der komplexen Regelung in Art. 7 Abs. 4 DSGVO erst noch durch die Gerichte weiter ausgeformt werden.

Bereits jetzt ist jedoch zu sagen, dass es in erster Linie darauf ankommt, dass der Betroffene seine Einwilligung „freiwillig“ abgibt. Er muss sich also in einer Lage befinden, in der er eine Wahlmöglichkeit zwischen Preisgabe und Einbehaltung seiner personenbezogenen Daten hat. Das bedeutet insbesondere, dass bei der Entscheidungsfindgung keine „Drucksituation“ bestehen darf. Zumindest in Fällen von ansonsten kostenlosen Angeboten kann die freiwillige Einwilligung als „Gegenleistung“ angesehen werden.