EuGH-Generalanwalt: Opt-in-Pflicht für Cookies

2017 legte der BGH (Beschl. v. 5.10.2017 – I ZR 7/16) dem EuGH die Frage vor, ob für das Setzen eines Cookies eine ausdrückliche Einwilligung erforderlich ist. Nun hat der Generalanwalt in seinen Schlussanträgen (21.3.2019 – C-673/17) seine Auffassung bekanntgegeben.

Hintergrund

Die Beklagte veranstaltete ein Gewinnspiel zu Werbezwecken. Auf der Website gab es unter den Eingabefeldern für die Adresse zwei mit Ankreuzfeldern versehene Hinweistexte. Der erste Hinweistext war nicht vorangekreuzt. Er lautete:

Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.

Der zweite Hinweistext war bereits vorangekreuzt:

Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.

Der BGH setzte das Verfahren aus und legte dem EuGH gleich mehrere Fragen zur Entscheidung vor, auch bereits im Hinblick auf die zu dem Zeitpunkt bevorstehende DSGVO:

1.a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

1. b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

1. c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Keine Einwilligung durch Opt-out

Nach Ansicht des Generalanwalts liegt keine aktive Einwilligung vor, wenn ein vorhandenes Häkchen entfernt werden muss, wenn der Nutzer nicht in das Setzen von Cookies einwilligt. Es könne in solch einer Situation nicht ermittelt werden, ob der Nutzer seine Einwilligung freiwillig und Kenntnis der Sachlage erteilt habe. Anders wäre es zu beurteilen gewesen, wenn der Nutzer ein Feld hätte ankreuzen müssen.

Zudem könnten die Teilnahme am Gewinnspiel und die Einwilligung in das Setzen von Cookies nicht Teil derselben Handlung sein, denn die Einwilligung erscheine nachrangig.

Eine Einwilligung wird nur dann freiwillig und in Kenntnis der Sachlage erteilt, wenn dies nicht nur aktiv, sondern auch gesondert geschieht. Die Aktivitäten eines Nutzers im Internet (Lektüre einer Internetseite, Teilnahme an einem Gewinnspiel, Anschauen eines Videos usw.) und die Erteilung einer Einwilligung können nicht Teil derselben Handlung sein. Insbesondere kann, aus der Perspektive des Nutzers, die Erteilung der Einwilligung nicht als Nebenwirkung der Teilnahme am Gewinnspiel erscheinen. Beide Handlungen müssen insbesondere optisch in gleicher Weise präsentiert werden. Infolgedessen halte ich es für zweifelhaft, dass ein Bündel von Willenserklärungen, zu denen die Erteilung einer Einwilligung gehören würde, mit dem Begriff der Einwilligung im Sinne der Richtlinie 95/46 im Einklang stünde.

Die Beklagte vertrat zur ersten Frage die Auffassung, dass die betroffene Person durch Anklicken der Teilnahme-Schaltfläche des Gewinnspiels einwillige. Der Generalanwalt schloss sich dieser Auffassung jedoch nicht an.

Zwar sei eine Teilnahme am Gewinnspiel nicht von der Einwilligung abhängig gewesen, darüber wurden die Nutzer jedoch nicht informiert. Das voreingestellte Ankreuzkästchen genügte damit nicht den Anforderungen, die an eine Einwilligung zum Setzen des Cookies zu stellen sind.

Der Generalanwalt stellte zudem fest, dass diese Grundsätze auch unter der DSGVO fortgelten. Es sei nunmehr ausdrücklich eine aktive Einwilligung erforderlich.

Kopplungsverbot nicht einschlägig

Der Generalanwalt nahm auch Stellung zum ersten Ankreuzfeld:

Erstens gelten die Kriterien für die aktive und gesonderte Einwilligung und die umfassende Information natürlich auch in Bezug auf das erste Ankreuzfeld. Die aktive Einwilligung dürfte unproblematisch sein, da das Ankreuzfeld nicht vorausgefüllt ist. Zweifel habe ich hingegen bei der gesonderten Einwilligung. Auf der Basis der obigen Analyse wäre es angesichts des Sachverhalts des vorliegenden Falls besser, wenn, bildlich gesprochen, zur Einwilligung in die Verarbeitung personenbezogener Daten eine gesonderte Schaltfläche anzuklicken wäre und nicht lediglich ein Feld anzukreuzen.

Zudem sprach er das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO an. Er stellte heraus, dass die Hauptpflicht der Nutzer, um an dem Gewinnspiel teilzunehmen, darin bestehe, personenbezogene Daten zur Verfügung zu stellen. Die Verarbeitung dieser personenbezogenen Daten sei damit für die Teilnahme an dem Gewinnspiel erforderlich, weshalb das Kopplungsverbot nicht greife.

Keine Umsetzung der Cookie-Richtlinie

Zudem wollte der BGH die Frage beantwortet wissen, ob es einen Unterschied macht, ob es sich bei den mittels Cookie abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Der Generalanwalt verneinte diese Frage. Der Grund liegt in der deutschen Umsetzung der RL 2002/58/EG mit § 12 und § 15 TMG. Nach § 12 TMG ist die Erhebung und Verwendung personenbezogener Daten durch einen Diensteanbieter u.a. davon abhängig, ob der Nutzer eingewilligt hat. Nach § 15 Abs. 3 TMG darf ein Diensteanbieter hingegen u.a. für Zwecke der Werbung und der Marktforschung Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Soweit keine personenbezogenen Daten betroffen sind, sind die Anforderungen nach deutschem Recht somit weniger strikt: keine Einwilligung, sondern nur fehlender Widerspruch.

Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits […] gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind.

Die Umsetzung der Cookie-RL (RL 2009/136/EG) hat jedoch zu keiner Anpassung der deutschen Vorschriften geführt. § 15 Abs. 3 TMG steht also nicht mit dem Unionsrecht in Einklang.

Umfang der Cookie-Informationen

Mit der zweiten Frage wollte der BGH beantwortet wissen, welche Informationen der Diensteanbieter im Rahmen der Einwilligung erteilen muss. Sie müssen laut Generalanwalt so detailliert sein, dass der Nutzer die Funktionsweise der tatsächlich verwendeten Cookies versteht. Dazu gehören die Funktionsdauer der Cookies und die Information darüber, ob Dritte auf die gesetzten Cookies Zugriff haben oder nicht. Sofern Dritte Zugriff haben, muss ihre Identität offengelegt werden.

Fazit

Wenn der EuGH dem Generalanwalt folgt, wäre der Einsatz von Cookies künftig nur noch nach ausdrücklicher Zustimmung der Nutzer erlaubt. Eine vorausgewählte Checkbox reicht hierzu nicht aus. Jeder Website müsste eine entsprechende Einwilligung vorgeschaltet werden. Erst danach dürfte ein Cookie gesetzt werden. Noch ungeklärt ist in diesem Zusammenhang auch, wie der Website-Betreiber die Einwilligung beweisen sollte.

Unabhängig von der ePrivacyVO, deren Zeitpunkt des Inkrafttretens und genauer Inhalt noch unklar ist, könnte die Opt-In-Pflicht für alle Cookies (von der wohl auch die DSK ausgeht) schon früher kommen als erwartet. Consent-Management-Tools gibt es schon reichlich, nur hapert es derzeit noch an richtigen Einwilligungstexten und nicht-vorangekreuzten Tickboxen.

Eine “echte” Einwilligung für ein Tracking- oder Retargeting-Tool ist relativ komplex, schnell intransparent und häufig ein Conversion-Killer, zumal erst Cookies gesetzt werden dürfen, nachdem das Opt-In gesetzt wurde. Auch spricht vieles dafür, dass die Nutzung einer Website immer auch ohne Opt-In / Cookies möglich sein muss. Viele aktuelle Umsetzungen in Form von Cookie-Bannern oder Consent-Tools sind jedenfalls nur Placebos und genügen den Vorgaben des EuGH-Anwalts nicht.

Marian Weyo/Shutterstock.com