Die anhaltende „COOKIE“ - Problematik

Die anhaltende „COOKIE“ - Problematik

Das Urteil des Europäische Gerichtshofs (EUGH) im Wege eines Vorabentscheidungsersuchens des Bundesgerichtshofes (BGH) vom 01.10.2019 zum Az. C-673/17 hat für einige Unsicherheiten in Bezug auf den Einsatz von Cookies bei Webseitenbetreibern geführt. 

Da das Urteil kontrovers diskutiert wird, möchten wir nachfolgend die Problematik erläutern.

Was sind Cookies?

Oberflächlich sind Cookies Textdateien, die der Anbieter einer Website auf dem Endgerät des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.

Hierbei setzen Webseitenbetreiber teilweise auch Komponenten Dritter auf der Webseite ein, die dazu führen, dass Cookies der Dritten auf das Endgerät des Nutzers gespeichert oder ausgelesen werden.

Anhaltender Diskussionsgegenstand ist in diesem Zusammenhang das sog. Werbetracking anhand von Cookies.Nach dem Verständnis der Aufsichtsbehörden handelt es sich bei „Tracking“ um Datenverarbeitungen zur - in der Regel websiteübergreifenden - Nachverfolgung  des individuellen Verhaltens von Nutzern.

Technisch notwendige Cookies, die also zur Bereitstellung der Webseite bzw. des Dienstes notwendig sind (Warenkorb, Sprachwahl etc...), sind von dieser Diskussion nicht betroffen. 

Was galt hinsichtlich Cookies bisher?    

Die EU hatte hierzu die EU-Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) erlassen und diese durch die Richtlinie 2009/136/EG (nachfolgend allgemein: ePrivacy Richtlinie) geändert. 

Art. 5 Abs. 3 der Richtlinie 2002/58 lautet:   

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Da es sich um eine Richtlinie handelt, müssen die Mitgliedstaaten die Vorgaben in nationales Recht umsetzen. Der deutsche Gesetzgeber hat dies nach seiner Ansicht in § 15 Abs. 3 Telemediengesetz (TMG) getan. 

Der Wortlaut:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

Beim Durchlesen der beiden Regelungen fällt allerdings schon auf, dass die ePrivacy Richtlinie von einer Einwilligung spricht und die deutsche Regelung im TMG von einem Widerspruch. Der Unterschied wird oft als „OPT-IN“ und „OPT-OUT“ bezeichnet. Ohne näher auf die einzelnen Varianten eingehen zu wollen, wird bei einem „OPT-IN“ eine Einwilligung eingeholt und erst dann wird ein Cookie gesetzt oder ausgelesen. Bei einem „OPT-OUT“ wird der schon stattfindenden Verarbeitung über ein Cookie für die Zukunft widersprochen.

Da die ePrivacy-Richtlinie als Richtlinie keine direkte Wirkung in den Mitgliedsländern entfaltet, wurden bis zum 25.05.2018 in Deutschland die Regelung des TMG bevorzugt. Am 25.05.2018 endete die Übergangsfrist der EU-Verordnung 2016/679 (nachfolgend DSGVO) genannt. 

Nach Ansicht der Datenschutzkonferenz (DSK), einem Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, wurde mit dem Wirksamwerden der DSGVO die entgegenstehenden nationalen datenschutzrechtlichen Gesetze „unwirksam“. Die Regelungen der DSGVO gehen den entgegenstehenden nationalen Regelungen vor, sodass § 15 Abs. 3 TMG im Falle von personenbezogenen Daten (hierbei sind auch pseudonymisierte Daten zu verstehen) keine Wirksamkeit mehr hat. 

Da demnach die ePrivacy Richtlinie in Deutschland nicht umgesetzt wurde und § 15 Abs. 3 TMG aufgrund des Vorranges der DSGVO keine Gültigkeit mehr hat, würde sich der Einsatz von Cookies nach den Vorgaben der DSGVO bzw. das nationale Bundesdatenschutzgesetz (BDSG) richten. 

Für die Verarbeitung der personenbezogenen Daten oder pseudonymisierte Daten müsste demnach nach Ansicht der Datenschutzkonferenz eine Rechtsgrundlage zur Verarbeitung vorliegen. Die DSGVO regelt diese in Art. 6. In Betracht zu ziehen wären auf jeden Fall: 

• Art. 6 Abs. 1 lit. a) DSGVO-Einwilligung

„Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;“

• Art. 6 Abs. 1 lit. b) DSGVO-Vertrag

„die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“

• Art. 6 Abs. 1 lit. f) DSGVO-Interessenabwägung

„die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Außerhalb der Einwilligung und der vertragsnotwendigen Verarbeitung (diese wird momentan noch auf europäischer Ebene diskutiert) spielt vor allem das berechtigte Interesse eine Rolle. Dies ist wiederrum die „OPT-OUT“ Lösung. Besteht demnach ein berechtigtes Interesse des Webseitenbetreibers oder Dritten an der Verarbeitung über Cookies, so kann er die Verarbeitung vornehmen, muss dem Nutzer aber eine Widerspruchsmöglichkeit für die Zukunft einräumen. 

Ob ein solches berechtigtes Interesse vorliegt, ist nach früheren Vorgaben des EUGH und der europäischen Aufsichtsbehörden vor der Verarbeitung anhand einer dreistufigen Prüfung zu ermitteln: 

1.Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten 

2.Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen

3.Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall 

Fällt diese Auslegung zugunsten des Nutzers aus, so darf die Verarbeitung nur bei Vorliegen einer Einwilligung oder vertragsgemäßen Verarbeitung erfolgen. 

Was ändert sich durch die Vorabentscheidung des EUGH?

Die Rechtsunsicherheit, die vorstehend wiedergegeben wurde, bleibt auch nach der EUGH Vorabentscheidung bestehen. 

Was hatte der EUGH zu entscheiden?

Der dem EUGH zur Bewertung vorgelegte Sachverhalt kurz zusammengefasst:

Um an einem Gewinnspiel teilnehmen zu können, mussten die Internetnutzer ihre Postleitzahl eingeben. Daraufhin wurde eine Internetseite mit Eingabefeldern für ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzkästchen versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzkästchen (im Folgenden: erstes Ankreuzkästchen) nicht mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“

Der zweite Hinweistext, dessen Ankreuzkästchen (im Folgenden: zweites Ankreuzkästchen) mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

Die Hauptproblematik des Sachverhaltes bestand in dem vorangekreuzten zweiten Ankreuzkästchen. Eine aus unserer Sicht „Zwischenlösung“ zwischen „OPT-IN“ und „OPT-OUT“, da die Cookies zwar erst nach der Registrierung gesetzt wurden, aber die Einwilligung schon aktiviert war. 

Um hierzu entscheiden zu können, setzte sich der EUGH mit allen rechtlichen Gegebenheiten auseinander (ePrivacy Richtlinie, DSGVO und deren vorgehende Verordnung und TMG). Hauptproblem war der Umstand, dass die E-Privacy Richtlinie zwar von einer Einwilligung spricht, aber hierfür keine Definition bereitstellt. Dies führte vor der EUGH Entscheidung dazu, dass teilweise argumentiert wurde, dass es einer Einwilligung gleichkommt, wenn der Seitenbesucher in seinen Browsereinstellungen die Cookie-Setzung zulässt. 

Diese „Spekulationen“ hat der EUGH vorerst beendet und fordert für eine Einwilligung nach der ePrivacy Richtlinie eine Einwilligung im Sinne des Art. 4 Nr. 11 der DSGVO. Demnach wird die Einwilligung definiert:

„….jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;“  

Aufgrund dieser Auslegung kommt der EUGH zu dem Schluss, dass in dem zu beurteilenden Fall (Werbetracking) das vorangekreuzte Feld nicht als Einwilligung im Sinne der ePrivacy Richtlinie zu werten ist. Diese Entscheidung war aufgrund der Vorgaben der DSGVO zu erwarten. Gleichzeitig hat der EUGH auf Vorlage des BGH auch entschieden, welche Informationen (u.a. demnach notwendig: Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können) dem Nutzer bei einer Einwilligung vorliegen müssen, damit eine Einwilligung im Sinne der ePrivacy Richtlinie bzw. der DSGVO vorliegt. 

Des Weiteren hat der EUGH entschieden, dass es bei den Vorgaben der ePrivacy Richtlinie unerheblich ist, ob es sich um personenbezogene Daten handelt oder nicht. 

Was der EUGH aus unserer Sicht vorliegend nicht bewertet hat, ist das die Datenverarbeitung über Cookies nur über eine Einwilligung möglich ist. Dies war vorliegend auch nicht zu prüfen, da es einzig darum ging, ob die streitgegenständliche Gestaltung der Einwilligung im Sinne der ePrivacy Richtlinie erfolgte oder nicht.

Ob sich der BGH, der den Fall letztendlich entscheiden muss,  ggf. bei seinem anstehenden Urteil hierzu einlässt, ist aufgrund der Fallgestaltung fraglich. 

Wie sehen es die Aufsichtsbehörden? 

In der Orientierungshilfe der DSK von März 2019 haben sich die deutschen Aufsichtsbehörden zumindest für die Verarbeitung  personenbezogener Daten bei  der  Erbringung von Telemediendiensten positioniert. Wie schon ausgeführt wenden die Aufsichtsbehörden die Grundprinzipien der DSGVO an. Demnach ist eine Verarbeitung personenbezogener Daten, zu denen auch die pseudonymisierten Daten gehören, nur zulässig, wenn eine Rechtsgrundlage zur Verarbeitung vorliegt. Bei der Rechtsgrundlage des berechtigten Interesses ist vor der Verarbeitung eine Interessenabwägung vorzunehmen, die sich an den folgenden Prüfungsstufen orientieren sollte:   

1.Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten 

2.Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen

3.Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall 

Das berechtigte Interesse des Verantwortlichen oder eines Dritten kann beispielsweise in der Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer, bestehen.

Erforderlichkeit meint nach Ansicht der DSK, 

„…,dass die Verarbeitung geeignet ist, das Interesse (Motiv/Nutzen der Verarbeitung) des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung steht.“

Im Falle des Einsatzes eines Webanalyse-Tools, bei dem die Daten an einen Dritten zur Analyse weitergegeben werden und der Dritte diese Daten mit Daten anderer Verantwortlichen, also „webseitenübergreifend“,  zusammenführen kann, liegt nach Ansicht der DSK keine Erforderlichkeit vor, da der Zweck des Verantwortlichen auch über ein milderes Mittel erfüllt werden kann. Nämlich über eine eigene Auswertung ohne die Weitergabe an Dritte.

Sollte die Erforderlichkeit vorliegen, müsste in der dritten Stufe die Abwägung erfolgen.   

Die Kriterien zur Abwägung wären dabei:

• Die vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz,
• die Interventionsmöglichkeiten der betroffenen Personen, 
• die Verkettung von Daten,
• die beteiligten Akteure,
• die Dauer der Beobachtung,
• der Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen),
• die betroffenen Datenkategorien und 
• der Umfang der Datenverarbeitung.

Es ist demnach und nach aktueller Ansicht der Aufsichtsbehörden auch bei einem Webtracking anhand von Cookies nicht zwingend eine Einwilligung notwendig, wenn das berechtigte Interesse des Verantwortlichen überwiegt. 

Wie geht es mit der COOKIE-Problematik weiter?

Auf Initiative der EU-Kommission sollte mit Eintritt der DSGVO auch die sog. ePrivacy-Verordnung in Kraft treten. Hintergrund für die Verordnung ist die technische Entwicklung in der elektronischen Kommunikation. Neben Regelungen zu werblicher Ansprache per E-Mail und Telefon sieht der Entwurf der Verordnung auch Regelungen in Bezug auf die Cookies vor. Die Mitgliedstaaten konnten sich bisher aber auf keine abschließende Regelung einigen, sodass es nicht absehbar ist, wann die Verordnung in Kraft tritt und welche genauen Regelungen zu den Cookies getroffen werden. 

Näheres zu der Verordnung und dem Status hat Der Bayerische Landesbeauftragte für den Datenschutz zusammengestellt:

https://www.datenschutz-bayern.de/0/eprivacyVO.html

Unter anderem soll der Nutzer zukünftig seine Zustimmung zu Cookies durch allgemeine Voreinstellungen im Browser treffen können.

Bis die ePrivacy-Verordnung allerdings in Kraft tritt, bliebe es in Deutschland bei der vorstehend wiedergegebenen Problematik. Bliebe deshalb, da das Wirtschaftsministerium neue Regelungen im TMG, insbesondere für das ONLINE-Tracking, erlassen will. Ein Gesetzesentwurf wurde für Ende des Jahres angekündigt. Hierbei wären neben den Pixel-Techniken, Plug-Ins etc…, auch entsprechende Cookies betroffen. Es ist daher momentan davon auszugehen, dass eine deutsche Regelung schneller umgesetzt wird, als eine europäische Regelung in Form der ePrivacy-Verordnung.