Ausgangslage
Der Bundesgerichtshof hatte sich im Rahmen eines Rechtsstreits zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv) und der Planet49 GmbH, einer Gesellschaft, die unter anderem Online-Gewinnspiele anbietet, mit dem datenschutzkonformen Einsatz von Cookies auf Webseiten zu befassen. Da es sich bei Beurteilung dieser Fragestellung insbesondere um die Auslegung von Unionrecht – namentlich der ePrivacy-RL (Richtlinie 2002/58/EG) handelt, legte der BGH das Verfahren im Rahmen eines Vorabentscheidungsersuchens dem Europäischen Gerichtshof (EuGH) vor (vgl. BGH, Beschl. vom 05.10.2017, Az. I ZR 7/16).
Nach Vorlage des BGH hat sich der EuGH in seinem Urteil vom 1. Oktober 2019 (Az. C-673/17) mit der Auslegung unionsrechtlicher Vorgaben zum Thema Cookies im Kern mit drei Fragen befasst. Diese können inhaltlich wie folgt wiedergegeben werden:
- Inwieweit genügt ein vorausgefülltes Antwortkästchen den Anforderungen an eine wirksame Einwilligung zum Setzen eines Cookies?
- Macht es einen Unterschied, ob es sich bei den gespeicherten Daten um personenbezogene Daten handelt oder nicht?
- Wie umfangreich und detailliert muss der Seitenbetreiber seinen Informationspflichten nachkommen?
Im Wesentlichen ging es also um die Frage, wie Cookies und vergleichbare Technologien, die Daten auf Geräten der Besucher der jeweiligen Webseite speichern und auslesen, zukünftig eingesetzt werden können. Der besseren Lesbarkeit wegen subsumieren wir im Folgenden die genannten Technologien unter dem Begriff „Cookies“.
Das Urteil führte zunächst zu einer Einteilung der Cookies in die „technisch erforderlichen Cookies“ und den übrigen. Für die erste Kategorie von Cookies hält der EuGH eine Einwilligung nicht für erforderlich. Sie dienen zum Beispiel der Erleichterung der Bereitstellung von Diensten und erhöhen die Nutzbarkeit der Webseite. Der Einsatz dieser Cookies beschneidet weder die Interessen noch die Grundrechte des Betroffenen unangemessen.
Obwohl eine genaue Klärung der Frage, wie weit der Begriff „technisch erforderlich“ zu fassen ist, durch den EuGH nicht erfolgt ist, dürfte davon auszugehen sein, dass hiermit beispielsweise Warenkorb-Cookies, die Voreinstellung der Sprache, in der die Seite angezeigt wird, etwaige bisher erteilte Cookie-Einwilligungen für die Seite und ähnliches gemeint sind. Hingegen ist noch nicht abschließend geklärt, ob Cookies, die wirtschaftlich oder aus anderen, nicht technischen Gründen notwendig sind, weil sie zum Beispiel für die Abrechnung von Affiliate-Marketing-Systemen benötigt werden, auch in diesen Kreis von „privilegierten“ Cookies zu zählen sind.
Der Einsatz aller übrigen Cookies bedarf immer einer Einwilligung des Betroffenen.
Egal, welcher Zweck mit dem Setzen des Cookies verfolgt wird – seien es Analysezwecke, Tracking oder ein geplantes Retargeting – in jedem Fall ist der Nutzer der Seite über den Einsatz dieser Cookies zu informieren und, noch weit wichtiger, ist die Einwilligung einzuholen, bevor das erste Cookie gesetzt wird. Dies bedeutet auch, dass Drittanbieter-Anwendungen, wie zum Beispiel auf der Seite eingebettete YouTube-Videos etc. systemseitig erst dann aktiviert werden dürfen, wenn der Betroffene seine Einwilligung erteilt hat.
In dem vorgenannten Urteil wurde auch die Frage geklärt, in welcher Form eine Einwilligung zu erteilen ist beziehungsweise wann vom Vorliegen einer wirksam erteilten Einwilligung auszugehen ist. So sagt das Gericht ausdrücklich, dass voreingestellte Ankreuzkästchen keine wirksame Einwilligung darstellen.
Konsequenzen
In vielen Unternehmen wird im Moment an der Frage gearbeitet, wie nun in angemessener Form auf dieses Urteil zu reagieren ist:
Mit Blick auf die zum Teil umfangreichen Aufgaben, die sich im Einzelfall aus dem Urteil für die Unternehmen – strategisch wie auch operativ – ergeben können, ist es aus unserer Sicht empfehlenswert, sich dem Thema zeitnah zu widmen.
Ein wesentlicher Schritt ist die Beschäftigung mit den auf der eigenen Seite eingesetzten Cookies und die Beantwortung dieses, ausdrücklich nicht abschließenden, Fragenkatalogs:
- Welche Cookies werden beim Aufruf der Webseite auf den Geräten des Besuchers gesetzt?
In diesem Zusammenhang ist wichtig, zu gewährleisten, dass alle einwilligungspflichtigen Cookies tatsächlich erst nach Erteilung gesetzt werden. Dies gilt insbesondere auch für eingebettete Inhalte, wie zum Beispiel YouTube Videos. Lediglich technisch erforderliche Cookies dürfen bei Besuch der Webseite gedropped werden.
- Welcher Zweck wird mit jedem einzelnen eingesetzten Cookie verfolgt und werden alle bisher eingesetzten Cookies auch zukünftig benötigt?
Die Notwendigkeit einer Inventarisierung bietet gleichzeitig die Gelegenheit, zu prüfen, ob die einzelnen Cookies noch zur Erreichung der vorgesehenen Zwecke benötigt werden oder sich der Einsatz aus dem einen oder anderen Grunde als überflüssig erweist. Dadurch, dass nun die einzelnen eingesetzten Cookies transparent gemacht werden müssen, kann ein als zu exzessiv empfundener Einsatz dieser Technik unter Umständen beim Nutzer negative Reaktionen hervorrufen, so dass sich ein Verzicht auf das eine oder andere Cookie als förderlicher für das Erreichen der Geschäftsziele erweisen kann, als es der Einsatz derselben getan hätte.
- Welche der eingesetzten Cookies sind aus technischen Gründen unbedingt erforderlich?
Wie bereits beschrieben, ist diese Klassifizierung wichtig, da die Einwilligungsbedürftigkeit entfällt sobald eine technische Erforderlichkeit vorliegt. Hier empfiehlt sich eine belastbare Dokumentation, da hier eine Ausnahme von der Regel (Einwilligungspflicht) genutzt wird und entsprechend begründet werden muss.
- Welche Eigenschaften haben die zukünftig zum Einsatz kommenden Cookies?
Die detailreicheren Cookie-Banner geben auch erste Hinweise auf die technischen Details des eingesetzten Cookies. Wesentliche Größen sind hier die Funktionsdauer, die von der aktuellen Nutzungsdauer der Seite bis zu einer dauernden, zeitlich unbegrenzten Speicherung reichen kann.
- Welche Drittanbieter-Cookies werden genutzt?
Hierunter fallen Cookies, die ein gegebenenfalls seitenübergreifendes Tracking ermöglichen und gegebenenfalls eine weitere Verarbeitung der personenbezogenen Daten für eigene Zwecke von Dritten beinhalten. Diese Dritten sind namentlich zu benennen. In diesen Fällen ist zu prüfen, ob eine gemeinsame Verantwortlichkeit mit dem Dritten vorliegt, die dann in einem entsprechenden Vertrag auch datenschutzrechtlich zu regeln wäre.
In jedem Fall hat der Seiteninhaber dafür Sorge zu tragen, dass sich der Nutzer über die Verarbeitung vollumfänglich informieren kann. Dies beinhaltet auch den Verweis auf Datenschutzhinweise des Drittanbieters.
Mit Blick auf das Urteil ist festzustellen, dass manche der bisher genutzten Mittel, um den Nutzer ausschließlich über den Einsatz von Cookies zu informieren, nicht mehr ausreichen werden. Auch Cookie-Banner, bei denen bereits gesetzte Häkchen von vornherein eine Einwilligung durch pauschales Bestätigen zu erzielen suchen, werden zukünftig nicht mehr die gewünschte Wirkung entfalten und bergen für den Seiteninhaber ein Bußgeldrisiko. Es ist seitens der Seitenbetreiber sicherzustellen, dass die wesentlichen Informationen zu den genutzten Cookies dem Seitennutzer ohne Hürden zur Verfügung gestellt werden.
Umsetzung
Vornehmlich zur Information des Nutzers wurden schon vor der Entscheidung des EuGH sogenannte Cookie-Banner oder Cookie-Bars von den Webseitenbetreibern eingesetzt. Diese waren bislang in vielen Fällen so gestaltet, dass lediglich über den Umstand informiert wurde, dass Cookies gesetzt werden oder vorangekreuzte Felder mit einem Klick auf einen „Einverstanden“-Button das Setzen von Cookies bestätigt werden konnten. Als Gemeinsamkeit wiesen letztere Cookie-Banner gegebenenfalls eine Systematisierung und Zusammenfassung der eingesetzten Cookies in oftmals drei, teilweise vier Kategorien auf.
Künftig werden diese Cookie-Banner anders gestaltet werden müssen.
Trotz der strengeren Anforderungen des EuGH bleibt eine Kategorisierung der Cookies aufgrund der Nutzerfreundlichkeit weiterhinvertretbar sein. Mögliche Kategorien können – wie bisher – folgende sein: „technisch notwendige Cookies“, „Präferenzen“, „Statistiken“ und „Marketing“. Namen und Inhalte der zu bildenden Kategorien sind jedoch frei wählbar. Empfehlenswert erscheinen weitestgehend selbstsprechende Kategoriebezeichnungen.
Neben der generellen Information, dass Cookies zum Einsatz kommen sollen, sollte der Webseitenbetreiber kurz beschrieben, zu welchen Zwecken die Cookies gesetzt und ausgelesen werden und dass mit den angebotenen Buttons eine Einwilligung eingeholt wird. Zwingend ist zum einen die Information darüber aber auch die tatsächliche Möglichkeit, die Einwilligung jederzeit widerrufen zu können.
Sodann sollten die Cookie-Kategorien inklusive kurzer Beschreibung angezeigt werden und mit nicht vorausgefüllten Checkboxen versehen werden. Jedenfalls als sofort sichtbare Informationen sollten die Funktionsdauer und die Einbindung von Dritten bei der Analyse der Cookies angegeben werden. Diese Informationen waren dem EuGH besonders wichtig.
Weitere Informationen sollten über einen entsprechenden Link oder durch eine Mouseover-Funktion angeboten werden. Hier sollten Informationen wie die Angabe des Zwecks der Verarbeitung, die Erhebung welcher Datenkategorien, der Laufzeit / Funktionsdauer des Cookies und wiederum der konkrete Dritte, der gegebenenfalls involviert ist, genannt werden. Eine Orientierung bietet Art. 13 DS-GVO.
Soweit Drittanbieter involviert sind, sollte ein Link zu den Datenschutzhinweisen des Drittanbieters ergänzt werden.
Schließlich sollte über einen jederzeit und einfach zu erreichenden Link – gegebenenfalls innerhalb der Datenschutzhinweise – eine vollständige Übersicht über sämtliche eingesetzte Cookies und den oben genannten Informationen zu jedem einzelnen Cookie auf der Seite implementiert werden und regelmäßig überprüft und aktualisiert werden.
Ob und wie weit diese Verlinkung hinreicht, um den eigenen Anforderungen nach Art. 13 DSGVO gerecht zu werden, wird sich zeigen, sobald die Aufsichtsbehörden sich eingehender mit diesem Thema befassen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, hat schon verlauten lassen, dass er die Entscheidung des EuGH begrüßt.
Weitere Informationen und eine interessante Diskussion mit durchaus unterschiedlichen Sichtweisen auf das Thema finden Sie in unserem Podcast mit dem Titel: „Das EuGH-Urteil im Fall Planet49 und was die Konsequenzen für Webseitenbetreiber sind “.
Zum Autor:
Tim Taschau ist als Consultant der migosens GmbH Ansprechpartner beim Kunden vor Ort rund um das Thema Datenschutz sowie angrenzende rechtliche Fragestellungen. In der Beratung ist ihm ein pragmatischer Ansatz wichtig, der sowohl die individuelle Kundensituation berücksichtigt, als auch die angemessene Umsetzung rechtlicher Erfordernisse sicherstellt.