2017 legte der BGH (Beschl. v. 5.10.2017 – I ZR 7/16) dem EuGH die Frage vor, ob für das Setzen eines Cookies eine ausdrückliche Einwilligung erforderlich ist. Nun hat der Generalanwalt in seinen Schlussanträgen (21.3.2019 – C-673/17) seine Auffassung bekanntgegeben.
Hintergrund
Die Beklagte veranstaltete ein Gewinnspiel zu Werbezwecken. Auf der Website gab es unter den Eingabefeldern für die Adresse zwei mit Ankreuzfeldern versehene Hinweistexte. Der erste Hinweistext war nicht vorangekreuzt. Er lautete:
Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.
Der zweite Hinweistext war bereits vorangekreuzt:
Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
Der BGH setzte das Verfahren aus und legte dem EuGH gleich mehrere Fragen zur Entscheidung vor, auch bereits im Hinblick auf die zu dem Zeitpunkt bevorstehende DSGVO:
1.a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
1. b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
1. c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Keine Einwilligung durch Opt-out
Nach Ansicht des Generalanwalts liegt keine aktive Einwilligung vor, wenn ein vorhandenes Häkchen entfernt werden muss, wenn der Nutzer nicht in das Setzen von Cookies einwilligt. Es könne in solch einer Situation nicht ermittelt werden, ob der Nutzer seine Einwilligung freiwillig und Kenntnis der Sachlage erteilt habe. Anders wäre es zu beurteilen gewesen, wenn der Nutzer ein Feld hätte ankreuzen müssen.
Zudem könnten die Teilnahme am Gewinnspiel und die Einwilligung in das Setzen von Cookies nicht Teil derselben Handlung sein, denn die Einwilligung erscheine nachrangig.
Eine Einwilligung wird nur dann freiwillig und in Kenntnis der Sachlage erteilt, wenn dies nicht nur aktiv, sondern auch gesondert geschieht. Die Aktivitäten eines Nutzers im Internet (Lektüre einer Internetseite, Teilnahme an einem Gewinnspiel, Anschauen eines Videos usw.) und die Erteilung einer Einwilligung können nicht Teil derselben Handlung sein. Insbesondere kann, aus der Perspektive des Nutzers, die Erteilung der Einwilligung nicht als Nebenwirkung der Teilnahme am Gewinnspiel erscheinen. Beide Handlungen müssen insbesondere optisch in gleicher Weise präsentiert werden. Infolgedessen halte ich es für zweifelhaft, dass ein Bündel von Willenserklärungen, zu denen die Erteilung einer Einwilligung gehören würde, mit dem Begriff der Einwilligung im Sinne der Richtlinie 95/46 im Einklang stünde.
Die Beklagte vertrat zur ersten Frage die Auffassung, dass die betroffene Person durch Anklicken der Teilnahme-Schaltfläche des Gewinnspiels einwillige. Der Generalanwalt schloss sich dieser Auffassung jedoch nicht an.
Zwar sei eine Teilnahme am Gewinnspiel nicht von der Einwilligung abhängig gewesen, darüber wurden die Nutzer jedoch nicht informiert. Das voreingestellte Ankreuzkästchen genügte damit nicht den Anforderungen, die an eine Einwilligung zum Setzen des Cookies zu stellen sind.
Der Generalanwalt stellte zudem fest, dass diese Grundsätze auch unter der DSGVO fortgelten. Es sei nunmehr ausdrücklich eine aktive Einwilligung erforderlich.
Kopplungsverbot nicht einschlägig
Der Generalanwalt nahm auch Stellung zum ersten Ankreuzfeld:
Erstens gelten die Kriterien für die aktive und gesonderte Einwilligung und die umfassende Information natürlich auch in Bezug auf das erste Ankreuzfeld. Die aktive Einwilligung dürfte unproblematisch sein, da das Ankreuzfeld nicht vorausgefüllt ist. Zweifel habe ich hingegen bei der gesonderten Einwilligung. Auf der Basis der obigen Analyse wäre es angesichts des Sachverhalts des vorliegenden Falls besser, wenn, bildlich gesprochen, zur Einwilligung in die Verarbeitung personenbezogener Daten eine gesonderte Schaltfläche anzuklicken wäre und nicht lediglich ein Feld anzukreuzen.
Zudem sprach er das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO an. Er stellte heraus, dass die Hauptpflicht der Nutzer, um an dem Gewinnspiel teilzunehmen, darin bestehe, personenbezogene Daten zur Verfügung zu stellen. Die Verarbeitung dieser personenbezogenen Daten sei damit für die Teilnahme an dem Gewinnspiel erforderlich, weshalb das Kopplungsverbot nicht greife.
Keine Umsetzung der Cookie-Richtlinie
Zudem wollte der BGH die Frage beantwortet wissen, ob es einen Unterschied macht, ob es sich bei den mittels Cookie abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Der Generalanwalt verneinte diese Frage. Der Grund liegt in der deutschen Umsetzung der RL 2002/58/EG mit § 12 und § 15 TMG. Nach § 12 TMG ist die Erhebung und Verwendung personenbezogener Daten durch einen Diensteanbieter u.a. davon abhängig, ob der Nutzer eingewilligt hat. Nach § 15 Abs. 3 TMG darf ein Diensteanbieter hingegen u.a. für Zwecke der Werbung und der Marktforschung Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Soweit keine personenbezogenen Daten betroffen sind, sind die Anforderungen nach deutschem Recht somit weniger strikt: keine Einwilligung, sondern nur fehlender Widerspruch.
Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits […] gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind.
Die Umsetzung der Cookie-RL (RL 2009/136/EG) hat jedoch zu keiner Anpassung der deutschen Vorschriften geführt. § 15 Abs. 3 TMG steht also nicht mit dem Unionsrecht in Einklang.
Umfang der Cookie-Informationen
Mit der zweiten Frage wollte der BGH beantwortet wissen, welche Informationen der Diensteanbieter im Rahmen der Einwilligung erteilen muss. Sie müssen laut Generalanwalt so detailliert sein, dass der Nutzer die Funktionsweise der tatsächlich verwendeten Cookies versteht. Dazu gehören die Funktionsdauer der Cookies und die Information darüber, ob Dritte auf die gesetzten Cookies Zugriff haben oder nicht. Sofern Dritte Zugriff haben, muss ihre Identität offengelegt werden.
Fazit
Wenn der EuGH dem Generalanwalt folgt, wäre der Einsatz von Cookies künftig nur noch nach ausdrücklicher Zustimmung der Nutzer erlaubt. Eine vorausgewählte Checkbox reicht hierzu nicht aus. Jeder Website müsste eine entsprechende Einwilligung vorgeschaltet werden. Erst danach dürfte ein Cookie gesetzt werden. Noch ungeklärt ist in diesem Zusammenhang auch, wie der Website-Betreiber die Einwilligung beweisen sollte.
Unabhängig von der ePrivacyVO, deren Zeitpunkt des Inkrafttretens und genauer Inhalt noch unklar ist, könnte die Opt-In-Pflicht für alle Cookies (von der wohl auch die DSK ausgeht) schon früher kommen als erwartet. Consent-Management-Tools gibt es schon reichlich, nur hapert es derzeit noch an richtigen Einwilligungstexten und nicht-vorangekreuzten Tickboxen.
Eine “echte” Einwilligung für ein Tracking- oder Retargeting-Tool ist relativ komplex, schnell intransparent und häufig ein Conversion-Killer, zumal erst Cookies gesetzt werden dürfen, nachdem das Opt-In gesetzt wurde. Auch spricht vieles dafür, dass die Nutzung einer Website immer auch ohne Opt-In / Cookies möglich sein muss. Viele aktuelle Umsetzungen in Form von Cookie-Bannern oder Consent-Tools sind jedenfalls nur Placebos und genügen den Vorgaben des EuGH-Anwalts nicht.
Marian Weyo/Shutterstock.com
Das Ende des Internet ist nah… ;). Willkommen im Zeitalter der Vorschaltweichen. Offline Storage und Sessions sind dann als nächstes dran?
Es wird echt immer schlimmer. Jeder will günstig im Netz einkaufen und die Ware möglichst spätestens am nächsten Tag haben. Wir haben tatsächlich Kunden, die uns die Hausnummer nicht angeben wollen, weil der Postbote diese eh wüsste man ungern alle Daten preis gäbe… Tja, und als nächstes bremsen uns dann die Cookie-Nachfragen aus.
Ich frage mich so langsam, für wie blöd uns (also die Gesellschaft) die Gerichte und Politiker halten? Der Endverbraucher wird geschützt und geschützt und geschützt. Offensichtlich vor seiner eigenen Dummheit? Man traut dem Verbraucher im Netz nicht zu, dass er weiß was er tut. Sonst würde es die ganzen Gesetze der letzen Jahre wohl nicht geben.
Mal so nebenbei: wer schützt eigentlich uns Shopbetreiber? Stelle ich zum Beispiel Strafanzeige wegen Betrugs, kommt spätestens 4 Wochen später von der Staatsanwaltschaft ein Schreiben, dass das Verfahren eingestellt wurde…
Ich glaube, es wird so langsam Zeit, dass sich Shopbetreiber, Portale und Dienstleister wie TS und andere zusammenschließen. Denn auch wir bieten Arbeistplätze und zahlen Steuern. Da sollte der Gesetzgeber nicht immer nur den Verbraucher schützen sondern auch mal an die andere Seite denken. Ohne Cookies kaum ein Online-Verkauf, ohne Adressen kein Versand, ohne Daten kein Internethandel!
Auf vielen Webseite poppt auf jeder Seite eine Cookie Consent -OK-Button- auf, ob dies nun schon einmal bestätigt wurde oder nicht. Das ist die neue Art des Surfens: Auf allen Folgeseiten einer Webseite jedesmal den Consent zu geben, der dann natürlich auch nicht die rechtlichen Informationen verdecken darf… Man regelmentiert wieder alles und jeden Fall…
Ein totaler Überregulierungswahn gemäß dem Motto: “Hirn aus und ab ins Internet” – so oder ähnlich wird der Verbraucher doch hingestellt. Wo bleibt denn der gesunde Menschenverstand, wo die Eigenverantwortung volljähriger und vertragsfähiger Bürger? Sind denn tatsächlich alle so dumm, wie die Legislative suggeriert?!
Immer mehr Einkäufe werden heute über das Internet getätigt. Wenn es nach dem Verbraucher geht, muss am besten noch am selben Tag geliefert werden. Wer nicht schnell genug liefert, bekommt keine Conversion oder es werden negative Bewertungen angedroht. Ständig neue Regelungen und Pflichtangaben für die einfachsten und offensichtlichsten Kleinigkeiten in der Produktdarstellung, massig legitimierte Abmahnvereine und Anwälte, die nur zum Abmahnen existieren, die DSGVO, missbräuchliche Widerrufe… der (Online-)Händler bekommt es von allen Seiten! Aber den Verbraucher, den müssen wir schützen!
Ja, natürlich müssen wir das! Aber der Händler darf nicht langfristig Leidtragender sein, wenn schwarze Schafe die Verodnungen aus ihren Angeln heben!
Schließlich liegen hier Kapazitäten von Arbeitsplätzen und Steuern in Milliardenhöhe zugrunde – Tendenz steigend! Was soll das Ganze? Man schießt sich beim Marathon doch auch nicht nach 10 km ins Knie!?