Webseitenbetreiber müssen beim Einsatz von Cookies grundsätzlich eine Einwilligung einholen. Diese Entscheidung des BGH (BGH, Urt. v 28.05.2020, Az. I ZR 7/16) betrifft auch Cookies, die der bloßen Analyse der Zugriffs- oder Klickzahlen dienen, sofern diese Nutzungsprofile der Website-Besucher erstellen. Ausnahmefälle, in denen auf die Einholung einer Einwilligung verzichtet werden kann, dürften damit nur noch eng begrenzt sein. Cookie-Banner und Consent Tools bleiben damit weiterhin Pflicht für eine ordnungsgemäße Umsetzung der rechtlichen Vorgaben.

Datenschutzaufsichtsbehörden prüfen Medienunternehmen

Die deutschen Datenschutzaufsichtsbehörden haben das Urteil des BGH unmittelbar zum Anlass genommen, darauf basierende Prüfungen und Befragungen durchzuführen. Der Einsatz von Tracking-Technologien, insbesondere Cookies, wird nun in einem ersten Schritt durch 10 der insgesamt 16 Landesdatenschutzbehörden bei größeren Medienunternehmen, die in der Regel einen Großteil ihrer Online-Tätigkeiten über Werbung finanzieren, unter die Lupe genommen.

Von besonderem Interesse ist dabei das sogenannte Kopplungsverbot. Demnach kann eine Einwilligung in die Verarbeitung personenbezogener Daten unwirksam sein, wenn sie für die Dienstleistung selbst nicht erforderlich ist, der Anbieter ohne Einwilligung aber den Zugriff verweigert. Ob dieses Verbot umgangen werden kann, indem Nutzer/innen vor die Wahl gestellt werden, entweder die Einwilligung zu erteilen oder aber für das Angebot zu bezahlen, wie es einige journalistische Online-Angebote handhaben, ist noch ungeklärt. Auch die Rechtsprechung hierzu ist nicht einheitlich, traditionell vertreten aber die deutschen Datenschutzaufsichtsbehörden eher strenge und damit ablehnende Positionen.

Es ist zudem zu erwarten, dass die Behörden zukünftig ihre Prüfungen ausweiten und deutlich strenger auf Hinweise von Betroffenen und Wettbewerbern reagieren werden. Dies gilt ganz besonders vor dem Hintergrund, dass viele Cookies Daten außerhalb der EU (z. B. in die USA) übermitteln, diese Datentransfers aber nach einem aktuellen EuGH-Urteil nicht mehr unter dem EU-US Privacy Shield stattfinden dürfen (wie z. B. bisher bei Google Analytics der Fall) und kritisch überprüft werden müssen.

vzbz vs. Planet49 - Stein des Anstoßes

Das im Mai dieses Jahres entschiedene Verfahren fand seinen Anfang in einem Streit des Bundesverbands der Verbraucherzentralen und Verbrauchverbände (vzbz) mit dem Gewinnspielanbieter Planet49.

Lesetipp: EuGH vs. Opt-Out-Verfahren - Kein Cookie ohne Einwilligung!

Im Fokus stand dabei ursprünglich die Art und Weise der Einholung von datenschutzrechtlichen Einwilligungen. Der Anbieter hatte auf seiner Website die Zustimmung zum Setzen von Cookies dadurch einholen wollen, dass eine entsprechende Einwilligungserklärung für den Nutzer vorausgefüllt, wenn auch abwählbar war. Der BGH legte im Verfahren dem EuGH diesbezüglich diverse Fragen zur Auslegung des EU-Rechts im Rahmen der ePrivacy-Richtlinie und der Datenschutzgrundverordnung (DSGVO) vor:

• Liegt eine wirksame Einwilligung vor, wenn ein vorhandenes Kästchen zur Cookie-Setzung bereits angekreuzt ist?

• Inwiefern ist der Nutzer durch den Seitenbetreiber bezüglich der Verwendung von Cookies aufzuklären? Umfasst dies auch die Zugriffsmöglichkeit von Dritten auf die Cookies sowie die Funktionsdauer der Cookies?

• Ergeben sich durch die Einführung der DSGVO Änderungen gegenüber der älteren ePrivacy-Richtlinie?

Die EuGH-Cookie-Entscheidung

Das Urteil des EuGH aus dem Oktober 2019 war mit Blick auf diese Fragen eindeutig: Ein vorangekreuztes Kästchen, das nicht abgewählt wird, ist für eine Einwilligung nicht ausreichend. Die Nutzer/-innen müssten aktiv handeln. Dies gelte erst recht seit Inkrafttreten der DSGVO, durch den größeren Regelungsumfang der ePrivacy-Richtlinie, jedoch nicht nur für personenbezogene Daten. Zudem müssten Website-Betreiber über Cookies informieren, insbesondere über Zugriffsmöglichkeiten Dritter und Funktionsdauer.

Der EuGH hat allerdings nicht explizit entschieden, dass alle Cookies einer ausdrücklichen Einwilligung bedürfen. Das Urteil wurde aber dennoch oft als Fingerzeig aufgefasst, dass Cookies ganz überwiegend nur noch mit Einwilligung des jeweiligen Nutzers eingesetzt bzw. gespeichert werden können. Denn der EuGH bezog sich bei seiner Beurteilung der Zulässigkeit der Cookie-Nutzung insbesondere auf die ePrivacy-Richtlinie, weniger auf die DSGVO. Die Richtlinie geht jedoch grundsätzlich von einem Einwilligungserfordernis aus, während die DSGVO auch andere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten kennt.

Lesetipp: Tracking Cookies - Cookie Walls - Legal oder illegal?

Hier kommt zudem ein speziell "deutsches" Problem zum Tragen: Es war bisher unklar, welche Rechtsgrundlage für die Nutzung von Cookies bzw. der Einholung entsprechender Einwilligungen gilt. Der deutsche Gesetzgeber ging wohl von einer ausreichenden Umsetzung der ePrivacy-Richtlinie durch § 15 Abs. 3 Telemediengesetz (TMG) aus, nach dessen Wortlaut auch eine sogenannte "Opt-Out"-Lösung über einen Widerspruch des Nutzers zulässig wäre. Die deutschen Datenschutzaufsichtsbehörden stellten sich hingegen bisher auf den Standpunkt, dass § 15 Abs. 3 TMG aufgrund des zur ePrivacy-Richtlinie widersprüchlichen Wortlauts nicht mehr anzuwenden sei.

Die DSGVO sei vorrangig anzuwenden und als Rechtsgrundlage für die Nutzung von Cookies komme nur Art. 6 DSGVO in Betracht. Diesbezüglich gingen die Aufsichtsbehörden bisher jedoch ebenfalls davon aus, dass regelmäßig eine Einwilligung erforderlich sei. Nur bei sehr datenschutzfreundlichen Cookies könne von einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO abgesehen und die Datenverarbeitung auf ein überwiegendes berechtigtes Interesse des Websitebetreibers nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

Die BGH-Cookie-Entscheidung

Der BGH stand nun vor der der schwierigen Aufgabe, den Wortlaut des § 15 Abs. 3 TMG mit den Vorgaben des EuGH in Einklang zu bringen und dabei auch die DSGVO im Blick zu behalten. Im Ergebnis hält der BGH eine richtlinienkonforme Auslegung des § 15 Abs. 3 TMG für möglich.

Dieser sei mit Blick auf die ePrivacy-Richtlinie und die Vorabentscheidung des EuGH so auszulegen, dass für Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung (und nach dem Wortlaut des § 15 Abs. 3 TMG auch für die "bedarfsgerechte Gestaltung" der Website) die Einwilligung des Nutzers erforderlich ist. Durch die richtlinienkonforme Auslegung gehe § 15 Abs. 3 TMG in Verbindung mit Art. 95 DSGVO zudem den Regelungen der DSGVO vor und sei vorrangig anzuwenden. Im Übrigen bestätigte der BGH auch die weiteren Vorgaben des EuGH zur Ausgestaltung der Einwilligung und deren Einholung.

Die Folgen für Website-Betreiber

Webseiten-Betreiber sollten zukünftig für alle Cookies in den Bereichen

• Analyse,

• Statistik,

• und Tracking

eine Einwilligung einholen. Diese darf nicht vorausgewählt sein und muss aktiv und freiwillig durch den Nutzer erteilt werden. Der Nutzer ist zudem über das jeweilige Cookie zu informieren, insbesondere hinsichtlich des Datenzugriffs durch Dritte sowie die Speicherdauer des Cookies. Dies kann durch ein entsprechendes Cookie-Banner oder Consent Tool geschehen. Die Informationen sollten zudem auch in der Datenschutzerklärung enthalten sein.

In Übereinstimmung mit den Vorgaben der ePrivacy-Richtlinie und des TMG (bzw. seiner richtlinienkonformen Auslegung) dürfte eine Einwilligung jedoch nicht erforderlich sein für Cookies, die zur technischen Bereitstellung der Website und deren Funktionen bzw. für einen vom Nutzer angeforderten und diesem bereitgestellten Dienst unbedingt erforderlich sind.
In diesen eng begrenzten Ausnahmebereich können beispielsweise Cookies für die Sprache der Website oder gegebenenfalls auch Warenkörbe in Webshops fallen. Die Bewertung dieser Cookies muss jedoch einzelfallabhängig anhand der jeweils umgesetzten Funktion und - bei Rückgriff auf einen Drittanbieter - auch anhand der jeweils eingesetzten Anwendung und deren Konfiguration erfolgen.

Nicht zuletzt müssen Website-Betreiber sicherstellen, dass Einwilligungen zu Cookies gesetzeskonform dokumentiert und aufbewahrt werden. Zudem muss eine einfache Widerrufsmöglichkeit zur Verfügung gestellt und die entsprechenden Löschprozesse bei einem ordnungsgemäßen Widerruf eines Nutzers umgesetzt werden.

Lesetipp: Persönliche Daten schützen - Wenn gelöschte Daten doch noch existieren

Doch damit nicht genug: Auch die Ausgestaltung von Cookie-Bannern und Consent Tools sollte kritisch im Blick behalten werden. Um beim schnellen Wegklicken lästiger Banner und Pop-Ups doch noch möglichst viele Einwilligungen zu erhalten, sind viele Anbieter dazu übergegangen, den Nutzer durch das Design des Banners oder Tools in Richtung einer Einwilligung zu "führen" (oft auch "Nudging" genannt). Diese Ausgestaltung ist bei den europäischen Datenschutzaufsichtsbehörden jedoch umstritten: so haben sich unter anderem der europäische Datenschutzausschuss (EDSA) sowie die dänische Datenschutzaufsichtsbehörde (Stellungnahme nur auf Dänisch verfügbar) äußerst kritisch zu solchen Vorgehensweisen beim Desgin von Cookie-Bannern und Consent Tools geäußert. Der Nutzer werde zu stark beeinflusst und die Einwilligung erfolge daher nicht mehr freiwillig.

Andere Aufsichtsbehörden sind abweichender Ansicht und setzen ihrerseits selbst Analyse- und Statistik-Tools nicht entsprechend diesen Vorgaben ein. Die deutschen Aufsichtsbehörden haben sich zu diesem Thema noch nicht explizit geäußert, es dürfte jedoch aufgrund der bisher eher strengen Handhabung der DSGVO davon auszugehen sein, dass diese eine ähnliche Auffassung vertreten. Eine konservativere Herangehensweise dürfte daher zu empfehlen sein, will man kritische Nachfragen oder gar Datenschutzverstöße vermeiden.

Lösung ePrivacy-Verordnung?

Die Entscheidung des BGH ist zunächst zu begrüßen. Sie bestätigt das Einwilligungserfordernis für den Einsatz von Cookies auf höchstrichterlicher nationaler Ebene und bringt dadurch Klarheit für die Umsetzung von Analyse- und Tracking-Anwendungen für deutsche oder in Deutschland niedergelassene und tätige Website-Betreiber.

Für Website-Betreiber bedeutet dies jedoch auch Nachteile: sie dürften zukünftig über Analyse- und Tracking-Tools weniger Daten von ihren Nutzern erhalten, eine Optimierung der Website und des eigenen Angebots dürfte dadurch erheblich erschwert werden. Es liegt nahe, dass unter den Voraussetzungen des Einwilligungserfordernisses und der ausführlichen Information nur ein kleiner Teil der Nutzer diese Möglichkeit wahrnehmen wird.

Eine Lösung für diese unbefriedigende Lage ist derzeit nicht erkennbar. Die ePrivacy-Verordnung, die unter anderem konkret den Einsatz von Cookies gleichzeitig mit Inkrafttreten der DSGVO regeln sollte, lässt noch auf sich warten. Mehrere Entwürfe wurden abgelehnt. Erst mit der Übernahme der EU-Ratspräsidentschaft durch Deutschland, ab dem zweiten Halbjahr 2020, wird mit einem Fortschritt gerechnet. Eine Umsetzung könnte aber auch in diesem Fall bis 2025 dauern - sofern das Vorhaben überhaupt noch weiter vorangetrieben und nicht doch vollständig verworfen wird.

Bis dahin sollten Website-Betreiber in der Regel Einwilligungen für Analyse- Statistik- und Tracking-Cookies einholen und nur in sehr eng begrenzten Ausnahmefällen - und auch dann nur gut begründet und dokumentiert - darauf verzichten. Anderenfalls drohen Rechtsverstöße, die insbesondere hinsichtlich der DSGVO mit erheblichen Bußgeldern einhergehen können.

Lesetipp: DSGVO-Bußgelder - GDPR-Verstöße werden teurer

Von Interesse dürften zudem die in den nächsten Wochen zu erwartenden Stellungnahmen der deutschen Datenschutzaufsichtsbehörden sein - möglicherweise können daraus weitere praxisrelevante Hinweise und Beispiele abgeleitet werden. (bw/fm)