Ein Gastbeitrag von Martin Erlewein
Wenn Sie beim Surfen im Internet von ständig aufpoppenden, immer komplexeren Fenstern genervt sind, mit denen Sie um Ihre Zustimmung zur Verwendung von Cookies gebeten werden, dann sei Ihnen versichert: Nach dem anstehenden BGH-Urteil wird es wahrscheinlich noch schlimmer.
Insbesondere jene, die selbst Cookies verwenden, z.B. um statistische Auswertungen des Nutzerverhaltens auf ihren Webseiten zu erstellen, sollten sich den 28. Mai 2020 im Kalender anstreichen. An diesem Tag wird der BGH sein Urteil in Sachen „Planet49“ (Az. I 49 7/16) verkünden. Gegenstand dieses Verfahrens ist die Frage, ob und wie eine Einwilligung bei der Verwendung sogenannter Cookies erteilt werden muss.
Ein Cookie ist eine kleine Textdatei, die für nutzerfreundliche Funktionen einer Webseite erforderlich ist und im Endgerät des Nutzers gespeichert wird. Er kann jedoch auch z.B. zur Verfolgung des Surfverhaltens von Nutzern im Internet (sog. Tracking) und dem Aufbau von Nutzerprofilen eingesetzt werden, wenn der im Endgerät gespeicherte Cookie bei Aufrufen von Webseiten wiederholt abgerufen und ausgewertet wird.
Gilt die ePrivacy-Richtlinie für deutsche Cookies?
Der BGH hatte dem EuGH bereits 2017 vorab einige für das Urteil relevante Fragen zur Auslegung des einschlägigen Europarechts vorgelegt. Das Urteil des EuGH zu „Planet49“ am 1. Oktober 2019 war den meisten Medien eine ausführlichere Meldung wert. Aufgrund der üblichen Verkürzung der Zusammenhänge hieß es dort, der EuGH habe entschieden, Cookies dürften nun generell nur mit vorheriger Einwilligung des Nutzers verwendet werden. Tatsächlich hat der EuGH ‚lediglich‘ bestätigt, dass Cookies entsprechend Art. 5 Abs. 3 der europäischen ePrivacy-Richtlinie (RL 2002/58/EG) einer Einwilligung erfordern würden. Diese Regelung wurde durch die sog. Cookie-Richtlinie (RL 2009/136/EG) von 2009 in die ePrivacy-Richtlinie eingefügt, jedoch vom deutschen Gesetzgeber nie in nationales Recht umgesetzt. Der I. Senat des BGH bekräftigte aber am 30. Januar 2020 im letzten Verhandlungstermin vor der Urteilsverkündung noch einmal, dass er es für möglich halte, das das deutsche Recht entsprechend der Richtlinie ausgelegt und fortgebildet werden könne. In der Konsequenz dürfte dies heißen, dass der BGH für Cookies, für die die Richtlinie keine Ausnahme vorsieht, generell eine Einwilligung nach den Vorgaben der DSGVO fordern wird.
Oder ist die Zulässigkeit nur nach der DSGVO zu prüfen?
Damit steht die Ansicht des BGH gegen die Einschätzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die eine unmittelbare Anwendung der ePrivacy-Richtlinie verneint und stattdessen prüft, ob die mit Hilfe eines Cookies betriebene Verarbeitung personenbezogener Daten nach den Grundsätzen der DSGVO zulässig ist.
Für die meisten Cookies ergibt sich aus diesen widerstreitenden Ansichten keine abweichende Konsequenz. Wenn z.B. eine Kanzlei durch Google Analytics statistische Auswertungen der Nutzung ihrer Webseiten (sog. Reichweitenmessung) zwecks Optimierung ihres Online-Angebots durchführt, sieht die DSK hierin wegen der Weitergabe der Daten an den Analysedienst, der Daten auch webseitenübergreifend zusammenführt, eine einwilligungsbedürftige Verarbeitung. Eine Messung ohne Weitergabe von Nutzerdaten an Dritte, bei der die Datenverarbeitung also allein auf den Zweck der Messung beschränkt wird, wäre dagegen inklusive der verwendeten Cookies aufgrund des berechtigten Interesses an der Optimierung ohne Einwilligung zulässig. Urteilt der BGH wie erwartet, wäre seiner Meinung nach aber auch für diesen Fall eine Einwilligung des Nutzers erforderlich.
Wie geht es weiter?
Die Beratungen zur kommenden ePrivacy-Verordnung, die auch die Einwilligung zur Nutzung von Cookies neu regeln wird, gerieten Ende 2019 ins Stocken. Aktuell ist davon auszugehen, dass sie frühestens 2023/2024 unmittelbar anwendbar wird. Die Diskussion ist aber längst über die undifferenzierte Einwilligungspflicht der ePrivacy-Richtlinie hinaus. Im aktuellen Entwurf zur ePrivacy-Verordnung vom 21. Februar 2020 der kroatischen Ratspräsidentschaft findet sich z.B. in Erwägungsgrund 21a die Aussage, dass Cookies ein legitimes und nützliches Instrument sein können, u.a. auch für Reichweitenmessungen oder z.B. die Bewertung der Wirksamkeit von Online-Werbung.
Für die unklare Situation in Deutschland ist daher festzuhalten, dass die Analyse des Nutzerverhaltens und Erstellung von Profilen zu Werbezwecken mittels Cookies in jedem Fall eine Einwilligung voraussetzen muss. Dass aber auch Reichweitenmessungen oder z.B. die reine Abrechnung des Erfolgs von Online-Werbung wegen der Nichterteilung von Einwilligungen durch die Nutzer in jedem Fall kaum noch möglich sein sollen, geht auch unter Einbeziehung der Abwägung der betroffenen Interessen an der digitalen Realität vorbei.
Das Bundeswirtschaftsministerium hatte bereits für 2019 in Aussicht gestellt, einen Entwurf zur Änderung des Telemediengesetzes (TMG) vorzulegen, der das Online-Tracking regeln soll. Zu hoffen ist, dass diese Änderung nicht nur eine Übernahme der Leitsätze des EuGH-Urteils bedeutet, sondern unter Abwägung der Interessen der Beteiligten die Möglichkeit zur Gestaltung rechtlicher Vorgaben nutzt, die zumindest einige der nervigen Cookie-Banner entbehrlich machen.
Fazit: Websitebetreiber weiter in rechtlicher Grauzone
Das zu erwartende Urteil des BGH am 28. Mai 2020 wird zu weiterem Druck auf Websitebetreiber führen, sich durch die Einholung von Einwilligungen bei Verwendung von Cookies abzusichern. Es bleibt nur zu hoffen, dass der Gesetzgeber bei der überfälligen Überarbeitung des TMG Fingerspitzengefühl beweist und im Rahmen der Möglichkeiten Erleichterungen zulassen wird.
Martin Erlewein
Rechtsanwalt und Datenschutzbeauftragter,
Kanzlei Erlewein
Martin Erlewein ist Rechtsanwalt mit Tätigkeitsschwerpunkten im IT-Recht. Zu Beginn seiner Laufbahn arbeitete er fünf Jahre für die Wirtschaftsprüfungsgesellschaft KPMG und nutze dort die Gelegenheit auch noch den Steuerberatertitel zu erwerben. Von 2012 bis 2014 war er Geschäftsführer einer Konzerntochtergesellschaft zur Lizenzierung von Schutzrechten und KnowHow. Er berät als freier Rechtsanwalt Onlineshops, Publisher, Affiliates und Conversion-Optimierer vom Startup bis zum Exit. Zwangsläufig ergibt sich daraus ein tiefes Verständnis für die Strukturen des Onlinemarketings und die hier diskutierten rechtlichen Fragen. Als externer Datenschutzbeauftragter ist er für Unternehmen u.a. aus den Bereichen Netzinfrastruktur, Display Werbung und Retargeting tätig. Er veröffentlicht regelmäßig Artikel, hält Vorträge und leitet Workshops zum Datenschutz, ePrivacy und angrenzenden rechtlichen Themen.