Cookie-Hinweis: Mode oder Pflicht?

Update vom 1.10.2019: Dieser Artikel ist aufgrund der Rechtsprechung des EuGH überholt. Die Neuerungen habe ich inhaltlich eingearbeitet, um das Urteil in den Kontext der bisherigen Rechtslage zu setzen.

Hier der Artikel:

Sowohl auf glamourösen Shopsites, als auch bei Gamesanbietern und Agenturen poppen neuerdings nervige Kästen auf und informieren über die Verwendung von Cookies. Auf dem Smartphone verdecken sie oft den halben Bildschirm. Muss das sein?

In der Regel nicht. (edit: jetzt ja.)

Kurz zur Geschichte: Die EU hat schon 2009 die sogenannte „Cookie-Richtlinie“ erlassen, nach deren Wortlaut Website- und App-Nutzer der Verwendung von Cookies aktiv zustimmen müssen, bevor diese Technik eingesetzt werden darf (“Opt-In”). Deutschland hat die Richtlinie allerdings nie in nationales Recht umgesetzt. Das heißt, sie gilt hier nicht. Trotzdem muss auch nach Deutschem Recht in den Datenschutzbestimmungen möglichst detailliert auf die Verwendung und den Zweck von Cookies (und diversen anderen Informationen) hingewiesen werden. Das ist nicht neu.

Im Moment herrscht unter den Experten andauernder Streit, wie die Cookie-Richtlinie zu verstehen ist. Die europäischen Länder haben deshalb auch unterschiedliche nationale Regeln getroffen – gerade das sollte mit der EU-Richtlinie geändert werden. Deshalb wird die EU in mittelfristiger Zukunft eine neue Richtlinie, vielleicht sogar eine sofort geltende Verordnung erlassen, die Klarheit schafft. Darüber wird auf Europa-Ebene bereits diskutiert. Letzteres könnte der Grund sein, warum nun die Wirtschaft selbst Druck macht: Ausgerechnet Google hat es zu Ende September 2015 vertraglich zur Pflicht gemacht, dass sich seine Kunden an die Cookie-Richtlinie halten müssen. Vielleicht, um eine strenge gesetzliche Neuregelung zu vermeiden?

Diese vertragliche (nicht gesetzliche) Google-Pflicht gilt allerdings nur für “Google-Produkte wie Google AdSense oder DoubleClick for Publishers” (Quelle).  Sie gilt nicht für Google Analytics, das bedeutsamste Google Tool im Marketing. Eine Ausnahme gilt, wenn die spezielleren Google Analytics-Werbefunktionen aktiviert wurden. Diese sind aber nicht Teil des gewöhnlichen Google Analytics. Also nur bei Verwendung der Werbefunktionen muss die Richtlinienanforderungen für Google Analytics-Werbefunktionen von Google befolgt werden. Auch hierbei handelt es sich um eine vertragliche Verpflichtung.

Aber was bedeutet diese Verpflichtung gegenüber Google eigentlich genau?

1. Bei der Verpflichtung durch Google handelt es sich um privates Recht. Es besteht keine Gefahr der Abmahnung durch Dritte. EDIT: Auch nicht durch Verbraucherzentralen, die hierzu seit Februar 2016 im Stande wären.
2. Ob die Verpflichtung wirksam vereinbart ist, ist im Einzelfall zu prüfen und nicht selbstverständlich.
3. Wenn die Pflicht gegenüber Google besteht, muss sich der Nutzer des Google Dienstes an die Cookie-Richtlinie halten. Aus meiner Sicht allerdings eine Selbstverständlichkeit:

Nicht wenige Experten inkl. der Bundesregierung sind nämlich der Auffassung, dass das deutsche Datenschutzrecht sowieso schon die Anforderungen der EU-Richtlinie erfüllt. Dann wäre auch nach Googles Verpflichtung kein zusätzliches Handeln erforderlich.

Entnommen wird dies Erwägungsgrund Nr. 66) zur Cookie-Richtlinie. Dort heißt es, dass die Einwilligung des Nutzers unter Umständen „auch über die Handhabung der entsprechenden Einstellungen des Browsers oder einer anderen Anwendung ausgedrückt werden“ kann. Weiter wird dort klar gestellt, dass eine Einwilligung nicht eingeholt werden muss, soweit eine Speicherung unverzichtbar ist, um die Nutzung eines Dienstes überhaupt erst zu ermöglichen. Mit anderen Worten: Der Nutzer kann in seinem Browser selbst einstellen, ob er Cookies möchte, oder nicht. Die Bundesregierung findet, das erfülle bereits die Cookie-Richtlinie. Also ist auch Googles vertraglich auferlegte Verpflichtung erfüllt, sich an die Richtlinie zu halten. Kritiker bemängeln, dass der Nutzer über seinen Browser nur ein “Opt-Out” betreiben könne (sofern die Browsereinstellung standardmäßig “Cookies an” ist), was der Richtlinie nicht genüge. Richtig ist, dass dem Nutzer durch eine generelle Einstellung im Browser keine Möglichkeit bleibt, Einzelfallentscheidungen zu treffen. Andererseits bleibt es ihm auch erspart, diese Wahl auf jeder Internetseite treffen zu müssen. Zusammengefasst lässt (edit vom 1.10.2019: ließ) sich mit der Bundesregierung gut vertreten, dass mit der Möglichkeit, Cookie-Einstellungen im Browser zu treffen, der Richtlinie und Googles vertraglichen Anforderungen bereits entsprochen ist.

Update vom 1.10.2019: In einem Rechtsstreit zwischen einen Deutschen Glücksspielanbieter und einer Verbraucherschutzgesellschaft, der bis zum BGH ging, hat letzterer dem EuGH mehrere Fragen zur Entscheidung vorgelegt. Die Antworten des EuGH sind zur Entscheidung des Rechtsstreits erforderlich, der zum jetzigen Zeitpunkt noch nicht abgeschlossen ist.

Verkürzt lauten die Fragen:

1. Handelt es sich um eine wirksame Einwilligung in das Setzen oder auslesen von Informationen wie Cookies, wenn dies  durch ein voreingestelltes Ankreuzkästchen erlaubt wird?

2. Ergibt sich ein Unterschied, je nachdem, ob es sich bei diesen Informationen um personenbezogene Daten handelt, oder nicht?

Der EuGH hat zunächst festgestellt, dass nationale Regelungen im Licht des Unionsrechts auszulegen sind. Damit hat er der Deutschen Opt-Out Lösung des TMG eine deutliche Absage erteilt.

Gleichzeitig hat er anscheinend, ohne dies ausdrücklich anzusprechen, den Vorrang der ePrivacy-Richtlinie als speziellerer Regelung gegenüber der DSGVO angenommen. Deshalb kam es im Rahmen der Entscheidung insbesondere nicht auf das “berechtigte Interesse” aus Art. 6 1 f DSGVO an.

Vor diesem Hintergrund hat er in Auslegung der Richtlinie entschieden, dass eine Einwilligung aktiv erfolgen muss. Ein bereits gesetztes Häkchen genügt nicht. Die Einwilligung muss zudem für den konkreten Fall erfolgen. Mit letzterer Feststellung ist auch klar, dass die Browser-Voreinstellung diesem Kriterium nicht genügen würde. Die Ausführungen sind nach meinem Dafürhalten überzeugend.

Die zweite Frage wird demgegenüber sehr knapp abgebügelt. Das Vorgesagte gilt unabhängig davon, ob die Informationen Personenbezug haben, oder nicht. Damit sind also nicht nur Cookies unzulässig, die eine Zuordnung zu einer bestimmten Person ermöglichen, sondern generell jede Speicherung von Informationen oder Zugriff auf Informationen vom Endgerät des Nutzers. Die ausgesprochen knappe Begründung erscheint vordergründig und nicht unbedingt überzeugend. Sie geht allein auf den Gesetzeswortlaut der ePrivacy-Richtlinie aus 2002 zurück, wo kaum nach unterschiedlichen Daten differenziert worden sein dürfte. Allerdings, auch die für 2020/21 geplante ePrivacy-Verordnung wird nach aktuellem Stand einen ähnlichen Regelungsgehalt aufweisen.

Ferner hat sich der EuGH dazu geäußert, welche Informationen dem Nutzer zur Verfügung gestellt werden müssen, damit er eine Einwilligung im Sinne der oben genannten Kriterien treffen kann.

Fazit: Vor der Nutzung von Cookies und anderen “hidden Identifiers” ist eine aktive Einwilligung einzuholen und zwar unabhängig davon, ob es sich dabei um personenbezogene Daten handelt. Auf ein berechtigtes Interesse im Sinne der DSGVO kommt es nicht an, da diese nachrangig hinter der ePrivacy-Richtlinie steht. Eine Ausnahme bilden nur solche Cookies, die für den Betrieb der Seite technisch erforderlich sind. Da im Übrigen diverse Informationen bereit gestellt werden müssen, kommen als praktikable Lösung wohl allein komplexe Cookie-Banner in Betracht. Ob uns als Nutzern damit wirklich geholfen ist, steht auf einem anderen Blatt. Jedenfalls ist dies die europäische Rechtslage.

Hier geht’s mit dem “alten” Beitrag weiter:  

Etwas komplizierter wird das Ganze allerdings, wenn die Website oder App Auslandsbezug hat. Das ist schon dann der Fall, wenn Nicht-Deutsche Europäer die Website “bestimmungsgemäß” (*) besuchen. Denn dann muss möglicherweise auch das Datenschutzrecht desjenigen Landes eingehalten werden, aus dem der Besucher kommt. Das ist eigentlich eine Selbstverständlichkeit und gilt auch für Nicht-EU Länder wie die Schweiz oder die USA. Allerdings haben die europäischen Länder die Cookie-Richtlinie teilweise in nationales Recht umgesetzt und dabei den “Opt-In” Gedanken übernommen. So zum Beispiel Österreich, Frankreich, Niederlande und Dänemark. Selbst, wenn man mit seiner Datenschutzerklärung in Deutschland auf der sicheren Seite sein mag, ist man in diesen Ländern also potentiell gefährdet, Datenschutzrecht zu verletzen. Ob dies wirklich der Fall ist, müsste womöglich der Europäische Gerichtshof entscheiden und ist heute nur schwierig abzusehen. Du muss dich allerdings fragen, wie hoch die Wahrscheinlichkeit ist, dass eine europäische Datenschutzbehörde ausgerechnet deine Website oder App auswählt, um dieses politische Thema vor den EUGH zu bringen…

(*) Bestimmungsgemäß bedeutet, dass sich das Angebot an Besucher aus diesem Land richten muss, wobei die Sprache ein wichtiger Indikator ist. Der BGH hält es allerdings für machbar, in einem Disclaimer deutlich zu regeln, dass sich ein Angebot nicht an Besucher aus bestimmten Regionen richte.

Um an dieser Stelle zu verdeutlichen, wie unklar die Rechtslage aktuell ist, verweise ich auf eine Verwaltungsstreitsache zwischen Facebook und dem Hamburger Datenschutzbeauftragten. Dort hat das Oberverwaltungsgericht beschlossen, es komme auf die Auslegung der EU-Datenschutzrichtlinie an. Nach dem gegenwärtigen Stand der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) sei nicht geklärt, ob die EU-Datenschutzrichtlinie es erlaube, dass der Datenschutzbeauftragte aufgrund nationaler Regelungen (hier DE) gegen die in Irland ansässige Antragstellerin mit hoheitlichen Mitteln vorgehen dürfe. Eine ähnliche Frage dürfte sich also stellen, wenn beispielsweise eine französische Datenschutzbehörde ein deutsches Unternehmen wegen Datenschutzfragen angreifen würde.

Fazit (edit: überholt durch die Entscheidung des EuGH vom 1.10.2019):

Aus meiner Sicht sind kleine und mittelständische Unternehmen, die nur in Deutschland agieren (sprich, die nur auf Deutsch veröffentlichen) nicht gefährdet. Wilde Cookie-Popups mit Opt-In halte ich für unnötig und – wem sage ich das – sie schädigen mutmaßlich auch das Geschäft. Wird auch in anderen europäischen Sprachen veröffentlicht, könnte das geringe Risiko bestehen, dass ein Verstoß gegen nationales Datenschutzrecht gesehen wird, da teilweise ein “Opt-In” als Reflex auf die Cookie-Richtlinie eingeführt wurde. Wie die Richtlinie allerdings auszulegen ist, ist umstritten. Gegebenenfalls verstößt das nationale Recht gegen Europarecht. Diesen Rechtsstreit will man nicht führen – das gilt allerdings mutmaßlich auch für potentielle Kläger.

In jedem Fall ist es nach wie vor notwendig, eine saubere, ausführliche und zutreffende Datenschutzerklärung anzubieten. Damit müsste auch den neuen Google-Verpflichtungen Genüge getan sein – zumindest in Deutschland. Denn Google verlangt nicht mehr als die Einhaltung des sowieso geltenden Rechts.

Handlungsbedarf entsteht aus meiner Sicht erst dann, wenn Google aktiv wird und die Umsetzung der vertraglichen Pflicht anmahnt, oder wenn sich eine allgemeine Rechtsmeinung herausbilden sollte, dass das Deutsche Datenschutzrecht nicht der Cookie-Richtlinie entspricht. Bis dahin halte ich alle dringlichen Empfehlungen für aktionistisch. Es könnte allerdings ein guter Anlass sein, seinen Datenschutz im Allgemeinen unter die Lupe zu nehmen.

Wer trotzdem auf Nummer sicher gehen will, findet auf der Google-Seite cookiechoices.org eine ausführliche Anleitung, wie die Einwilligung technisch eingeholt werden kann. Da der Text der Einwilligung davon abhängt, wie Cookies eingesetzt und welche Daten genau erhoben werden, empfiehlt Google, Rat eines Anwalts einzuholen.

Andere lesenswerte Auffassungen zum Thema habe ich hier zusammengestellt:

• http://rechtsanwalt-schwenke.de/google-macht-cookie-hinweise-zur-pflicht-handlungsempfehlung-fuer-website-und-appanbieter/
• http://blog-it-recht.de/2015/09/14/eu-cookie-richtlinie-das-ist-der-aktuelle-handlungsbedarf-wenn-sie-einen-shop-betreiben/
• http://www.shopbetreiber-blog.de/2015/10/02/cookie-richtlinie/
• http://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html
• http://www.it-recht-kanzlei.de/google-cookie-hinweis.html