Aufsatz : Cookies, Schrems & Co. – Webseitengestaltung zwischen rechtlichen Vorgaben und Businessperspektive : aus der RDV 6/2020, Seite 302 bis 309
Ein Leitfaden für Praktiker
Mit dem Einsatz von Cookies und vergleichbaren Skripten auf Webseiten und in Apps sind zahlreiche Fragestellungen verbunden. Einige davon werden bereits seit Jahren kontrovers diskutiert. Andere sind erst mit den jüngsten Verlautbarungen der Datenschutzaufsichtsbehörden, spätestens aber mit den Urteilen in der Rechtssache Planet 49, in den Fokus einer breiteren (Fach-)Öffentlichkeit gerückt. Allgemeingültige Aussagen sind gleichwohl weiterhin kaum erkennbar. Auch im Anschluss an die Urteile des EuGH und des BGH sind zahlreiche Fragen weiterhin offen, neue wurden aufgeworfen. Soweit überhaupt Aussagen der Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten existieren, weichen diese mitunter erheblich voneinander ab. Die folgenden Ausführungen fassen die wesentlichen rechtlichen Herausforderungen zusammen, die sich bei der Einbindung von Cookies und anderen Skripten auf Webseiten stellen und unternehmen den Versuch, ein möglichst ausgewogenes Verhältnis zwischen rechtlichen Anforderungen und den Belangen von Webseitenbetreibern herzustellen.
I. Einleitung
Der BGH hat mit seinem Urteil vom 28.5.2020[1] einen Schlussstrich unter einen mehr als sechs Jahre andauernden Rechtsstreit gezogen. Zu den Kernaussagen des Gerichts zählt, dass auch deutsche Webseitenbetreiber für den Einsatz von Cookies, die werblichen Zwecken dienen, ein OptIn der Webseitenbesucher benötigen. Für den BGH ergibt sich diese Aussage aus einer „Kombination“ aus dem in Art. 5 Abs. 3 S. 1 RL 2002/58/EG (E-Privacy-Richtlinie) normierten Einwilligungserfordernis für den Einsatz von Cookies einerseits und § 15 Abs. 3 TMG andererseits. Dass die Normen unterschiedlichen Schutzgütern dienen und zudem § 15 Abs. 3 TMG expressis verbis ein Widerspruchsverfahren vorsieht, ficht den BGH nicht an. Im Gegenteil: Im Fehlen einer wirksamen Einwilligung könne ein der Erstellung von Nutzungsprofilen entgegenstehender Widerspruch erblickt werden. Der gebotenen richtlinienkonformen Auslegung von § 15 Abs. 3 Satz 1 TMG stehe es nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Akt der Umsetzung der E-Privacy-Richtlinie vorgenommen habe. Es sei anzunehmen, dass der deutsche Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Ob sich der BGH mit solchen Aussagen noch innerhalb der Grenzen zulässiger „Im-Lichte“-Auslegung bewegt hat, mag die Rechtswissenschaft beantworten. Eleganter wäre es wohl gewesen, § 15 Abs. 3 TMG dem Anwendungsvorrang der DSGVO zum Opfer fallen zu lassen. § 15 Abs. 3 TMG ist, ebenso wie die praktisch wortgleiche Vorgängernorm des im Jahr 1997 in Kraft getretenen § 6 Abs. 3 Teledienstedatenschutzgesetz (TDDSG) originäres mitgliedstaatliches Datenschutzrecht ohne jeden Bezug zu Art. 5 Abs. 3 E-Privacy-Richtlinie.
Und: Ungeachtet dessen, ob die Intention des Gesetzgebers für die Europarechtskonformität einer nationalen Rechtsnorm überhaupt von Bedeutung ist, ist die Einschätzung des BGH an dieser Stelle schlicht nicht zutreffend: So hatte das für das TMG federführend zuständige Bundeswirtschaftsministerium (BMWi) noch kurz vor Wirksamwerden der DS-GVO (und zuletzt auch Ende 2019) den Versuch unternommen, das OptOut des § 15 Abs. 3 TMG an das Opt-in des Art. 5 Abs. 3 S. 1 E-Privacy-Richtlinie anzupassen. Auch in seinem aktuellen Referentenentwurf für ein TTDSG[2] stellt das BMWi in der Begründung unmissverständlich klar, dass nur § 15 Abs. 1 TMG, nicht aber § 15 Abs. 3 TMG als Umsetzung von Art. 5 Abs. 3 E-Privacy-Richtlinie einzuordnen ist.[3] Die Irrlichterei der EUKommission aus dem Jahr 2014, die seinerzeit auf Anfrage des BMWi hin bestätigte, Art. 5 Abs. 3 E-Privacy-Richtlinie sei in Deutschland umgesetzt, liegt lange zurück. Ein Jahr später kam der Wissenschaftliche Dienst des Europäischen Parlaments bekanntlich zu einem gegenteiligen Ergebnis. Schließlich machten Ende 2019 belastbare Gerüchte die Runde, die EU-Kommission habe mit der Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland wegen der Nichtumsetzung von Art. 5 Abs. 3 E-Privacy-Richtlinie gedroht. Ein Anruf aus Karlsruhe im zuständigen Referat des BMWi hätte an dieser Stelle für Klarheit sorgen können.
Von diesen Überlegungen losgelöst stellt sich für Webseitenbetreiber freilich einmal mehr die Frage, welche Aspekte konkret zu beachten sind, um dem durch den BGH (nur) bestätigten Opt-In-Erfordernis im Zusammenhang mit dem Einsatz von Cookies auf Webseiten Rechnung zu tragen.
II. Rechtliche Anforderungen an „Cookie-Banner“
1. Erforderlichkeit eines Cookie-Banners
Der BGH hat das Einwilligungserfordernis für Cookies, soweit diese zu Marketingzwecken eingesetzt werden sollen, bejaht. Mehr gab der zu betrachtende Sachverhalt nicht her. Tatsächlich werden aber auch Cookies und Skripte, die anderen Zwecken dienen, regelmäßig erst nach der ausdrücklichen Einwilligung des Webseitenbesuchers aktiviert werden dürfen. Welche das sind, wird man bis auf Weiteres zumindest in Anlehnung an die in Art. 5 Abs. 3 S. 2 E-PrivacyRichtlinie vorgenommene Negativabgrenzung ermitteln können. Hiernach bedarf es keiner Einwilligung in die Platzierung von Cookies bzw. in das Auslesen von Informationen, die auf Endgeräten der Nutzer gespeichert sind, wenn deren „[alleiniger] Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist [Variante 1] oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann [Variante 2].“ Mag hier vor allem Variante 2 ein wenig Argumentationsspielraum eröffnen, sollten Webseitenbetreiber gleichwohl die Position der Aufsichtsbehörden im Blick behalten, wonach stets ein „klarer Zusammenhang zwischen der unbedingten Notwendigkeit eines Cookies und dem vom Nutzer ausdrücklich angeforderten Dienst bestehen [muss]“.[4]
Technisch erforderliche „Vorgänge“ sind also einwilligungsfrei. Dieser gerätespezifischen Betrachtung muss auch die datenschutzrechtliche folgen: Kommt es im Zusammenhang mit dem Einsatz von technisch-erforderlichen Cookies oder dem Auslesen von Informationen, die das anfragende Endgerät aussendet, zu einer Verarbeitung von personenbezogenen Daten (z.B. Cookie-IDs, IP-Adressen), ist die datenschutzrechtliche Rechtsgrundlage Art. 6 Abs. 1 Buchst. f DS-GVO. Zur Vorbeugung von Missverständnissen sollten Webseitenbetreiber hier gar nicht erst den Anschein erwecken, dass technisch erforderliche Cookies einer Einwilligung zugänglich sind. Über den Einsatz dieser Skripte ist ausschließlich zu informieren (vgl. aber unten 10). Insofern ist auch der weithin genutzte Begriff „Consent Management“ unglücklich. Tatsächlich geht es um „Cookie-“ oder „Script-Management“.
Alle technisch nicht erforderlichen Cookies bedürfen also bei Pageview 1 einer Einwilligung des Webseitenbesuchers. Eine Rückausnahme besteht nur in Fällen, in denen Cookies nicht bereits zum Zeitpunkt des ersten Aufrufens einer Webseite geladen werden, sondern erst im Zusammenhang mit der Aktivierung einer bestimmten Anwendung, eines iFrames o.ä., etwa auf einer Unterseite. Beispiele hierfür sind eingebundene Videoportale, Kartendienste, Payment-Dienstleister oder Gutscheinangebote nach Durchlaufen des CheckoutProzesses in einem Online-Shop. Soweit solche Skripte nicht bereits als technisch erforderlich und damit als einwilligungsfrei eingeordnet werden können (s.o.), genügt es hier, die Einwilligung erst im Zusammenhang mit der Aktivierung des jeweiligen Skriptes einzuholen. A/B-Tests haben gezeigt, dass die Opt-In-Rate dort höher ist, wo der Webseitenbesucher einen mit der Abgabe einer Einwilligung verbundenen unmittelbaren Nutzen erkennen kann.
Ob mit Blick auf solche Cookies, die im Zusammenhang mit dem Einsatz von Trackingtools platziert werden, dann kein Einwilligungserfordernis besteht, wenn diese Tools lokal auf den Servern der Webseitenbetreiber gehostet sind, ist offen und auch unter den Aufsichtsbehörden umstritten. Mit dem BGH wird man diese Sicht klar ablehnen müssen. In Internet findet man dennoch auf Anhieb Webseiten prominenter Betreiber, darunter die Webseiten des EuGH sowie einer nationalen Datenschutzaufsichtsbehörde, bei deren Aufruf technisch nicht erforderliche (Tracking-)Cookies auf Endgeräten platziert werden, ohne dass zuvor die Einwilligung der Webseitenbesucher eingeholt wird. Die französische CNIL geht sogar einen Schritt weiter und gestattet den einwilligungsfreien Einsatz von Tracking-Cookies, vorausgesetzt die Cookies dienen allein der Erstellung von Statistiken unter Verwendung anonymisierter Informationen.[5]
Soweit ein „Tag Manager“ zum Zwecke der erleichterten Implementierung von Cookies und vergleichbaren Skripten zum Einsatz kommt, ist dieser grundsätzlich weder unter dem Gesichtspunkt des Endgeräteschutzes noch unter datenschutzrechtlichen Aspekten von Relevanz. Etwas anderes gilt nur dann, wenn der eingesetzte Tag Manager schon vor Eintritt der definieren Ereignisse (sog. Trigger) selbst Informationen des abrufenden Endgerätes verarbeitet oder, in der Praxis wohl selten, selbst Cookies auf Endgeräten platziert.
2. Technische Konfiguration
Im Zeitpunkt des Aufrufens einer Webseite dürfen nur solche Skripte geladen werden, die als technisch erforderlich und damit als einwilligungsfrei eingeordnet werden können. So einfach diese Erkenntnis auch ist, so oft werden in der Praxis bereits an dieser Stelle – bewusst oder unbewusst – Fehler gemacht. Fehler können mit einfachsten Mitteln am Frontend nachvollzogen und von interessierter Seite dokumentiert werden.
Kommt es aber zu einer derart fehlerhaften technischen Umsetzung, geht damit typischerweise nicht nur ein rechtswidriger Zugriff auf das Endgerät des Nutzers und eine datenschutzwidrige Verarbeitung der Cookie-ID sowie von über das Cookie erhobenen personenbezogenen Daten einher. Vielmehr setzen sich Webseitenbetreiber zusätzlich dem Vorwurf der Täuschung aus, wenn ausweislich der Ausführungen im Cookie Banner, der „Cookie Declaration“, technisch nicht erforderliche Cookies allein auf Grundlage der Einwilligung eingesetzt werden, solche Cookies jedoch im Hintergrund bereits bei Pageview 1 aktiv sind. Zumindest bei der Bemessung der Höhe eines etwaigen Bußgeldes und eines nach Art. 82 Abs. 1 DS-GVO grundsätzlich denkbaren Schadensersatzes wird man diesen Aspekt berücksichtigen müssen.
3. Verbot der Voreinstellung und Auswahlmöglichkeit
Ob eine Einwilligung in das Platzieren von Cookies auch im Wege einer voreingestellten Checkbox eingeholt werden kann, war eine der zentralen Fragen in der Rechtssache Planet 49. Die Antwort des BGH lautet bekanntlich: nein. Entlang des Sachverhalts, den der BGH zu betrachten hatte, ist dieser Befund auch richtig. Allein, der BGH hatte gerade nicht über die Konfiguration eines Cookie Managements zu entscheiden. Entscheidungserheblich war, dass mit dem Anklicken einer Schaltfläche zur Teilnahme an einem Gewinnspiel zugleich im Wege einer voreingestellten Checkbox eine Einwilligung in die Verwendung von Cookies „erteilt“ wurde. Schön herausgearbeitet wurde dieser Punkt durch den Generalanwalt am EuGH in dessen Schlussanträgen.[6]
Das Cookie Management dreht sich hingegen ausschließlich um die Frage, ob mit dem Klick auf eine Schaltfläche eine datenschutzrechtliche Einwilligung erteilt wird. Die Einwilligung ist nicht bloßes Beiwerk, sondern die einzige Willenserklärung.
Hiervon ausgehend wird dem Verbot der Voreinstellung, rechtlich verankert in Erwägungsgrund 32 S. 3 DS-GVO, jedenfalls dann Rechnung getragen, wenn dem Webseitenbesucher bei Pageview 1 unterschiedliche Auswahlmöglichkeiten angeboten werden. Kann der Webseitenbesucher zwischen unterschiedlichen Varianten wählen, von der eine das Weitersurfen auch ohne weitere Cookies ermöglicht, ist dies zweifellos hinreichend. Dass mit einem Klick auf eine der anderen Auswahlmöglichkeiten alternativ eine Einwilligung nach Maßgabe der durch den Webseitenbetreiber definierten Reichweite abgegeben werden kann, stellt insbesondere keinen Verstoß gegen das Verbot von „Opt-Out“-Einwilligungen dar. Die oft reflexartige Behauptung, infolge einer „preticked checkbox“ sei das gesamte Cookie Management fehlerhaft, springen damit regelmäßig zu kurz. Entscheidend ist die Gesamtkonfiguration. Erst wenn ein Weitersurfen ohne Cookies eine aktive Handlung im Sinne eines Abwählens, d.h. mindestens zwei Klicks (1. Abwählen, 2. Auswahl bestätigen) erfordert, begibt sich der Webseitenbetreiber in ein erhöhtes Risiko.
Die Möglichkeit des Weitersurfens, ohne dass zusätzliche Cookies platziert werden, kann auch über das Vorsehen eines „X“ am rechten oberen Rand des Cookie Banners eröffnet werden. Die dahinterstehende Logik ist dem durchschnittlichen Nutzer von Computer und Internet ohne Weiteres geläufig. Ein Hinweis im Cookie Banner, dass auch im konkreten Fall dem „X“ diese ablehnende Bedeutung zukommt, dürfte sich risikoreduzierend auswirken.
Mit etwas erhöhter Risikobereitschaft und bei Einhaltung hinreichender Transparenz, dürfte es andererseits auch zureichend sein, die Möglichkeit der Ablehnung erst auf dem second layer, d.h. erst nach einem Klick auf „Individuelle Einstellungen“, „Mehr“ o.ä. anzubieten. Grundvoraussetzung für ein solches Vorgehen ist jedoch, dass der Webseitenbesucher auf dem first layer, im Cookie Banner, über die konkret vorzunehmenden Schritte informiert wird. Auch sollte die Möglichkeit der Verweigerung der Abgabe einer Einwilligung tatsächlich auf dem second layer vorhanden sein. Webseitenbetreiber setzen sich sonst schnell dem Vorwurf aus, die konkrete Gestaltung verletze den (ungeschriebenen) Grundsatz, nach dem die Möglichkeit des Ablehnens so einfach wie die des Akzeptierens sein muss.[7]
Zu der Frage, wie weitreichend die durch den Webseitenbetreiber definierte Auswahlmöglichkeit gehen darf, verhält sich die DS-GVO ungewohnt eindeutig. Art. 6 Abs. 1 lit a DS-GVO ordnet lediglich an, dass eine Einwilligung für „einen oder mehrere bestimmte Zwecke“ eingeholt werden darf. Verarbeitungen zu mehreren Zwecken über eine Einwilligung zu legitimieren ist also möglich, stets vorausgesetzt, dass die Einwilligungserklärung zweifelsfrei alle Zwecke umfasst. Gegen die in der Praxis oft anzutreffenden Fälle, in denen durch mehrere Schaltflächen die Auswahl eröffnet wird, (1.) eine durch den Webseitenbetreiber definierte Vorauswahl, die entweder einige oder „alle“ Skripte erfasst, zu akzeptieren, (2.) weiterzusurfen ohne Abgabe einer Einwilligung in technisch nicht erforderliche Cookies und (3.) individuelle Einstellungen aktiv vornehmen zu können, ist damit nichts einzuwenden. Hier ist nichts „voreingestellt“, was erst „abgewählt“ werden müsste, um weitersurfen zu können. Diese Sichtweise steht auch im Einklang mit der Position der DSK, wonach „die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen.“[8]
4. Kategorisierung und Granularität der Auswahlmöglichkeiten
Schon in Anbetracht der Vielzahl der denkbaren Zwecke, zu deren Erreichung Cookies und andere Skripte eingesetzt werden, ist eine Kategorisierung bzw. Clusterung innerhalb des Cookie Managements angezeigt. Diese Vorgehensweise wird durch die DS-GVO ausdrücklich gestützt. So heißt es in Erwägungsgrund 32 S. 4 DS-GVO, dass sich eine Einwilligung „auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen [sollte]“.
Die schon heute auf dem first bzw. second layer anzutreffenden Kategorien technisch nicht erforderlicher Skripte, bspw. „Statistik“, „Performance“, „Marketing“ o.ä. sind hiernach ohne weiteres möglich. Auf nachgelagerter Ebene kann der Webseitenbetreiber eine weitere Aufgliederung der von diesen Kategorien jeweils erfassten Skripte zum Zwecke einer feingranularen Auswahlmöglichkeit vornehmen. Eine Pflicht hierzu besteht hingegen nicht, kategoriebezogene Auswahlmöglichkeiten genügen. Ein Anspruch des Webseitenbesuchers, nur in ausgewählte Verarbeitungen, d.h. bezogen auf ein einzelnes Tool oder ein einzelnes Cookie, einwilligen zu können, ist von Rechts wegen nicht vorgesehen. Ohnehin fehlte es oftmals bereits an der technischen Realisierbarkeit, etwa dann, wenn durch einzelne Tools mehrere Cookies eingesetzt werden.
Losgelöst von der durch den Webseitenbetreiber gewählten Granularität bleibt freilich die Verpflichtung zur Erfüllung der Transparenzvorschriften des Art. 13 Abs. 1 und 2 DS-GVO in jedem Fall bestehen.
Von der nicht selten anzutreffenden Kategorie „Externe Dienste“, „Dienste Dritter“, „Third-Party Cookies“ o.ä. ist hingegen aus Rechtsgründen abzuraten. Hintergrund ist, dass sich Kategorien von Cookies an dem jeweils verfolgten Verarbeitungszweck orientieren. Datenschutzrechtlich schlicht falsch wäre es also von der Kategorie „Externe Dienste“ zu sprechen, wenn darin auch Auftragsverarbeiter des Webseitenbetreibers aufgelistet würden. Der Umstand, dass zur Erreichung des Zwecks auch Dritte Cookies platzieren oder dass die über Cookies erhobenen Daten an externe Empfänger weitergegeben werden, ist innerhalb der jeweiligen Kategorie und bereits auf dem first layer im Cookie Banner zu thematisieren.
5. Nudging
Will ein Webseitenbetreiber seine Webseitenbesucher zu einer bestimmten Handlung animieren, kommt der Gestaltung der entsprechenden Schaltfläche („Call-to-action“) eine besondere Bedeutung zu. Entsprechend setzen sich Schaltflächen, die nach dem Willen des Webseitenbetreibers möglichst oft angeklickt werden sollen, typischerweise in Form- und Farbgebung von anderen ab. Ob ein solches Vorgehen auch mit Blick auf die Gestaltung von Cookie-Bannern zulässig ist, ist umstritten.
Ginge es nach der Irischen Aufsichtsbehörde, müsste die Gestaltung von Cookie Bannern strengen Vorgaben genügen. In ihrer im April 2020 veröffentlichten Guidance Note[9] heißt es hierzu auf Seite 9 wörtlich: „If you use a cookie banner or pop-up, you must not use an interface that ‘nudges’ a user into accepting cookies over rejecting them. Therefore, if you use a button on the banner with an ‘accept’ option, you must give equal prominence to an option which allows the user to ‘reject’ cookies, or to one which allows them to manage cookies and brings them to another layer of information in order to allow them do that, by cookie type and purpose.”
Diese paternalistische Auffassung behandelt Internetnutzer wie hilfsbedürftige Kleinkinder und beschneidet Webseitenbetreiber unverhältnismäßig in ihren Rechten. Richtig ist, dass auch bei Gestaltung von Cookie Bannern ein maßvolles Nudging zulässig ist.[10] Auch eine gestalterisch hervorgehobene Schaltfläche bleibt eine „Einladung“, die Webseitenbesucher annehmen können, oder eben nicht. Grenzen werden hier allein durch das Verbot der Täuschung gezogen.
6. Kopplung von Einwilligung und Webseitennutzung
Mit der Frage der Zulässigkeit einer Kopplung von Gewinnspielteilnahme und Einwilligung hat sich der BGH in der Rechtsache Planet 49 nicht beschäftigt. Auch der EuGH[11] hatte sich im Rahmen des Vorlageverfahrens nicht dazu geäußert. Der BGH hatte nicht danach gefragt. Umso bemerkenswerter ist es, dass sich der Generalanwalt in seinen Schlussanträgen[12] zumindest am Rande mit Art. 7 Abs. 4 DSGVO befasste – und zu einem eindeutigen Befund kam: Erstens könne Art. 7 Abs. 4 DS-GVO ein absolutes Kopplungsverbot nicht entnommen werden. Zweitens könne der Zweck einer Datenverarbeitung, hier: die Teilnahme an einem Gewinnspiel, von der (einwilligungsbasierten) Preisgabe personenbezogener Daten abhängig gemacht werden. Die Verarbeitung der Kontaktdaten sei dann vertraglich erforderlich, ein Fall des Art. 7 Abs. 4 DS-GVO liege gar nicht vor.[13] Bereits im Jahr 2018 vertrat auch das höchste italienische Gericht[14] diese Rechtsauffassung.
Bezogen auf die Einwilligung in das Aktivieren von Cookies und anderen Skripten leben ausländische Verlagsseiten in Teilen schon seit Jahren das vor, was seit einigen Monaten auch auf den Webseiten deutscher Verlage zu beobachten ist: Als sog. Freemium-Modell ausgestaltet ist die Nutzung der Webseite entweder kostenpflichtig oder wird alternativ von der Einwilligung in das Platzieren von Cookies abhängig gemacht („Cookiewall“). Die Aufsichtsbehörde in Österreich[15] hat für dieses Vorgehen bereits ihren Segen erteilt. Auch der letzte Satz in Erwägungsgrund 25 E-Privacy-Richtlinie streitet für diese – zutreffende – Rechtsauffassung. Darin heißt es wörtlich: „Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.“
Der Europäische Datenschutzausschuss („EDSA“) befasst sich in seinen im Mai 2020 veröffentlichten Guidelines zur Einwilligung explizit mit dem Thema „Cookiewalls“ und erklärt diese, abweichend von der zuvor dargestellten Position, pauschal für einen Fall unzulässiger „Conditionality“,[16] allerdings ohne das Szenario einer alternativen Bezahlvariante zu beleuchten. Gleiches gilt für die DSK[17] und die belgische Aufsichtsbehörde.[18] Aufgeschlossener zeigt sich hingegen die französische CNIL, die die Zulässigkeit von Cookie-Walls einer Einzelfallbetrachtung unterzieht und bei hinreichender Transparenz als möglich erachtet.[19]
Tatsächlich kann ein Kopplungsverbot im Sinne von Art. 7 Abs. 4 DS-GVO bereits seinem Wortlaut nach nicht einschlägig sein. Die Norm ist nur dann anzuwenden, wenn „die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung“ von der Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig gemacht wird. Das bloße „Surfen“ auf einer Webseite ist aber kein Vertrag, auch nicht das Anbieter-Nutzer-Verhältnis im Sinne von § 11 TMG. Insoweit könnte sich eine unzulässige Kopplung – wenn überhaupt – allein unter Zugrundelegung allgemeiner Erwägungen zur Wirksamkeitsvoraussetzung der Freiwilligkeit begründen lassen. Eine solche Annahme ist jedoch fernliegend. Auf die Möglichkeit der Nutzung einer bestimmten Webseite ist niemand angewiesen. Dies gilt selbst in Fällen, in denen die Webseite von Anbietern der Daseinsfürsorge betrieben wird. Die Möglichkeit, alternativ mit nämlichen Anbietern in Kontakt zu treten, wird stets bestehen. Mag das Abhängigmachen der Nutzungsmöglichkeit einer Webseite von der Abgabe einer Einwilligung ab und an als Unannehmlichkeit empfunden werden, führt dies jedenfalls nicht zu einer „Zwangssituation“, in der die Abgabe einer Einwilligung als nur noch alternativlos erscheint.
7. Weitersurfen als Einwilligung
Dass eine datenschutzrechtliche Einwilligung allein im Wege des Anklickens von Schaltflächen oder dem Aktivieren von Checkboxen erteilt werden kann, steht nirgends geschrieben. Im Gegenteil können Einwilligungen zwanglos auch mündlich und sogar konkludent eingeholt werden, von den damit verbundenen Nachweisschwierigkeiten einmal abgesehen. Die DS-GVO ist an dieser Stelle ungewohnt progressiv: Gemäß Erwägungsgrund 32 S. 5 DS-GVO kann eine Einwilligung durch jede „Erklärung oder Verhaltensweise“ erteilt werden, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.“
Diesen Erwägungsgrund hatte mutmaßlich auch die spanische Aufsichtsbehörde („aepd“) bei Erarbeitung ihrer Hinweise zur Nutzung von Cookies[20] im Hinterkopf. Darin heißt es auf den Seiten 29/30:
„The following actions shall also be understood as granting consent when users perform it after being informed on cookie use and being warned that to keep browsing would equal to accept cookies:
- Using the scrolling bar, provided that any information regarding cookies may be accessed without using it.
- Clicking on any link included on the webpage, other than the link to the second layer of information regarding cookies and the link to the applicable privacy policy.”
Weitersurfen kann hiernach eine eindeutige Handlung im Rechtssinne darstellen, mit der der Webseitenbesucher seine Einwilligung in das Platzieren von Cookies und darauf aufbauenden Datenverarbeitungen verdeutlicht. Bei Smartphones. Tablets usw. sollen nach zutreffender Einschätzung der aepd auch Wischgesten dem Erfordernis einer aktiven Handlung genügen. Grundvoraussetzung für die Wirksamkeit einer so erteilten Einwilligung, und darauf macht auch die aepd aufmerksam, ist freilich, dass dem Webseitenbesucher bei Pageview 1 unmissverständlich und ohne weitere Zwischenschritte die Wirkung des Weitersurfens klar gemacht wird. Eine entsprechende Information muss „ins Auge springen“.
Wird diese Wirkweise unmissverständlich verdeutlicht, liegt auch in einem schlichten Weitersurfen ohne Zweifel der erforderliche, gesonderte Erklärungswert. Die Position der DSK[21] bzw. der irischen[22] Aufsichtsbehörde, wonach das bloße Nutzen einer Webseite nicht als Ausdruck einer aktiven Willensbekundung gewertet werden könne, ist insoweit zu pauschal.
8. Informationspflichten
Ein Höchstmaß an Transparenz ist für ein Cookie Management essentiell. Zu Art und Umfang der bereitzustellenden Informationen hat sich auch der EuGH geäußert. Der BGH hatte in seiner Vorlageentscheidung[23] ausdrücklich danach gefragt: „Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?“
Der EuGH hat die Frage bejaht.[24] Die Darstellung, welche Dritten u.U. Zugriff auf einzelne Cookies haben, ist in der Praxis insbesondere bei Einsatz von Affiliate-Netzwerken und sog. Data Marketing Plattformen eine Herausforderung. Die DSK weist an dieser Stelle darauf hin, dass „in Fällen, in denen sich mehrere (gemeinsame) Verantwortliche auf die ersuchte Einwilligung stützen wollen, oder in denen die Daten an andere Verantwortliche übermittelt oder von anderen Verantwortlichen verarbeitet werden sollen, diese Organisationen sämtlich genannt und die Verarbeitungsaktivitäten der einzelnen Organisationen hinreichend beschrieben werden [müssen].“[25]
Zudem ist der Rahmen der zur Verfügung zu stellenden Informationen mit den Vorgaben des EuGH längst nicht abgesteckt. Neben der Laufzeit des Cookies und möglicher Zugriffsrechte Dritter müssen selbstverständlich auch alle weiteren Pflichtinformationen aus Art. 13 Abs. 1 und 2 DS-GVO zur Verfügung gestellt werden.
Dass die Aufnahme aller dort normierten Informationen noch jede Einwilligungserklärung jäh sprengen würde, ist auch den deutschen Aufsichtsbehörden bewusst. Nach anfänglich teilweise strikter Weigerung stehen mittlerweile praktisch alle Behörden der Möglichkeit einer gestuften Informationsübermittlung (Layered Privacy Notice[26]) offen gegenüber. Die wesentlichen Informationen gehören in die Cookie Declaration (first layer), hinsichtlich aller weiteren kann auf die Datenschutzerklärung verwiesen werden. Schon deshalb ist darauf zu achten, dass die Datenschutzerklärung (und das Impressum) bei Pageview 1 gut erreichbar sind. Pop-Ups ohne Verlinkung sind rechtswidrig, ein „Dark Pattern Design“ grenzwertig.
9. Umgang mit Widerrufen
Die legitimierende Wirkung von Einwilligungen unterliegt keiner zeitlichen Verwirkung.[27] Wenn gleichwohl etwa die irische Aufsichtsbehörde eine „Erneuerung“ der Einwilligung nach sechs Monaten fordert,[28] findet dies insoweit keinen Niederschlag im Gesetz. Einwilligungen gelten bis auf Widerruf. Kommt es zu einem Widerruf, muss dieser ordnungsgemäß administriert werden. Dabei muss gemäß Art. 7 Abs. 3 S. 4 DS-GVO der Widerruf „so einfach wie die Erteilung der Einwilligung sein.“ Die Details überlässt das Gesetz den Webseitenbetreibern. Je nach technischer Ausgestaltung sind unterschiedliche Maßnahmen zur Umsetzung von Widerrufen denkbar, z.B. das Löschen von Matching-Cookies oder das Setzen von Opt-Out-Cookies. Bei Letzteren sollte immer bedacht werden, dass diese auch durch den Browser des betroffenen Endgerätes akzeptiert werden. Bezogen auf Google Analytics haben die Aufsichtsbehörden deutlich gemacht, dass allein das Anbieten des Browser-Add-On keine hinreichende Widerrufsmöglichkeit darstellt.[29]
Vorsicht ist geboten bei einer allzu überhasteten endgültigen Löschung. Zwar zieht gemäß Art. 17 Abs. 2 Buchst. b) DSGVO ein Widerruf regelmäßig eine Löschverpflichtung nach sich. Um Nach- und Beweisproblemen aus dem Weg zu gehen, können und sollten Zeitpunkte und Umstände von Einwilligung und Widerruf für einen begrenzten Zeitraum weiterhin dokumentiert bleiben. Als Rechtsgrundlage für die weitere Speicherung kommt Art. 6 Abs. 1 Buchst. f) DS-GVO in Betracht.
Eine Mindestlaufzeit für das Opt-Out-Cookie ist durch das Gesetz nicht vorgeschrieben. Webseitenbetreiber sind hiernach ohne Weiteres berechtigt, dem (widerrufenden) Webseitenbesucher unmittelbar im Zeitpunkt des nächsten Aufsuchens der Webseite erneut mit dem Cookie Management zu konfrontieren.
10. Widerspruchsrecht gegen technisch erforderliche Cookies
Soweit im Zusammenhang mit den zum Einsatz kommenden technisch erforderlichen Skripten personenbezogene Daten verarbeitet werden, sind im Grundsatz alle Betroffenenrechte der DS-GVO zu beachten. Dies gilt insbesondere auch für das Widerspruchsrecht gemäß Art. 21 DS-GVO, wobei bezogen auf technisch erforderliche Skripte allein Abs. 1 der Norm einschlägig ist. Dass die Pflicht zur Umsetzung eines solchen allgemeinen Widerspruchs in der Regel an der Schwelle der „besonderen Situation“ des Betroffenen scheitern wird, ändert nichts an der Verpflichtung zum Hinweis auf das Widerspruchsrecht, einschließlich der Hervorhebungspflicht gemäß Art. 21 Abs. 4 Halbsatz 2 DS-GVO.
11. Erfüllung der Nachweispflicht
Wie Webseitenbetreiber im Zusammenhang mit der Implementierung eines Cookie Managements ihrer aus Art. 5 Abs. 2 DSGVO folgenden Nachweispflicht entsprechen sollen, ist nur auf den ersten Blick unklar. Aufgrund des fehlenden direkten Kontakts mit den hinter den Endgeräten stehenden natürlichen Personen ist die Erbringung eindeutiger Nachweise ersichtlich ausgeschlossen. Auch die Grundverordnung kennt solche Situationen und hält hierfür Art. 11 DS-GVO parat.
Nicht zuletzt deshalb eröffnen auch die Aufsichtsbehörden eine pragmatische Lösung. Zur Erfüllung der Nachweispflichten genügt es hiernach, dass die Entscheidung eines Nutzers auf dem Endgerät „ohne Verwendung einer User-ID o.ä. vom Verantwortlichen gespeichert [wird].“[30] Nur der Vollständigkeit halber: Eine solche Information wird man freilich als technisch erforderlich und damit als einwilligungsfrei einzuordnen haben. Wird dieser Prozess dokumentiert und durch eine nachvollziehbare Versionsverwaltung flankiert, sollte den Anforderungen der Behörden Genüge getan sein.
12. Drittstaatentransfers im Zusammenhang mit Cookies
Welche Herausforderungen das Urteil des EuGH in der Rechtssache Schrems II[31] für den Drittstaatentransfer insgesamt mit sich bringt, wird weiterhin intensiv diskutiert. Mit Blick auf das hier betrachtete Cookie Management sei insoweit nur ein Aspekt gesondert hervorgehoben. Der EuGH,[32] der Europäische Datenschutzausschuss[33] und auch die DSK[34] verweisen nach dem Wegfall von Privacy Shield ausdrücklich darauf, dass Drittstaatentransfers weiterhin auf Grundlage der Einwilligung der Betroffenen gemäß Art. 49 Abs. 1 Buchst. a DS-GVO möglich sind. Kommt es bei Einsatz von Cookies und den nachgelagerten Datenverarbeitungen zu einem Datentransfer in nicht-sichere Drittstaaten und stehen für diesen Drittstaatentransfer keine Garantien zur Verfügung, die den rechtlichen Vorgaben der Art. 46 und 47 DS-GVO genügen, ist damit bis auf Weiteres ein einwilligungsbasiertes Modell praktisch alternativlos.
Um der in Art. 49 Abs. 1 Buchst. a DS-GVO normierten Vorgabe der Ausdrücklichkeit der Einwilligung Rechnung zu tragen, muss der Hinweis auf die Datenübermittlung in einen nicht-sicheren Drittstaat bereits aus der Cookie Declaration hervorgehen. Den Hinweis erst auf dem second layer zu geben, genügt nicht.
In der Datenschutzerklärung müsste dann die weitere durch Art. 49 Abs. 1 Buchst. a DS-GVO geforderte Belehrung über die „bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien“ erfolgen.
Ein Verstoß gegen Kopplungsvorschriften bestünde auch im Fall der Aufnahme einer solchen Einwilligung in die Cookie Declaration nicht. Als Folgeanpassung wäre jedoch die Schaltfläche, über die der Einsatz von Cookies legitimiert werden soll, sprachlich anzupassen. Ein schlichtes „Alle akzeptieren“ wird dann nicht mehr genügen.
III. Schlussbemerkungen
Aus den Entscheidungen in der Rechtssache Planet 49 folgt für die Praxis nicht viel Neues. Kommen technisch nicht erforderliche Cookies und Skripte zum Einsatz, ist ein Opt-In-Mechanismus das Mittel der Wahl. Lässt man einmal die – nur in Teilen berechtigten – dogmatischen Erwägungen außer Acht, galt dieser Befund allerdings schon vorher. Neu ist lediglich, dass Webseitenbetreiber wegen unzulässiger Opt-Out-Lösungen nunmehr auch durch Verbraucherschutzorganisationen auf Grundlage von § 1 UKlaG in Verbindung mit § 307 BGB auf Unterlassung in Anspruch genommen werden können. Hiervon zu trennen ist die Frage, ob ein mutmaßlicher Datenschutzverstoß wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzorganisationen aus eigenem Recht vor den Zivilgerichten verfolgt werden kann. Zu dieser Frage hat der BGH taggleich mit der Urteilsverkündung in der Rechtssache Planet 49 erneut den EuGH angerufen.[35] Zwar ist aktuell weiterhin nicht zu beobachten, dass Verbraucherschutzorganisationen oder andere sogenannte qualifizierte Einrichtungen Webseitenbetreiber mit Verfahren überziehen. Bereits angelaufene Projekte sollten dennoch weiter flott vorangetrieben werden. Und wer bislang beständig auf OptOut gesetzt hat, tut gut daran, seine interne Risikoabwägung noch einmal gründlich zu durchdenken.
Spannend wird nun sein, welche konkreten Umsetzungsvarianten die Behörden und letztlich die Gerichte akzeptieren werden. Einzelne Verfahren laufen bereits. Hier wird dann auch zu klären sein, welcher Bußgeldrahmen bei Annahme eines Verstoßes Anwendung findet. Orientiert an dem Urteil des BGH ist auch in diesem Zusammenhang § 15 Abs. 3 TMG als Umsetzung von Art. 5 Abs. 3 E-Privacy-Richtlinie weiterhin anzuwenden. Als Folge dessen dürfte für Verstöße gegen die Norm im Anwendungsbereich der E-Privacy-Richtlinie, d.h. bezogen auf das Platzieren von Cookies oder das Auslesen von Informationen aus Endgeräten, auch nur der Sanktionsrahmen des TMG eröffnet sein. Nur für die nachgelagerte, auf Cookies aufbauende Datenverarbeitung gilt die DS-GVO.
Ob der Abschluss der Rechtssache Planet 49 tatsächlich die Zukunft des Onlinemarketings besiegelt hat, bleibt abzuwarten. Eines scheint aber gewiss: Solange Browserherstellern weiterhin freie Hand bei der Entscheidung gelassen wird, welche Informationen an das Endgerät des Nutzers durchgereicht werden, bleiben auch die hier angestellten Überlegungen zur Ausgestaltung von Cookie Bannern von nachrangiger Bedeutung.
RA Sebastian Schulz ist als Rechtsanwalt bei HÄRTING Rechtsanwälte in Berlin tätig. Von 2012 bis 2019 leitete er den Bereich Rechtspolitik & Datenschutz beim Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh).
Zuvor war er als Referent für Datenschutz im Deutschen Bundestag sowie für eine internationale agierende Unternehmensberatung mit dem Schwerpunkt Datensicherheit und Datenschutzmanagement tätig. Als zertifizierter Datenschutzbeauftragter und -auditor betreut der Autor schwerpunktmäßig datenschutzrechtliche Mandate. Er leitet Seminare zum Kundendatenschutz, ist Autor und Kommentator des BDSG sowie der DS-GVO und Mitglied der Schriftleitung der Datenschutz-Fachzeitschrift Privacy in Germany (PinG).
[1] 1 I ZR 7/16 – Cookie-Einwilligung II.
[2] Referentenentwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze, Stand: 14.07.2020.
[3] Rn. 3, dort S. 37
[4] Art. 29-Datenschutzgruppe, WP 196 v. 07.06.2012, S. 4.
[5] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019, Ziff. 51.
[6] Rechtssache C-673/17, Schlussanträge des Generalanwalts vom 21.03.2019, Rz. 89.
[7] Normiert ist dieser Grundsatz allein für den Widerruf einer Einwilligung, vgl. Art. 7 Abs. 3 S. 4 DS-GVO.
[8] DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019, S. 9.
[9] Guidance Note: Cookies and other tracking technologies, April 2020, abrufbar unter www.dataprotection.ie.
[10] Vgl. auch Kollmar/Schirmbacher, WRP 8/2020, 1015 (1017).
[11] EuGH, Urt. v. 01.10.2019, C-673/17.
[12] Rechtssache C-673/17, Schlussanträge des Generalanwalts vom 21.03.2019, Rz. 98.
[13] In diese Richtung tendiert auch die DSK, vgl. Kurzpapier Nr. 3, Stand: 29.06.2017, S. 2; In Deutschland kann dieser Logik das strikte wettbewerbsrechtliche Einwilligungserfordernis des § 7 Abs. 2 UWG entgegenstehen.
[14] Corte di Cassazione, Entscheidung vom 02.07.2018, Az. 17278/2018.
[15] DSB-D122.931/0003-DSB/2018 vom 30.11.2018.
[16] EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Rz. 40.
[17] DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019, S. 10.
[18] Cookies et autres traceurs, abrufbar unter https://www.autoriteprotectiondonnees.be/cookies.
[19] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019, Ziffer 17 und 18.
[20] Guidelines on the use of cookies, Stand: November 2019, abrufbar unter www.aepd.es
[21] Vgl. DSK, Beschluss vom 12.05.2020, Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich, S. 4.
[22] Guidance Note: Cookies and other tracking technologies, April 2020, S. 9.
[23] BGH, Beschluss v. 05.10.2017 – I ZR 7/16.
[24] EuGH, Urt. v. 01.10.2019, C-673/17, Rz. 72f.
[25] DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019, S. 8.
[26] Art. 29-Datenschutzgruppe, WP 260 v. 11.04.2018, S. 19
[27] Details bei Schulz in Gola, Datenschutz-Grundverordnung, 2. Aufl., Art. 7 Rn. 58.
[28] Guidance Note: Cookies and other tracking technologies, April 2020, S. 8
[29] Vgl. DSK, Beschluss vom 12.05.2020, Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich, S. 5.
[30] DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019, S. 9.
[31] EuGH, Urt. v. 16.07.2020 – C-311/18.
[32] EuGH, Urt. v. 16.07.2020 – C-311/18, Rz. 202.
[33] EDSA, Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 v. 23.07.2020, Ziff. 8.
[34] DSK, Pressemitteilung v. 28.07.2020, S. 2, Ziff. 4.
[35] BGH, Beschl. v. 01.10.2019 – I ZR 186/17.