Einwilligung gegen Gewinnchance? Aktuelles zum Kopplungsverbot

Eine Frage, die im eCommerce häufiger auftaucht: Darf man die Anmeldung zu einem Werbe-Newsletter nach der Datenschutzgrundverordnung (DSGVO) zur Teilnahmevoraussetzung für ein ansonsten kostenloses Gewinnspiel machen?

Die Antwort findet sich in Artikel 7 Absatz 4 DSGVO, der das so genannte Kopplungsverbot EU-weit einheitlich regelt. Diese Vorschrift hat den folgenden Wortlaut:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“.

Der Anknüpfungspunkt für das Verbot der „Kopplung “ von Einwilligung (in unserem Beispiel die Anmeldung für den Newsletter) und Vertragsschluss (hier die Teilnahme am Gewinnspiel) ist also die „Freiwilligkeit“ der Einwilligung, die eine der gesetzlichen Voraussetzungen für die Wirksamkeit der Einwilligung ist. Freiwilligkeit ist dabei gleichzusetzen mit „ohne Zwang“.

Wann das Kopplungsverbot genau greift und wann nicht, ist nach wie vor rechtlich ungeklärt. Um ein wenig Licht in dieses Dunkel zu bringen, haben wir die aktuell verfügbare Rechtsprechung zum Kopplungsverbot aus drei EU-Mitgliedstaaten einmal zusammengestellt.

Österreich: Werbe-Einwilligung in kostenpflichtigem Vertrag unzulässig

Bezüglich eines möglichen Kopplungsverbots hatte der Oberste Gerichtshof in Österreich bereits 2018 unter Verweis auf Erwägungsgrund 43 der DSGVO entschieden (Az.  6Ob140/18h):

„Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

An die Beurteilung der „Freiwilligkeit“ der Einwilligung seien hohe Anforderungen zu stellen. Daher ist bei einer Kopplung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Im konkreten Fall entschied das Gericht, dass ein Pay-TV-Anbieter den Vertragsschluss nicht mit einer Einwilligung in den Erhalt von Werbung von Partnerunternehmen verknüpfen durfte. Hierbei ist jedoch zu beachten, dass es hier um einen kostenpflichtigen Vertrag ging, dessen Erfüllung in keinem Zusammenhang mit der Werbeeinwilligung stand.

Deutschland: Newsletter-Anmeldung darf Teilnahmevoraussetzung für Gewinnspiel sein

Das Oberlandesgericht (OLG) Frankfurt am Main hat in einer Entscheidung aus dem Juni 2019 (Az. 6 U 6/19) festgestellt, dass eine Einwilligung auch dann als freiwillig anzusehen ist, wenn die Einwilligungserklärung Voraussetzung für die Teilnahme an einem Gewinnspiel ist. Nach Ansicht des Gerichts kann und muss der Verbraucher selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.

Auch wenn sich das OLG Frankfurt in seiner Entscheidung nicht explizit auf das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO bezieht, so ergibt sich aus der Entscheidung, dass es eine Kopplung von Einwilligung an Dienstleistung dann für zulässig hält, wenn die Einwilligung sozusagen als „Gegenleistung“ für die Teilnahme an einem an sonsten kostenlosen Gewinnspiel gesehen werden kann.

Das bloße „Anlocken“ von Newsletter-Empfängern durch das Versprechen einer Vergünstigung, wie hier die Teilnahme an einem Gewinnspiel, reicht also nicht aus, um die Wirksamkeit der Einwilligung auszuschließen.

Die übrigen Voraussetzungen für eine wirksame Einwilligung gelten natürlich ebenso, insbesondere der so genannte „Double Opt-in“. Eine weitere Voraussetzung ist nach Art. 4 Nr. 11 DSGVO, dass die Einwilligung „für einen bestimmten Fall“ erteilt werden muss. Diese Bedingung ist nach einer Entscheidung des Bundesgerichtshofs aus dem Jahr 2012 nur dann erfüllt, wenn sich aus der Einwilligungserklärung ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden, also von wem genau der Betroffene auf welche Weise Werbung erhalten wird. Andernfalls ist die Einwilligung ebenfalls unwirksam.

Italien: Werbe-Einwilligung als zulässige Gegenleistung für ansonsten kostenlose Dienstleistung

Der italienische Kassationsgerichtshof hatte bereits 2018 über einen ähnlich gelagerten Fall zu entscheiden, in dem ein Newsletter zu Finanz- und Steuerthemen nur abonniert werden konnte, wenn der Empfänger in die Verarbeitung personenbezogener Daten zu Werbezwecken einwilligte (Az. 17278).

Nach der Entscheidung des Gerichts ist für die Beurteilung der Freiwilligkeit entscheidend, wie „unersetzlich“ oder „unverzichtbar“ der angebotene Dienst für die Betroffenen ist. Sind die Nutzer nicht auf den konkreten Dienst angewiesen, sondern können sie die angebotene Leistung auch auf anderem Weg erlangen, soll eine Kopplung von Einwilligung und Nutzung des Dienstes erlaubt sein. DIe Nutzer können in einem solchen Fall auf den Dienst verzichten, ohne ein „ernsthaftes Opfer“ erbringen zu müssen.

Ähnlich wie das OLG Frankfurt führt der Kassationsgerichtshof aus, dass dabei jedoch eine informierte Einwilligung erforderlich ist, damit diese als wirksam angesehen werden kann. So muss aus der Einwilligung hervorgehen, für welche Produkte oder Dienstleistungen der Betroffene Werbung erhalten wird.

Fazit

Das Kopplungsverbot ist im Marketing von großer Bedeutung. Seine Kontur muss wegen der komplexen Regelung in Art. 7 Abs. 4 DSGVO erst noch durch die Gerichte weiter ausgeformt werden.

Bereits jetzt ist jedoch zu sagen, dass es in erster Linie darauf ankommt, dass der Betroffene seine Einwilligung „freiwillig“ abgibt. Er muss sich also in einer Lage befinden, in der er eine Wahlmöglichkeit zwischen Preisgabe und Einbehaltung seiner personenbezogenen Daten hat. Das bedeutet insbesondere, dass bei der Entscheidungsfindgung keine „Drucksituation“ bestehen darf. Zumindest in Fällen von ansonsten kostenlosen Angeboten kann die freiwillige Einwilligung als „Gegenleistung“ angesehen werden.

Die „Planet49“-Entscheidung des Europäischen Gerichtshofs – eine Gefahr für die programmatische Werbung?

Vor wenigen Tagen hat der Europäische Gerichtshof den Fall „Planet49“ entschieden (Rs. C‑673/17). Dieses Urteil war mit Spannung erwartet worden – in der Hoffnung, der EuGH würde das Urteil zur Gelegenheit nehmen, der Onlinemarketingbranche mehr rechtliche Klarheit zu verschaffen. Das geschah jedoch nur zum Teil. Wichtige Fragen bleiben leider nach wie vor unbeantwortet.

Worum ging es im „Planet49“-Verfahren?

Im September 2013 veranstaltete das Unternehmen Planet49 auf der Website „www.dein-macbook.de“ ein Gewinnspiel. Um an dem Gewinnspiel teilnehmen zu können, mussten Internetnutzer zunächst ihre Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern für ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeld versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld (im Folgenden: erstes Ankreuzfeld) nicht mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. […]“

Der zweite Hinweistext, dessen Ankreuzfeld (im Folgenden: zweites Ankreuzfeld) mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres [in der verlinkten Datenschutzerklärung].“

Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde.

Der Bundesverband der Verbraucherschutzzentralen erhob daraufhin beim Landgericht Frankfurt am Main Klage gegen Planet49, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt werden sollte, solche Einverständniserklärungen nicht mehr zu verlangen. Das Landgericht Frankfurt am Main gab der Klage teilweise statt, das Oberlandesgericht Frankfurt wies sie dagegen in zweiter Instanz zurück.

Der vom Bundesverband der Verbraucherschutzzentralen im Wege der Revision angerufene Bundesgerichtshof hatte Zweifel, ob die von Planet49 mittels des zweiten Ankreuzfelds eingeholten Einwilligungen wirksam waren. Daher setzte er das Verfahren aus und legte dem Europäischen Gerichtshof eine Reihe von Fragen zur so genannten Vorabentscheidung vor:

Welche Fragen lagen dem Europäischen Gerichtshof zur Entscheidung vor?

Der Bundesgerichtshof hatte dem EuGH die folgenden Fragen gestellt (sprachlich etwas angepasst):

  1. Handelt es sich um eine wirksame Einwilligung, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzfeld erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene oder um anonyme Daten handelt?
  3. Liegt unter den in Frage 1 genannten Umständen eine wirksame Einwilligung im Sinne der Datenschutzgrundverordnung vor?
  4. Welche Informationen muss ein Website-Betreiber den Nutzern zur Verfügung stellen, um Cookies setzen zu dürfen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

 Wie fiel das Urteil des EuGH aus?

Der Europäische Gerichtshof entschied Folgendes:

  • Es liegt keine wirksame Einwilligung im Sinne der maßgeblichen EU-Richtlinien vor, wenn das Setzen von und der Zugriff auf Cookies durch ein voreingestelltes Ankreuzfeld  abgefragt wird, welches der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
  • Es kommt nicht darauf an,  ob es sich bei den im Endgerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
  • Nach der ePrivacy-Richtlinie muss ein Website-Betreiber Angaben zur Funktionsdauer der Cookies machen und darüber informieren, ob Dritte Zugriff auf die Cookies erhalten.

Was bedeutet das für die Praxis?

Die Entscheidung war für Brancheninsider wenig überraschend: Wer Cookies einsetzt, braucht zukünftig eine „aktive“ Einwilligung. Eine Opt-out-Lösung reicht nicht mehr aus. Die heute noch so beliebte Formulierung, „wenn Sie jetzt weiter surfen, stimmen sie der Verarbeitung Ihrer Daten zu.“ ist nicht mehr zulässig. Eine solche stillschweigende Einwilligung ist unwirksam.

Das gilt – und das ist ein wenig überraschend – sowohl für Cookies mit personenbezogenen Inhalten wie auch mit anonymen Inhalten.

Was war nicht Gegenstand des EuGH-Urteils? Anders ausgedrückt: Braucht man für Cookies jetzt immer eine Einwilligung?

Die Besonderheit eines solchen Verfahrens vor dem Europäischen Gerichtshof besteht darin, dass der EuGH nur die Fragen zu beantworten hat, die das Ausgangsgericht (in diesem Fall der Bundesgerichtshof) ihm stellt. Deshalb hatte er keine Veranlassung, zu den weiteren für die Onlinebranche wichtigen Fragen Stellung zu nehmen. Damit hat der EuGH insbesondere nicht geklärt,

  • ob das Setzen von Cookies durch andere Rechtgrundlagen gerechtfertigt sein könnte, zum Beispiel durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO),
  • wer für das Setzen eines third-party-Cookies eigentlich datenschutzrechtlich verantwortlich ist,
  • wann so genannte „erforderliche“ Cookies vorliegen, für die keine gesonderte Einwilligung einzuholen ist (Art. 5 Abs. 3 ePrivacy-RL).
  • Es ist auch nicht geklärt, ob Nutzereinzelnen Onlinemarketing Dienstleistern oder zumindest Dienstleister-Gruppen (Kategorien, also zum Beispiel “Onlinemarketing”) aktiv zustimmen müssen. Diese Frage ist natürlich von weitreichender Bedeutung: Alle Dienstleister zu benennen, die im Onlinemarketing-Ökosystems beteiligt sind, wäre eine praktisch unlösbare Aufgabe.

 Gibt es also noch „einwilligungsfreie“ Cookies?

Nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (auch als „Cookie-Richtlinie“ bekannt) gibt es nach wie vor Cookies, die „unbedingt erforderlich“ sind und daher keinerlei Einwilligung benötigen. Wann ein Cookie jedoch „unbedingt erforderlich“ ist, lässt sich weder der Richtlinie noch dem EuGH-Urteil entnehmen. Zu dieser Kategorie dürften aber zum Beispiel mindestens die folgenden Cookies zählen: Warenkorb-Cookies, Login-Cookies, Sprachauswahl-Cookies und Ähnliche. Natürlich müssen diese Cookies auch in der Datenschutzerklärung erläutert werden. Das beinhaltet Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf diese Cookies erhalten.

Vieles ist hier auch nach der Entscheidung des EuGH trotzdem noch unklar. Marketing-Cookies oder Cookies für das Erstellen von Statistiken werden jedoch allgemein als nicht „unbedingt erforderlich“ betrachtet. In diesen Fällen muss daher vor dem Einsatz eine informierte Einwilligung der Nutzer eingeholt werden.

Müssen alle Dienstleister in der Datenschutzerklärung erwähnt werden – oder reichen Gruppen (Kategorien) aus?

Man steht oft vor dem Problem, dass eine unüberschaubare Anzahl von Dienstleistern (third parties) in die programmatische Werbung eingebunden werden. Es ist kaum möglich, all diese Dienstleister namentlich und einzeln zu benennen, zum Teil sind sie auch gar nicht bekannt. Kann man deshalb aus Vereinfachungsgründen „Gruppen“ bilden, um diesem Problem zu entgehen? (zum Beispiel durch die Angabe „Retargeting-Dienstleister)

Auch diese für die Praxis so wichtige Frage hat der EuGH offen gelassen. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg schreibt dazu kürzlich:

„In der Einwilligung […] muss der Verarbeitungsvorgang klar und deutlich beschrieben werden. Nutzer müssen ohne Weiteres verstehen können, in was sie einwilligen. Ein bloßer Hinweis ‚diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern‘ oder ‚für Webanalyse und Werbemaßnahmen‘ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die Einwilligung muss nicht für die Verwendung von Cookies an sich, sondern für die Erhebung und Weitergabe personenbezogener Daten eingeholt werden. Insbesondere muss genau und verständlich aufgelistet werden, an welche namentlich zu benennenden Dritten welche Daten weitergegeben werden, bzw. welche Dritten Daten erheben oder empfangen (Empfänger) und zu welchem genauen Zweck dies geschieht. Verfolgen Dritte eigene Zwecke, müssen auch diese beschrieben werden. Diese Informationen müssen klar und deutlich dargestellt werden und dürfen nicht verschleiert werden, auch nicht durch die Wahl der Überschrift. Nutzer müssen aktiv und freiwillig einwilligen […], die Zustimmung darf nicht vorausgewählt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte Kästchen reichen nicht aus (‚privacy by design‘ und ‚privacy by default‘).“

Er schreibt aber auch – und das ist bedeutsam (Hervorhebung hinzugefügt):

„Die einzelnen Empfänger sollten einzeln, bzw. nach Kategorien auswählbar sein.“ 

Das bedeutet, dass es möglich sein muss, die Empfänger auch (nur) in Kategorien zu benennen. Dies steht auch im Einklang mit Art. 13 Abs. 1 lit. e) DSGVO, denn auch danach sind „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ zu benennen. Es bleibt also abzuwarten, ob der EuGH diese Ansicht in einem zukünftigen Verfahren bestätigen wird.

Die englische Datenschutz-Aufsichtsbehörde ICO sieht diese Fragen übrigens deutlich kritischer. Das gleiche gilt für die französische Aufsichtsbehörde CNIL. Um so wichtiger ist es, dass hier so bald wie möglich endlich einmal Klarheit geschaffen wird.

Wie geht es weiter?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen eine Änderung des deutschen Telemediengesetzes angekündigt, um auf das „Planet49“-Urteil zu reagieren. Es bleibt abzuwarten, was hier geschieht. Parallel dazu wird der Rechtsstreit jetzt an den Bundesgerichtshof zurückverwiesen, der den konkreten Fall dann endgültig entscheiden muss.

Was sollte man jetzt tun?

  • Website-Betreiber, die derzeit für Cookies ein „Opt-out“ anbieten, also voreingestellte Ankreuzfelder verwenden, müssen diese Praxis ändern.
  • Website-Bbetreiber, die kein Consent-Banner nutzen, sondern sich nach wie vor auf § 15 Abs. 3 TMG und Art. 6 Abs. 1 lit. f) DSGVO berufen, müssen mit einem nicht geringen rechtlichen Risiko rechnen. Dennoch halten einige diesen sicherlich riskanten Weg für vertretbar, solange die bestehende Gesetzeslage noch nicht geändert wurde.
  • Das Setzen von Cookies, die einer Einwilligung bedürfen, erfordert nach der Ansicht des EuGH zukünftig eine ausdrückliche Einwilligung, das heißt etwa das Setzen eines Häkchens, das Klicken auf eine Schaltfläche oder die Betätigung eines Schiebeschalters.
  • Das einfache „Weitersurfen“ nach einem Hinweis oder eine voreingestellte Einwilligung genügen künftig in diesen Fällen nicht.
  • Die Einwilligung muss eingeholt werden, bevor die Cookies gesetzt werden! Das Cookie darf also erst gesetzt werden, nachdem die Einwilligung eingeholt wurde. Dies entspricht auch der Ansicht der Aufsichtsbehörden, die in einer Orientierungshilfe für die Anbieter von Telemedien bereits Anfang des Jahres Stellung genommen hatten .
  • Ferner müssen Cookie-Policies und Datenschutzerklärungen nach den Vorgaben des Europäischen Gerichtshofs vervollständigt werden. Dazu gehören insbesondere Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten. Dabei auf die Nennung von Gruppen zurückzugreifen, erscheint uns vertretbar. Abschließend geklärt ist diese Frage aber nicht.

Einwilligung bei Social Plugins? Die Fashion ID-Entscheidung des EuGH

Der Betreiber einer Website, die den „Gefällt mir“-Button von Facebook enthält, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht verantwortlich für die spätere Verarbeitung dieser Daten durch Facebook. Zu diesem Ergebnis gelangt der Europäische Gerichtshof in seiner kürzlich veröffentlichen Entscheidung („Fashion ID“, Urteil in der Rechtssache C-40/17, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV).

In dem zugrundeliegenden Sachverhalt ging es darum, dass der Betreiber der „Fashion ID“-Website einen herkömmlichen „Gefällt mir“-Button von Facebook nutzte. Dagegen klagte die Verbraucherzentrale NRW mit der Begründung, die Einbindung des „Gefällt mir“-Buttons von Facebook setze eine Einwilligung der Website-Besucher voraus. Diese würde Fashion ID aber nicht einholen. Der EuGH bestätigte nunmehr diese Auffassung im wesentlichen, verwies den Rechtsstreit aber zurück an das zuständige Gericht.

Im Wesentlichen kam der EuGH zu folgendem Ergebnis:

Facebook und Websitebetreiber sind zum Teil gemeinsam verantwortlich

Der Betreiber einer Website, der in diese Website ein Social Plugin (zum Beispiel den „Gefällt mir“-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist als „Verantwortlicher“ im datenschutzrechtlichen Sinne anzusehen. Diese Verantwortlichkeit ist jedoch auf die Vorgänge beschränkt, für die er tatsächlich über die Zwecke und Mittel entscheidet, das heißt

  • das Erheben der in Rede stehenden Daten und
  • deren Weitergabe durch Übermittlung an Facebook (beziehungsweise jeden anderen Anbieter eines Social Plugins).

Das „berechtigte Interesse“ muss bei Facebook und beim Website-Betreiber vorliegen

In einer Situation, in der der Betreiber einer Website in diese ein Social Plugin einbindet, ist es erforderlich, dass der Betreiber und der Anbieter (zum Beispiel Facebook) mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse (Art. 7 Buchst. f der Richtlinie 95/46) wahrnehmen, damit diese Vorgänge für jeden von ihnen gerechtfertigt sind. Dies gilt freilich nur dann, wenn es überhaupt auf ein solches berechtigtes Interesse ankommt.

Einwilligung nur beim Einsatz von Cookies erforderlich, dann aber vor Erhebung der Daten?

in einer Situation wie der des Fashion ID-Verfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, ist eine Einwilligung durch den Betreiber einzuholen, allerdings nur in Bezug auf den Vorgang, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Und nur unter der Voraussetzung, dass Cookies eingesetzt werden.

Was die Einwilligung selbst betrifft, so muss diese vor dem Erheben der Daten der betroffenen Personen und deren Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten schon dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.

Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Verarbeitungsvorgänge, für die er tatsächlich über die Zwecke und Mittel entscheidet.

Auch Informationspflichten sind vom Website-Betreiber zu erfüllen

Auch die gesetzlichen Informationspflichten betreffen den Betreiber der Website, wobei dieser die betroffenen Personen jedoch wieder nur in Bezug auf die Verarbeitungsvorgänge informieren muss, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Praktische Konsequenzen für die Onlinebranche

Das Urteil enthält für eingeweihte Branchenteilnehmer nichts wirklich Neues. Zunächst ist allerdings darauf hinzuweisen, dass die Klage sowie das Urteil auf Basis der alten EU-Datenschutzrichtlinie von 1995 erfolgten, die mit Wirkung vom 25. Mai 2018 durch die Datenschutzgrundverordnung ersetzt wurde. Vermutlich dürfte der EuGH aber auch auf der Basis der heutigen DSGVO ähnlich entscheiden. Dennoch enthält das Urteil einige Besonderheiten:

Der EuGH hatte bereits im Juni 2018 entscheiden, dass Fanpagebetreiber für die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (Rechtssache C-210/16 „Wirtschaftsakademie“). Nun hat der EuGH entschieden, dass dieses weite Verständnis gemeinsamer Verantwortlichkeit auch für die „Gefällt mir“-Buttons von Socialmedia-Plattformen gilt. Neu ist allerdings, dass die Verantwortlichkeit dort endet, wo die Daten den Facebook-Konzern erreicht haben.

Der EuGH lässt jedoch erstaunlicherweise eine der wichtigsten Fragen der Onlinebranche offen, nämlich ob die Websitebetreiber immer eine Einwilligung für die Einbindung von Social Plugins, wie zum Beispiel Facebooks Like-Button benötigen oder ob ein „berechtigtes Interesse“ (Im Sinne von Art. 7 Buchst. f der alten Richtline beziehungsweise heute Art. 6 Abs. 1 Buchst. f DSGVO) für den Betreiber als Rechtfertigungsgrund ausreichen kann. Zwar betont der EuGH indirekt (Randziffern 89, 91), dass das Setzen eines Cookies nach der Datenschutzrichtlinie immer eine Einwilligung voraussetze. Ob dies aber auch dann gilt, wenn, wie zum Teil auch bei einem Like-Button, kein Cookie gesetzt wird, lässt der EuGH offenbar bewusst offen. Er lässt auch offen, wie genau eine Einwilligung im Fall eines Cookies auszusehen habe und damit auch die umstrittene Frage, ob auch eine stillschweigende Einwilligung ausreichend sein könnte. Der EuGH gelangt nur zu dem Ergebnis, dass, sollte ein berechtigtes Interesse ausreichen, dieses sowohl bei Facebook als auch bei dem Betreiber der Website vorliegen müsse.

Die Frage, ob das berechtigte Interesse jedoch generell als Rechtsgrundlage ausreichend sein kann oder nicht, war nämlich nicht Gegenstand der Entscheidung. Diese Frage ist jedoch für die Onlinebranche von kaum zu überschätzender praktischer Bedeutung. Folgt man der Auffassung der deutschen Aufsichtsbehörden, ist die Einwilligung – nicht nur für Social-Media-Buttons, sondern bei sämtlichen Tracking-Maßnahmen – immer einzuholen. Das gilt auch für die Auffassung der Aufsichtsbehörden anderer EU-Länder wie zum Beispiel die französische CNIL oder das britische ICO.

Folgt man dagegen der Ansicht vieler betroffener Unternehmen und Branchenverbände, so lassen sich viele Datenverarbeitungen auch durch Art. 6 Abs. 1 Buchst. f DSGVO rechtfertigen und damit durch das „berechtigte Interesse“ des Verantwortlichen. Der entscheidende Unterschied: Eine Einwilligung würde dann für die Einbindung des Like-Buttons nicht benötigt.

Wer jedoch auf Nummer sicher gehen will, sollte zukünftig eine Einwilligung seiner Nutzer einholen, und zwar vor der eigentlichen Erhebung der Daten. Wie das am besten zu geschehen hat, lassen auch die Aufsichtsbehörden trotz der kürzlich veröffentlichen „Orientierungshilfe zu Telemedien“ (gemeint sind unter anderem Websites) offen. Eine technische Lösung, die diesen Anforderungen gerecht wird ist, allerdings nur für Social Plugins, schon heute die so genannte 2-Klick-Lösung. Dabei wird der Like-Button zunächst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Icon, wird die Einwilligung eingeholt, mit der dann der richtige Like Button nachgeladen wird. Wie aber im Übrigen, insbesondere beim Einsatz von Cookies, die Einwilligung einzuholen ist, bleibt auch nach dem Urteil des EuGH unklar. Es wird zukünftig sicherlich sinnvoll sein, hier mit so genannten Consent Management-Plattformen (CMPs) zu arbeiten oder noch besser das so genannte Transparency and Consent Framework (TCF) des Interactive Advertising Bureau zu nutzen.

Eines ist jedoch klar: In beiden Fällen (Einwilligung oder berechtigtes Interesse) haben die Betreiber Informationspflichten gegenüber ihren Besuchern zu erfüllen, allerdings nur für die die Daten, für die der Betreiber mitverantwortlich ist. Der Website-Betreiber muss dagegen keine Information darüber geben, wie Facebook diese Daten weiterverarbeitet. Diese Informationen muss Facebook selbst erteilen. Das ist jedenfalls eine gewisse Erleichterung.

Ferner führt die vom EuGH angenomme gemeinsame Verantwortlichkeit nach der DSGVO zu der  Verpflichtung für den Websitebetreiber, die datenschutzrechtlichen Pflichten in einer Vereinbarung gemäß Art. 26 DSGVO (ein Muster wird von den Aufsichtsbehörden zu Verfügung gestellt)  zu regeln. Eine solche Vereinbarung werden die Anbieter von Social Plugins vermutlich zukünftig bereitstellen.

Fazit: Was ist also zu tun bei Social Pugins?

  • mindestens 2- Klick Lösung anwenden
  • Entscheidung über generelle Einwilligungslösung fällen
  • beim Anbieter auf Vereinbarung nach Art. 26 DSGVO drängen
  • in der Datenschutzerklärung transparent auf Einbindung von Social Plugin hinweisen

Bei weiteren Fragen wenden Sie sich gerne an uns (eickmeier@unverzagt.law).

Kommt die ePrivacy-Verordnung – oder kommt sie nicht?

Erfreulicherweise hat sich die Bundesregierung am 29. März im Rahmen einer sogenannten kleinen Anfrage zum aktuellen Verfahrensstand der ePrivacy-VO geäußert. Kurz gefasst: Es wird noch lange Zeit dauern, bis die e Privacy-Verordnung wirklich kommt, jedenfalls geschieht das nicht mehr in diesem Jahr 2019.

Die ePrivacy-Verordnung, so die Bundesregierung, wurde unter der österreichischen Ratspräsidentschaft im 2. Halbjahr 2018 auf der Ebene der Ratsarbeitsgruppe weiter beraten. Österreich hat für den Ministerrat (Telekommunikation) am 4. Dezember 2018 einen Fortschrittsbericht vorgelegt und eine Aussprache durchgeführt.

Nachdem die derzeit amtierende rumänische Ratspräsidentschaft angekündigt hatte, die Themenfelder rund um den digitalen Binnenmarkt voranzutreiben, ist nun beabsichtigt, auch die Verhandlungen zur ePrivacy-Verordnung in diesem Halbjahr so weit wie möglich voranzubringen, gegebenenfalls auch bis hin zu einer Einigung im Rat. Derzeit wird der Vorschlag auf der Grundlage aktueller Präsidentschaftstexte weiterhin auf der Ebene der Ratsarbeitsgruppe diskutiert (die aktuellen Vorschläge der rumänischen Präsidentschaft sind online abrufbar). Ein genauer Zeitplan der Ratspräsidentschaft liegt jedoch nicht vor.

Ein Abschluss der Verhandlungen, so die Bundesregierung, vor den Europawahlen ist nach gegenwärtigem Sachstand eher unwahrscheinlich. Die Dauer der Beratungen sei dem Bemühen geschuldet, die unterschiedlichen Interessen aller beteiligten Kreise angemessen zum Ausgleich zu bringen. Käme es zu einer Einigung auf einen Ratstext, wäre dieser erst einmal Grundlage für weitere Verhandlungen mit dem Europäischen Parlament.

Was wird aus dem für die Werbewirtschaft so bedeutsame Kopplungsverbot bei der Einwilligung?

Auch dazu hat sich die Bundesregierung noch einmal geäußert: Die Bundesregierung hat im Zuge der Beratungen auf Ratsebene vorgeschlagen, dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, ihre Nutzung von der Einwilligung in Cookies für Werbezwecke abhängig zu machen. In diesem Zusammenhang hat die Bundesregierung weiterhin eine Regelung in der ePrivacy-Verordnung vorgeschlagen, dass Endnutzer im Browser selbst wirksame Einstellungen zum Schutz ihrer Privatsphäre vornehmen können. Dadurch sollen Anreize im Markt für verschiedene Optionen gesetzt werden, so auch für eine Bezahlvariante ohne Tracking.

Die Bundesregierung verweist insoweit auf die weiterhin laufenden Verhandlungen. Ziel ist vor allem, ein hohes Schutzniveau für die Vertraulichkeit von Kommunikationsdaten und zugleich den Spielraum für Innovation und digitale Geschäftsmodelle zu erhalten und die Datensouveränität zu stärken. Eine abschließende Meinungsbildung dazu steht noch aus.

Immerhin stellt sich die Bundesregierung mit dieser Aussage auf die Seite der Onlinewerbewirtschaft – die dringend auf eine Klärung dieser Frage angewiesen ist.

Brand Safety als rechtliche Pflicht? Zur Störerhaftung werbender Unternehmen

Werbung auf Websites mit redaktionellem Inhalt zu schalten oder schalten zu lassen, ist mit gutem Grund einer der beliebtesten Wege, auf sich als Unternehmen aufmerksam zu machen. Man erreicht den potenziellen Kunden quasi beiläufig. Um die eigene Marke im Netz zu schützen, greifen viele Unternehmen zu so genannten Brand Safety-Maßnahmen, das heißt, dass Werbung nur in markenkonformen Umfeldern im Internet ausgespielt wird.

Doch was passiert, wenn – unter Umständen unbewusst  Werbung auf einer Internetseite geschaltet wird, die durch ihr Angebot rechtsverletzend handelt? Kann der Werbende dafür haftbar gemacht werden?

Das Landgericht Frankfurt am Main entschied in diesem Zusammenhang schon vor einigen Jahren über einen Fall, in dem ein Interessenverband gegen ein bekanntes Telekommunikationsunternehmen auf Unterlassung klagte. Dieses warb auf einer Filesharing-Website für seine DSL-Flatrates. Die Website, auf der geworben wurde, bot fast ausschließlich Raubkopien sowie jugendgefährdende Medien an.Auch nach ersten einer (kostenfreien) Abmahnung durch den Interessenverband hatte das Telekommunikationsunternehmen die Werbung nicht offline genommen.

Klar ist dabei: Wer Raubkopien oder für jedermann zugängliche jugendgefährdende Filme auf seiner Website anbietet, macht sich strafbar und begeht nach § 3a UWG selbst einen Wettbewerbsverstoß.

Doch das Landgericht urteilte, auch das nur auf der Website mit herkömmlichen Bannern werbende Unternehmen sei zumindest ab Kenntnis Störer des Wettbewerbsverstoßes, da es dem Websitebetreiber durch die Werbung zu „erheblichen Einnahmen verhelfe“ und damit schon als „mitursächlich für die Existenz des rechtswidrigen Angebots“ anzusehen sei. Er nutze den Wettbewerbsverstoß des Seitenbetreibers aus, indem es auf dessen Website Werbung schaltete.

Als Störer haftet nämlich auch derjenige auf Unterlassung, der – auch wenn er weder Täter noch Teilnehmer eines Wettbewerbsverstoßes ist – in irgendeiner Weise willentlich und kausal zur einer Rechtsverletzung beiträgt.

Für Werbetreibende heißt das Folgendes:

Zwar gilt die Störerhaftung, so wie sie das LG Frankfurt statuiert, erst ab Kenntnis. Jeder, der Online-Marketing betreibt, sollte vor dem Hintergrund dieser Rechtsprechung jedoch aktiv brand-safety-Maßnahmen vornehmen.

Vor allem aber empfiehlt es sich, als Werbetreibender Werbenetzwerke vertraglich in die Pflicht zu nehmen, keine Werbung auf Websites mit rechtsverletzenden Inhalten zu schalten, um sie im Fall eines Rechtsstreits mit einem Mitbewerber oder Verband in Regress nehmen zu können.