Wenn im Online-Kontext von "Cookies" gesprochen wird, ist wohl mittlerweile dem Großteil der Nutzer bekannt, dass es sich dabei um kein Süßgebäck handelt. Die Rede ist von den kleinen Textdateien, die von der aufgerufenen Website an den Browser des Users übermittelt und im Anschluss auf dessen eigenem Rechner abgelegt werden. Einerseits können diese Dateien die gewöhnliche Nutzung einer Website erleichtern; zB damit ausgewählte Artikel im Warenkorb eines Online-Shops gespeichert werden. Andererseits sind Cookies ein beliebtes Tool, um das Nutzerverhalten von Websitebesuchern zu "tracken" und unter anderem anhand eines digitalen Fingerabdrucks zielgerichtete Werbung zu schalten. Solche Cookies werden beim Besuch der eigenen Website oft von Drittanbietern gesetzt. Bleibt ein Cookie nur für die jeweilige Browser-Sitzung bestehen, spricht man von sogenannten Session-Cookies. Persistente Cookies bleiben hingegen für einen längeren und grds im Vorhinein festgelegten Zeitraum gespeichert. Schon in der Vergangenheit bereiteten die kleinen Textdateien einige juristische Probleme und erzeugten Verunsicherung. Nun sorgte vergangene Woche ein Urteil des Gerichtshofs der Europäischen Union ("EuGH") zwar für mehr rechtliche Klarheit, stellt sich jedoch auch gegen die bislang im Großteil des EU-Raums vorherrschende Praxis und den expliziten Wortlaut mancher nationaler Umsetzungsbestimmungen. Die in der Entscheidung besprochenen Voraussetzungen gelten nicht für notwendige bzw essentielle Cookies, da diese einer Ausnahmeregelung unterliegen.
Ein deutsches Unternehmen veranstaltete auf seiner Website ein Gewinnspiel. Um an diesem teilzunehmen, mussten die Nutzer einige persönliche Daten angeben und zumindest eine von zwei Checkboxen anhaken (bzw angehakt lassen). Mit der ersten Box sollte die Einwilligung für Direktwerbung erteilt werden. Dieses Feld musste aktiv angeklickt werden, damit die Zustimmung erteilt wird. Die zweite Checkbox war bereits angeklickt und holte die Einwilligung zur Setzung von Cookies und Anwendung von Tools zur Analyse von Surf- und Nutzungsverhalten ein. Ein Verbraucherschutzverband empfand diese Art der Einwilligung als rechtswidrig und forderte den Website-Betreiber in Form einer Abmahnung zur Unterlassung dieser Geschäftspraktiken auf. Ein darauffolgender Rechtsstreit führte bis zum deutschen Bundesgerichtshof ("BGH"), welcher sich mit Auslegungsfragen zur Richtlinie 2002/58/EG idF 2009/136/EG ("e-Privacy-RL"), der Richtlinie 95/46/EG (Datenschutz-Richtlinie; "DSRL") und der Verordnung (EU) 29016/679 (Datenschutz-Grundverordnung; "DSGVO") an den EuGH wandte.
Als Vorfrage stellte der EuGH fest, dass in Anbetracht der zukünftigen Unterlassung der Tätigkeit sowohl DSRL als auch DSGVO zu berücksichtigen seien, obwohl die DSGVO erst nach der letzten mündlichen Verhandlung vor dem vorlegenden Gericht in Kraft trat.
Mit der ersten Vorlagefrage wollte der BGH wissen, ob die Einwilligung zur Speicherung und Verarbeitung von Cookies durch ein vorangekreuztes Kästchen den Vorgaben einer Einwilligung der e-Privacy-RL entspricht. Grundsätzlich sieht Art 5 Abs 3 e-Privacy-RL ausdrücklich vor, dass der Einsatz von Cookies eine Einwilligung des Nutzers erfordert, jedoch enthält die Bestimmung keine Angaben wie diese zu erfolgen hat. Aus den Erwägungsgründen der e-Privacy-RL geht hervor, dass die Einwilligung dieselbe Bedeutung wie die "Einwilligung der betroffenen Person" im Sinne der DSRL hat. Laut der DSRL muss es sich dabei um eine konkrete, informierte und freie Willensbekundung handeln. Das Erfordernis einer Willensbekundung indiziere ein aktives Tun des Nutzers, daher entspreche eine im Vorhinein angeklickte Checkbox nicht diesen Anforderungen. Der EuGH entschied auch, dass die Einwilligung nicht für den konkreten Fall erfolgte, weil eine Bestätigung der Teilnahme an dem Gewinnspiel kein Einverständnis mit der Verwendung von Cookies bedeute und nicht angenommen werden könne, dass der User die Bedingungen – die er durch das vorausgewählte Kästchen akzeptierte – gelesen habe. Im Lichte der DSGVO sei diese Auslegung erst recht zu befürworten. Es handle sich daher um keine wirksame Einwilligung iSd e-Privacy-RL. Dieses Ergebnis klingt wohl für Datenschutzexperten offensichtlich, jedoch wurde die Frage nach der wirksamen Einwilligung nun auch im Hinblick auf die e-Privacy-RL ausdrücklich ausgesprochen.
Besonders interessant war die Frage, ob es bei der Anwendung des Art 5 Abs 3 e-Privacy-RL zu Unterschieden führe, wenn bei der Verwendung von Cookies keine persönlichen Daten verarbeitet werden. Die oben beschriebene Einwilligung wäre auch nach den allgemeinen datenschutzrechtlichen Vorgaben (abseits der e-Privacy-RL) unwirksam gewesen, weil es sich laut dem Gerichtshof bei dem erfassten Nutzerverhalten um personenbezogene Daten handle. Der EuGH meinte dazu, dass Art 5 Abs 3 e-Privacy-RL den Nutzer vor Eingriffen in seine Privatsphäre schützen wolle, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen seien. Erwägungsgrund 24 der e-Privacy-RL stelle klar, dass auf Endgeräten von Nutzern gespeicherte Informationen Teil der Privatsphäre seien. Dieser Schutz gelte für alle gespeicherten Informationen und insbesondere für "Hidden Identifiers" oder ähnliche Instrumente, die ohne Wissen der Nutzer in deren Endgeräte eindringen. Im Ergebnis ist nach der Rechtsansicht des EuGH mit Blick auf die e-Privacy-RL für sämtliche Informationen, die auf dem Gerät des Users gespeichert werden sollen oder für den Zugriff auf Informationen, die darauf bereits gespeichert sind, eine Einwilligung einzuholen.
Generell müsse der Nutzer durch die zu erteilenden Informationen in die Lage versetzt werden, die Konsequenzen einer etwaigen Einwilligung leicht abschätzen zu können und volle Kenntnis von der Sachlage zu erhalten. Die Informationen müssten daher klar und verständlich erklären, wie die verwendeten Cookies funktionieren, wer Zugriff auf die Daten erhält und wie lange sie gespeichert bleiben. Die Funktionsdauer werde zwar nicht in der Auflistung der wesentlichen Informationen des Art 10 DSRL genannt, jedoch sei diese Aufzählung nicht abschließend. Die Angabe der Funktionsdauer der Cookies sei jedoch gemäß dem Grundsatz der Datenverarbeitung nach Treu und Glauben im konkret besprochenen Fall notwendig. Zusammenfassend entschied der EuGH in diesem Punkt, dass sowohl die Funktionsdauer der Cookies, als auch wer darauf zugreifen kann, wesentliche Informationen darstellen, die dem Website-User zu erteilen sind.
In Österreich wurde die "Cookie-Bestimmung" der e-Privacy-RL in § 96 Abs 3 Telekommunikationsgesetz ("TKG") umgesetzt. Den Gesetzesmaterialien zu § 96 Abs 3 TKG ist zu entnehmen, dass eine Einwilligung auch durch die "Einstellung eines Browsers ausgedrückt werden kann". Ob dieser in der Zukunft seinen Weg in den finalen Verordnungstext findet, bleibt abzuwarten.
Max Königseder
Mehr zur Einwilligung zu Direktwerbung https://sv.law/direktwerbung-und-dsgvo.
Feiler/Horn, Umsetzung der DSGVO in der Praxis (2018) 99.
Feiler/Horn, Umsetzung der DSGVO in der Praxis (2018) 99; Art 9 Abs 2 Entwurf der e-Privacy-Verordnung, KOM (2017) 10.
