EuGH zum Datenschutz: Coo­kies nur mit Ein­wil­li­gung?

Wenn der Europäische Gerichtshof (EuGH) am Dienstag über eine Klage des Bundesverbandes der Verbraucherzentralen gegen den Gewinnspielanbieter Planet49 entscheidet (Az. C-673/17), steht der nächste Grundpfeiler des Internets zur Disposition: Denn die auf vielen Seiten genutzten "Cookies" – kleine Textdateien zur Erkennung von Nutzern – könnten jedenfalls in der bisherigen Form für rechtswidrig erklärt werden. Auch Cookie-Banner nach bisher üblicher Machart wären nicht mehr erlaubt.

Cookies enthalten individuell vergebene Kennungen, die in erster Linie einer Wiedererkennung eines bestimmten Endgerätes dienen. So sorgen sog. Session-Cookies beispielsweise dafür, dass sich der Nutzer in einem Online-Shop nicht auf jeder besuchten Artikelseite immer wieder neu einloggen muss. Der Online-Shop kann sich mittels des Session-Cookies den einmal erfolgreichen Login eines bestimmten Endgerätes für die Dauer des Besuches "merken".

Entgegen landläufiger Meinung enthalten die Cookies selbst häufig keine oder keine nennenswerten Informationen. Allerdings nutzen große Tracking-Anbieter, wie z. B. Google Analytics, Cookies, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise dessen Surfverhalten zentral zu erfassen. Nach Auffassung des EuGH-Generalanwaltes dürfen solche Cookies nur gesetzt werden, wenn der Nutzer vorher aktiv durch Setzen eines Häkchens einwilligt.

Vorausgewähltes "Häkchen" keine Einwilligung

Im Fall vor dem EuGH geht es um eine Gewinnspielregistrierung, bei der der Nutzer eine Einwilligungserklärung zum Setzen und Auswerten von Cookies abgegeben sollte. Allerdings war der Text mit einem voreingestellten Häkchen bereits angewählt. Dieses musste der Nutzer ggf. deaktivieren, bevor er auf den unter dem Feld befindlichen Teilnahme-Knopf drückte.

Der Generalanwalt sah die Sache eindeutig: Gemessen an den europarechtlichen Vorgaben sei dies keine taugliche Einwilligung. Denn eine solche setze nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) eine aktive Handlung des Nutzers voraus. Wer das Häkchen nicht selbst setzt, willige eben nicht aktiv ein. Auch der Klick auf den Teilnahme-Knopf stelle keine aktive Erklärung des darüber angezeigten Einwilligungstextes dar. Denn mit dem Klick wolle der Nutzer am Gewinnspiel teilnehmen und nicht eine Einwilligung erklären.

Was sich auf den ersten Blick nachvollziehbar liest, birgt allerdings Zündstoff. Denn tatsächlich nutzen fast alle Webseiten Cookies, und die wenigsten holen eine diesen Maßstäben genügende Einwilligung ein. Zwar trifft man allerorten auf sog. "Cookie-Banner" – allerdings genügt kaum eine Webseite den vom Generalanwalt formulierten Vorgaben.

Cookie-Richtlinie nicht korrekt umgesetzt

Dies hat zwei Ursachen: Einerseits bestanden nach den Vorschriften des bereits seit 2007 geltenden Telemediengesetzes (TMG)  – zumindest bisher – gute Argumente dafür, dass derartige Einwilligungen rechtlich nicht notwendig sind. Zum anderen war auch die bisherige Rechtsprechung in Deutschland in Bezug auf vorangekreuzte Einwilligungsfelder großzügiger, so dass die Website-Anbieter keinen Handlungsbedarf gesehen haben.

Dabei stammt das Einwilligungserfordernis aus der sog. "Cookie-Richtlinie" aus dem Jahre 2009. Dabei handelt es sich um europäische Rahmenvorgaben, die vom Gesetzgeber bis Mitte 2011 in nationales Recht umzusetzen waren. Danach ist die Speicherung von Informationen auf dem Endgerät eines Nutzers nur gestattet, wenn dieser seine Einwilligung gegeben hat (sog. "opt-in").

Bis heute hat Deutschland jedoch keine Bemühungen unternommen, diese Vorgabe in nationales Recht umzusetzen. Vielmehr gingen sowohl die schwarz-gelbe Regierung als auch die Große Koalition davon aus, dass die Regelung des Telemediengesetzes den Anforderungen der Cookie-Richtlinie genügt.

Das TMG erlaubt jedoch schon die pseudonymisierte Profilbildung mittels Cookies, solange der Nutzer nicht widersprochen hat (sog. "opt-out"). Auf den offensichtlichen Widerspruch zwischen dieser Regelung und der europäischen Vorgabe wurde zwar vielfach hingewiesen, trotz einiger Gesetzentwürfe blieb das TMG jedoch unverändert. Sowohl Bundesregierung als auch Europäische Kommission waren noch 2014 der Meinung, dass das deutsche Recht die europäischen Vorgaben zutreffend umsetzt. Dem tritt der Generalanwalt nun mit guten Argumenten entgegen.

Dabei spielt die seit Mai 2018 geltende DSGVO eine erhebliche Rolle: Denn während nach altem Datenschutzrecht – so attestierte es jedenfalls der Bundesgerichtshof dem Anbieter Payback in einer vielbeachteten Entscheidung aus dem Jahre 2008 (BGH, Urt. v. 16.07.2008, Az. VIII ZR 348/06) – eine Einwilligung auch mittels vorangekreuzter Felder möglich war, regelt die DSGVO nun das genaue Gegenteil: "Bereits angekreuzte Kästchen" stellen demnach ausdrücklich keine Einwilligung mehr dar, so ist es in Erwägungsgrund 32 geregelt.

Einwilligung mit Fallstricken

Die Vorgaben sind somit relativ klar, und es steht zu erwarten, dass der EuGH den Vorschlägen des Generalanwaltes folgen wird. Doch was folgt daraus für die Praxis? Jedenfalls keine Entwarnung für diejenigen Webseiten, die schon "Cookie-Banner" eingebunden haben, lautet die kurze Antwort. Denn solche Cookie-Banner sind häufig so gestaltet, dass sie mittels eines einzelnen Buttons "weggeklickt" werden können – ein von vielen Nutzern mittlerweile gut eingeübter Reflex, um die darunterliegende eigentliche Webseite sichtbar zu machen.

Kaum ein Nutzer liest – soweit überhaupt vorhanden – die im Banner eingeblendeten Hinweistexte. Und die wenigsten Banner fordern dem Nutzer das aktive Setzen von Häkchen ab, womöglich noch getrennt für die diversen Arten von Cookies, die viele Seiten verwenden. Noch viel problematischer: Solange eine Einwilligung nicht erteilt ist, dürfen keinerlei Cookies gesetzt werden. Dies halten die wenigsten Seiten mit Cookie-Banner ein.

Aber auch diejenigen Anbieter, die Cookie-Banner ordnungsgemäß implementieren, werden sich mit Folgeproblemen herumzuschlagen haben. Denn zum einen stehen teils nur unzureichende Informationen für Cookies von Drittanbieter wie Google zur Verfügung. Eine wirksame Einwilligung scheitert dann womöglich an dem Erfordernis, dass der Nutzer bei Erteilung über alle wesentlichen Umstände informiert sein muss.

Zum anderen stellt es ein noch völlig ungelöstes Problem dar, wie ein Webseitenbetreiber mit dem – jederzeit zulässigen – Widerruf von Einwilligungen umgehen soll. Denn da der Webseitenbetreiber die Namen der Besucher normalerweise nicht kennt, wäre es praktisch unmöglich, einen beispielsweise per E-Mail eingehenden Widerruf zuzuordnen. Zwar gelten bestimmte datenschutzrechtliche Betroffenenrechte nicht, wenn der Verantwortliche die Personen nicht identifizieren kann. Die Ausnahme greift aber nicht für den Widerruf von Einwilligungen.

Wenngleich die Sichtweise des Generalanwaltes nachvollziehbar ist und der EuGH ihr mit hoher Wahrscheinlichkeit folgen wird, lässt sich ein unguter Trend erkennen: Schon eine im Juli ergangene Entscheidung des EuGH zum Facebook-Like-Button (EuGH, Urt. v. 29.07.2019, Az. C-40/17) lässt befürchten, dass dem Nutzer künftig für die Anzeige von Drittinhalten wie Wettervorhersagen oder Börsenticker jeweils eigene Einwilligungen abverlangt werden. Kommen die Cookie-Einwilligungen hinzu, führt dies zu Webseiten, die ihren eigentlichen Inhalt erst nach einer erheblichen Anzahl von zusätzlichen Klicks preisgeben. Ob dies im Sinne der Nutzer ist, darf getrost bezweifelt werden. Denn nach Untersuchungen interessieren sich weniger als ein Prozent aller Besucher für datenschutzrechtliche Hinweistexte.

Der Autor Jens Nebel, LL. M., ist Fachanwalt für IT-Recht und Partner bei Kümmerlein Rechtsanwälte & Notare in Essen. Er berät Unternehmen schon seit 2005 zum Datenschutzrecht und ist ein kritischer Kommentator der datenschutzrechtlichen Entwicklungen des vergangenen Jahrzehnts.