EuGH: Cookies nur noch mit Einwilligung?
Auf den ersten Blick ergibt sich daraus scheinbar, dass Cookies nur noch mit ausdrücklicher Einwilligung gesetzt werden dürfen. Ganz trifft das so aber nicht zu! Das hat der EuGH (nicht) entschieden! Der EuGH kommt in seinem Urteil vom 01.10.2019 (Az. C-673/17; Stand: 17.10.2019), das auch unter dem Schlagwort „Planet49“ bekannt ist, zu folgenden Ergebnissen: • Das Setzen eines Cookies für Werbetracking bedarf nach Art. 5 Abs. 3 der Datenschutzrichtlinie für Elektronische Kommunikation 2002/58/EG (auch bezeichnet als ePrivacy-Richtlinie) der Einwilligung der betroffenen Person. • Das gilt unabhängig davon, ob das Cookie selbst personenbezogene Daten enthält oder nicht. • Ein voraktiviertes Häkchen in einer Check-Box genügt nicht den Anforderungen einer datenschutzrechtlichen Einwilligung. • Als Mindestinhalt der Information an die betroffene Person der EuGH als erforderlich: Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können. • Nicht gesagt hat der EuGH: Das Setzen jeder Art von Cookie bedürfe der Einwilligung. Daraus ergibt sich: Für den Betrieb der Internetseite notwendige Cookies bedürfen beispielsweise weiterhin keiner Einwilligung. • Nicht gesagt hat der EuGH: Das Setzen eines Cookies erfordert eine ausdrückliche Einwilligung. Daraus ergibt sich: Konkludente Einwilligungen sind möglich. • Nicht gesagt hat der EuGH: Das Setzen eines Tracking-Cookies bedürfe auch in Deutschland einer Einwilligung, auch wenn in dem Cookie selbst keine personenbezogenen Daten enthalten sind. • Nicht gesagt hat der EuGH: Das Profiling bedürfe einer Einwilligung.
Zum Hintergrund und zur Erklärung
Der EuGH wurde – vereinfacht gesagt - durch den deutschen BGH gefragt, wie Art. 5 Abs. 3 der Richtlinie 2002/58/EG (Stichwort: ePrivacy-Richtlinie in Bezug auf die Voraussetzungen von Tracking-Cookies auszulegen sei, für welche die Einwilligung durch voraktivierte Häkchen eingeholt wird. Dieser Art. 5 Abs. 3 wurde durch die Richtlinie 2009/136/EG, die auch als Cookie-Richtlinie bezeichnet wird, in die ePrivacy-Richtlinie eingefügt und lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Aufgrund der zur Entscheidung gestellten Frage ergibt sich zunächst, dass der EuGH sich nicht zu jeder Art von Cookie sondern nur zu Tracking-Cookies geäußert hat. Der EuGH hat auch wenig überraschend ausgeführt, dass ein voraktiviertes Häkchen keine Einwilligung darstellt. Seit dem Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) ergibt sich dies auch aus Erwägungsgrund 32 DS-GVO. Der EuGH hat aber nicht ausgeführt, dass es einer ausdrücklichen Einwilligung bedarf. Vor dem Hintergrund des Wortlauts dieses Art. 5 Abs. 3 überrascht es auch nicht, dass der EuGH für den darin geregelten Fall die Einwilligung fordert, unabhängig davon ob, personenbezogenen Daten im Cookie enthalten sind. Die Regelung des Art. 5 Abs. 3 ist ein der Verarbeitung personenbezogener Daten „vorgelagerter“ Schutz und knüpft an das Endgerät an.
Keine aktuelle, unmittelbare Auswirkung in Deutschland
Der EuGH hat nur diesen Art. 5 Abs. 3 ausgelegt, aber nicht eine Entscheidung im konkreten Fall oder zur Rechtslage in Deutschland getroffen. Der EuGH entscheidend bei Vorlagefragen nationaler Gericht generell nur Rechtsfragen zur Auslegung von EU-Rechtsnormen. Er entscheidet aber nicht den konkreten Fall des vorlegenden Gerichts. Der BGH muss also erst noch die Erkenntnisse aus der „Auslegungs-Entscheidung“ des EuGH auf den Rechtstreit anwenden. Entscheidend ist aber vor allem ein anderer Aspekt: Dieser Art. 5 Abs. 3 ist Bestandteil einer Richtlinie. EU-Richtlinien sind aber in den EU-Mitgliedstaaten im Verhältnis zwischen Bürgern grundsätzlich nicht unmittelbar anwendbar. Das ist ein wesentlicher Unterschied zu einer EU-Verordnung wie beispielsweise der DS-GVO. In Deutschland ist die Vorgabe dieses Art. 5 Abs. 3 derzeit nicht in einem nationalen Gesetz umgesetzt. Der deutsche Gesetzgeber hat sich bisher darauf berufen, er habe diese Vorgabe in den Datenschutzbestimmungen des Telemediengesetzes (TMG) umgesetzt. Die Lektüre des TMG zeigt jedoch, dass gerade keine solche explizite Regelung im TMG enthalten ist. In der Fachliteratur geht daher auch seit langer Zeit die überwiegende Meinung davon aus, dass dieser Art. 5 Abs. 3 nicht in deutsches Recht umgesetzt wurde. Das bedeutet aber auch: Wenn die entsprechende Regelung einer Richtlinie im nationalen Recht nicht umgesetzt ist, geht die Auslegung der Regelung durch den EuGH faktisch „ins Leere“.
Was gilt für ein Profiling?
Der EuGH hat sich mit der Zulässigkeit und den Anforderungen an ein Profiling nicht befasst. Dementsprechend lässt sich aus dieser Entscheidung auch nicht ableiten, dass für ein Profiling stets eine Einwilligung erforderlich ist. Denn: Das Setzen eines Cookies und ein Profiling sind eben nicht dasselbe.
Rechtslage in Deutschland zum Zeitpunkt der Entscheidung
Die Datenschutz-Grundverordnung und die Datenschutzbestimmungen des TMG sehen keine Art. 5 Abs. 3 der ePrivacy-Richtlinie vergleichbare Regelung vor. Die Datenschutzbestimmungen des TMG werden im Übrigen auch durch die DS-GVO verdrängt. Die DS-GVO greift dann, wenn personenbezogene Daten verarbeitet werden. Wenn das Cookie selbst keine personenbezogenen Daten enthält, kommt die DS-GVO also nicht zur Anwendung. Wenn das Cookie selbst personenbezogene Daten enthält, kommen gemäß der DS-GVO als Rechtsgrundlage für die Verarbeitung sowohl die Einwilligung als auch die Interessenabwägung in Betracht (siehe Art. 6 Abs. 1 Satz 1 DS-GVO). Die in Art. 5 Abs. 3 der ePrivacy-Richtlinie zum Ausdruck kommende Wertung wird voraussichtlich als Argument dafür herangezogen werden, dass eine Einwilligung erforderlich ist und eine Interessenabwägung nicht als Rechtsgrundlage in Betracht kommt. Das ist aber sicherlich diskussionswürdig. Die seit 2017 viel diskutierte ePrivacy-Verordnung soll das Setzen von Cookies ebenfalls regeln. Sie würde wie die DS-GVO direkt und unmittelbar in Deutschland gelten. Ob und wann diese ePrivacy-Verordnung in Kraft treten wird, ist derzeit aber nicht sicher absehbar.
Wie geht es weiter?
Der deutsche Gesetzgeber wird vor dem Hintergrund der Entscheidung des EuGH nunmehr aktiv werden müssen. Es spricht Vieles dafür, dass eine Regelung entsprechend der Vorgabe des Art. 5 Abs. 3 der ePrivacy-Richtlinie in deutsches Recht eingefügt wird. Dann besteht das durch den EuGH ausgesprochene Einwilligungserfordernis. Vor diesem Hintergrund muss gut überlegt werden, ob Tracking-Cookies weiterhin ohne Einwilligung angeboten werden oder ob die faktische Karenzzeit zur Umsetzung der sich abzeichnenden Vorgaben genutzt wird. Das ist kein Schnellschuss. Denn die inhaltlichen Anforderungen an eine Einwilligung sind recht hoch. Für die Umsetzung einer Einwilligung ist klar, dass ein voraktiviertes Häkchen nicht als Einwilligung genügt. Das ergibt sich jedenfalls aus Erwägungsgrund 32 DS-GVO. Zu bewerten wird aber sein, ob eine konkludente Einwilligung in Gestalt der Weiternutzung der Internetseite den Anforderungen genügt. Hiergegen ließe sich zwar anführen, dass dies im Ergebnis auf eine Opt-Out-Gestaltung hinaus liefe und eben nicht die durch den EuGH geforderte aktive Einwilligungshandlung. Aber das ist noch auszudiskutieren.
Fazit
Die faktisch entstandene Karenzzeit muss genutzt werden, um „sich die Karten“ zu legen, wie die Gestaltung auf der jeweiligen Internetseite gewählt wird. Wenn das Ergebnis sein sollte, dass für das Setzen des Cookies und das Profiling eine Einwilligung erforderlich ist, dann müssen faktisch zwei Einwilligungen eingeholt werden. Das Einholen einer verbundenen Einwilligung ist zwar nicht sicher ausgeschlossen, aber die Rechtsprechung stellt an Werbe-Einwilligungen recht hohe Anforderungen.