Der deutsche Sonderweg zu Cookies ist nicht in Einklang mit EU-Recht. Dies hat der EuGH am 01.10.2019 entschieden. Demnach ist es nicht mehr zulässig, dass Cookies per default gesetzt sind und der Website-Besucher dem widersprechen kann. Insofern besteht Handlungsbedarf (z.B. hinsichtlich google analytics), denn bald werden sich Aufsichtsbehörden (und ggf. Abmahn-Anwälte) diesem Thema verstärkt widmen. Ein Meilenstein im Datenschutz.
Zuletzt aktualisiert am 29.05.2020
Der rechtliche Hintergrund
Der § 15 Abs. 3 TMG ist seit vielen Jahren ein Zankapfel. Er erlaubt deutschen Website-Betreibern das Speichern von gewissen Cookies ohne Einwilligung, bis der Website-Nutzer dem aktiv widerspricht. Die EU hatte diese Regelung offiziell als unbedenklich und durchaus kompatibel mit der EU-Cookie-Richtlinie eingeschätzt. Die deutschen Aufsichtsbehörden haben aber stets eine andere Rechtsauffassung vertreten (zuletzt im April 2019).
[Neu im November 2019:] Die Ursache für diese Konfusion liegt möglicherweise darin, dass sich im Jahr 2009 etwas ganz entscheidendes geändert hatte: Die EU Verordnung zur elektronischen Kommunikation ab 2009 spricht nicht mehr von einer Widerspruchslösung, sondern von einer aktiven Einwilligung! Also ein Kurswechsel von fast 180°.
Wir berichteten im TOM-Guide® in den Kapiteln 2.8.4 und 3.23.3 und 4.12 und 8.9 und besonders 8.9.5b.
Das zugrundeliegende Gewinnspiel von Planet49 wurde im Jahr 2011 durchgeführt. Die deutsche Verbraucherzentrale hatte dagegen geklagt, und der Bundesgerichtshof hatte im Jahr 2017 an den EuGH weitergereicht, der am 01.10.2019 entschied. [Neu im November 2019:] Die wichtigste Kernfrage lautete: WIE muss eine Einwilligung ausgestaltet sein?
Das EugH-Gerichtsurteil
Wir stellen (auch) dieses EuGH-Urteil vom 01.10.2019 mit farblichen Markierungen zur Verfügung: www.privacy-regulation.eu/privazyplan/materialien/eu-eugh-urteile/.
Der EuGH erklärt letztlich die Regelung des § 15 Abs. 3 TMG als EU-rechtwidrig. Der Bundesgerichtshof wird dies in seiner Entscheidung berücksichtigen und der deutsche Gesetzgeber wird das Telemedien-Gesetz wohl überarbeiten.
Wobei sich allerdings die Frage stellt, ob die datenschutzrelevanten Passagen des TMG angesichts der DS-GVO überhaupt noch Anwendung finden. Das Kapitel 9.4.2c des PrivazyPlan® jedenfalls hatten wir entfernt (mit Bezug auf eine Orientierungshilfe der deutschen Aufsichtsbehörden vom 05.04.2019).
Insofern besteht für alle Website-Betreiber Handlungsbedarf; insbesondere in Deutschland.
Unzulässig ist also ein allgemeines Cookie-Banner, welches einfach nur allgemein auf Cookies verweist und einen Widerspruch einräumt. So, wie auf der Website des EuGH. ;-)
Die Website-Betreiber dürfen sich wohl auch nicht darauf berufen, dass die Website-Besucher den Webbrowser dahingehend konfigurieren könnten, dass er Cookies verweigert bzw. ein "Do-Not-Track"-Signal sendet. Das alles entspricht nicht den Anforderungen an eine aktiv erteilte (und informierte) Einwilligung; siehe Artikel 4 Nr. 11 DS-GVO.
Unsere ausführliche Anleitung www.securedataservice.de/TMG-Widerspruch.htm ist damit wohl obsolet.
Dies sind die konkreten Entscheidungen des EuGH:
- Wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website. [Randnummer 52]
- Wie der Generalanwalt in Nr. 107 seiner Schlussanträge ausgeführt hat, soll diese Bestimmung damit den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind. [Randnummer 69]
- Wie der Generalanwalt in Nr. 115 seiner Schlussanträge hervorgehoben hat, müssen die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. [Randnummer 74]
Letztlich sind die Betreiber von Websites, Apps und allen anderen Internet-Geräten (Fernseher, Radios, ...) angesprochen: Wenn Cookies nicht erforderlich sind, dann ist eine informierte Einwilligung erforderlich.
Betrachtet man den Artikel 7 Abs. 1 DS-GVO, so muss eine Einwilligung konkret nachweisbar sein. Muss man also jede einzelne Einwilligung personenbeziehbar dokumentieren? Oder reicht es aus, wenn man einen Screenshot des Website-Sourcecodes revisionssicher dokumentiert, der beweist, dass ohne ein aktiv gesetztes Häkchen keine (unbedingt erforderlichen) Cookies genutzt werden? Wir werden es irgendwann erfahren.
Sollte die seit langem geplante ePrivacy-Verordnung von Brüssel beschlossen werden, so wird sich die Rechtslage vielleicht nochmal ändern. Allerdings hat der EuGH schon so viele datenschutzrelevante Urteile gesprochen, dass eine solche Verordnung in Brüssel vielleicht nicht mehr unbedingt notwendig erscheint.
Das BGH-Urteil
[Neu im Mai:] Am 28.05.2020 hat der BGH das Urteil (Az. I ZR 7/16) gesprochen (basierend auf dem obigen EuGH-Urteil). Es ist keine Überraschung, das auch hier ein vorab gesetztes Häkchen keine Einwilligung darstellt. (Überhaupt wundert man sich, wie diese trivial Fragestellung es schafft über den BGH bis zum EuGH zu schaffen, und somit hunderttausende Euro an Steuergeld verschwendet wurden.)
Desweiteren sieht der BGH den fraglichen § 15 Abs. 3 Satz 1 TMG als "gerade noch" EU-rechtskonform deutbar an. Das hat seinen Grund nicht in dem Wortlaut (denn der ist ganz offensichtlich EU-rechtswidrig). Vielmehr ist es das Beharren der Regierung, dass diese Regelung EU-rechtskonform sei. Und wenn die Regierung das so sieht - so die Richter -, dann kann man dem folgen.
=> Die Überraschung dieses Urteils ist: Der Gesetzgeber muss den Wortlaut des § 15 Abs. 3 Satz 1 TMG nicht anpassen, obwohl dieser im Wortlaut ganz offensichtlich EU-rechtswidrig ist. Viele tausend Website-Betreiber in Deutschland werden dieses Gesetz lesen und glauben, dass sie im Recht seien, wenn sie eine Widerspruchslösung einrichten. Die Diskussionen werden also nicht enden.
Auswirkungen
Den Tausenden von Werbe- und Tracking-Cookies droht das Aus. Welcher Website-Nutzer macht sich schon die Mühe und klickt aktiv die Werbe-Cookies frei?
Die Auswirkung dieses Urteils ist enorm:
- Im Internet wird nun noch intensiver auf Cookies hingewiesen und eine Einwilligung dringend erbeten. Das ist für die Website-Besucher ein Problem. Mal ganz ehrlich: Wer ist beim Surfen im Internet nicht von diesen Cookie-Bannern etc. genervt? Aufgrund dieses EuGH-Urteils wird das vermutlich noch schlimmer. Je penibler man sich an die Auflagen hält, desto genervter sind die Besucher. Das hat negative Auswirkungen auf die Besucherzahlen.
- Werbe- und Tracking-Cookies werden stark an Bedeutung verlieren, weil nur wenige Website-Besucher eine Cookie-Einwilligung erteilen. Ein großer Teil der Aufgaben von Webdesignern entfällt somit ersatzlos. Letztlich wird die Auswertung des Nutzerverhaltens erschwert. Die für eine Website-Optimierung dringend notwendigen Daten fehlen. Der Erfolg von Online-Kampagnen kann nicht mehr mit Klickzahlen belegt werden.
- Die anonymisierten Nutzungs-Statistiken (wie z.B. google Analytics und viele andere Tools) verlieren an Aussagekraft, weil die Statistiken nicht mehr repräsentativ sind. Zum Einen verringert sich die Datenmenge, zum Anderen ist der Kreis der Menschen, der die Cookies erlaubt, sicherlich nicht repräsentativ.
- Die Werbe-Einnahmen werden sinken. Manche Websites werden deswegen möglicherweise abgeschaltet. [Manchmal ist das auch kein bedauernswerter Verlust, denn inhaltsfreie Landingpages mit reinen Werbezwecken nerven sowieso.]
- Manche Website-Betreiber werden ihre Inhalte nicht ausliefern, wenn Werbe- und Tracking-Cookies nicht zuvor per Einwilligung erlaubt wurden. Dies nennt man "Cookie-Wall". Kann man Einwilligung auf diese Art erzwingen? Die Niederländische Aufsichtsbehörde verneint das (im PrivazyPlan® weisen wir im Rahmen des "Statusblatt zur Planung einer neuen Einwilligung" im Kapitel 12.4 darauf hin). Insofern ist das keine Lösung.
- Streng genommen müsste die Website nun erst einmal alle Cookies löschen, die (a) nicht erforderlich sind bzw. (b) nicht mit einer informierten und expliziten Einwilligung eingeholt wurden bzw. (c) [Neu im Mai] auf einem berechtigten Interesse gemäß Artikel 6 (1f) beruhen und angesichts einer Interessenabwägung als rechtens gelten.
Breite und systematische Überwachungen sind zu erwarten. Website-Betreiber können sicher sein, dass die Aufsichtsbehörden (und die Konkurrenz) jene Programme nutzen, die die Website automatisiert auf Cookies untersuchen. Auch Brüssel liefert eine Software. [Wir selbst überlegen eine solche Software demnächst systematisch zu nutzen... wir werden berichten.]
Dieses EuGH-Urteil ist eher kein unmittelbar anwendbares Recht. Erst einmal muss der BGH sein eigenes Urteil sprechen. Trotzdem sollten Website-Betreiber zügig reagieren. Die Aufsichtsbehörden werden nach dieser "neuen" Sachlage beurteilen (die aber nur die bestehenden Einschätzungen der Aufsichtsbehörden stützt - siehe oben).
Pauschal zulässig bleiben wohl weiterhin jene Cookies, die für den Betrieb der Website ERFORDERLICH sind (z.B. Sprachauswahl, Login und Warenkorb). Siehe Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG; leider ging der EuGH nicht auf dieses Thema ein (er wurde dazu auch nicht vom BGH gefragt).
Diese erforderlichen Cookies sind aber eher die Ausnahme. Der Website-Betreiber sollte in seiner Datenschutz-Unterrichtung auf jeden Fall ausführlich begründen, warum diese Cookies wirklich erforderlich sind. Andernfalls droht Ärger. Letztlich muss ein solches Cookie dann zur "Vertragserfüllung" im Sinne des Artikel 6 Abs. 1 lit. b DS-GVO erforderlich sein (wie beispielsweise ein Warenkorb-Cookie im Onlineshop).
Bei der Sprachauswahl der Website ist das hingegen schon wieder interpretationsfähig; möglicherweise kann man hier mit dem "berechtigten Interesse" im Sinne des Artikel 6 Abs. 1 lit. f DS-GVO argumentieren und müsste dann einen Widerspruch im Sinne eines Out-Out ermöglichen (bzw. "Do-Not-Track" berücksichtigen).
[Neu im Mai:] Im Einzelfall zulässig sind Cookies, die auf einem berechtigten Interesse gemäß Artikel 6 (1f) beruhen und angesichts einer Interessenabwägung als rechtens gelten. Hier sind die Diskussionen noch in vollem Gange und die Aufsichtsbehörden haben (bis Mai 2020) auch noch keine einheitliche (und ausführlich begründete) Richtung vorgegeben.
Fazit
Jetzt ist es amtlich: Das ohnehin umstrittene deutsche "Privileg" des § 15 Abs. 3 TMG entfällt. Für Werbe- und Tracking-Cookies bedarf es einer expliziten und informierten Einwilligung. Pauschale Cookie-Banner mit einem "Annehmen"- oder "Ablehnen"-Button sind bei dieser Art Cookies unzulässig; voreingestellte Einwilligungs-Checkboxen ebenso.
In Verbindung mit dem EuGH-Urteil zum facebook-Like-Button (wir berichteten) sind die sorglosen Zeiten für Website-Betreiber wohl vorbei. Das hemmungslose Einbinden von Dritt-Inhalten und Setzen von Werbe- und Tracking-Cookies ist kaum mehr möglich.
Ist dies ein Meilenstein? Beginnt jetzt eine neue Zeitrechnung? Fallen wir zurück auf die "simplen" Webseiten der 2000-er Jahre? Verliert die Digitalisierung an Fahrt? Ja, das ist in gewisser Sicht denkbar.
Entspricht dieses EuGH-Urteil dem Zeitgeist? Ja, absolut. Die Internet-Zunft hadert schon seit Längerem mit Werbeblocker-Addins in Webbrowsern (und geht gerichtlich dagegen vor). Die Menschen wollen einfach nicht "überwacht" werden. Das bemerken auch die Webbrowser-Hersteller (außer google chrome... warum wohl?) und verschärfen ihre Konfigurationsmöglichkeiten hinsichtlich der Cookies. Die Menschen wollen es so!
Unter dem dicken Strich lautet das Fazit: Der Datenschutz lebt! Es ist den Menschen eben NICHT egal, was mit ihren (Surf-) Daten passiert.
Der Datenschutz ist kein bürokratisches Hindernis, wie es die Politiker inzwischen gerne suggerieren (und die Benennungsgrenze von 10 auf 20 Beschäftigte anheben... wir berichteten). Nein, der Datenschutz gehört immer mehr zum eigentlichen Kerngeschäft: Zufriedene Kunden.
[UPDATE am 15.11.2019: Die deutschen Aufsichtsbehörden fordern einhellig die aktive und informierte Einwilligung zu Google Analytics. Siehe die NRW-Pressemeldung.]
[UPDATE am 29.05.2020: Das BGH-Urteil wird erwähnt. Einige Passagen wurden durchgestrichen. Das "berechtigte Interesse" an Cookies wird erwähnt.]
Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!
P.S. Dieses Thema wird in den nächsten Wochen sicherlich viel diskutiert. Neue Erkenntnisse werden wir hier (wie immer farblich markiert) publizieren. Schauen Sie doch später noch einmal vorbei!
© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.
