BGH-Entscheidung lässt - wie häufig – Fragen offen
Hier nun gleichwohl der Versuch einer Zusammenfassung der Ansprüche an die derzeit geforderte datenschutz-rechtlich wirksame Einwilligung
Die Entscheidung des BGH in dem Verfahren des Bundesverbands der Verbraucherzentralen (vzbv) gegen die als Adresshändler und Gewinnspielbetreiber tätige Planet49 GmbH ist gerade in Bezug auf die datenschutzrechtlichen Ausführungen von Bedeutung. Das Gericht hat im Anschluss an eine richtlinienkonforme Auslegung von § 15 Abs. 3 TMG entsprechend den Vorgaben von Art. 5 Abs. 3 ePrivacy-RL festgestellt, dass § 15 Abs. 3 TMG neben der seit dem 25.5.2018 geltenden DSGVO anwendbar ist. Klingt unspektakulär, führt aber zu folgenden Ergebnissen:
Klargestellt wird durch die Entscheidung, dass für den Einsatz von Cookies und anderen Tracking-Technologien eine datenschutzrechtliche Einwilligung erforderlich ist, die den Anforderungen gem. Art. 4 Nr. 11 und Art. 7 DSGVO entsprechen muss.
Nach Ansicht des BGH stellt ein voreingestelltes Ankreuzkästchen in einem Cookie-Fenster auf einer Webseite keine wirksame datenschutzrechtliche Einwilligung dar. Dies ist wenigstens einmal eine konkrete Feststellung.
Die sich hieran anschließende seitenlange, nicht einmal für alle Juristen spannende akademische Diskussion überspringe ich einmal und konzentriere mich auf die Konsequenzen der Entscheidung und die praktischen Handlungsempfehlungen zu der Frage, wie eine wirksame Einwilligung für den Einsatz von Cookies auszusehen hat oder: was muss ich tun, um die zu bekommen:
Da Einwilligungen für den Einsatz von Cookies auf Webseiten über einen sog. Cookie-Banner oder – mittlerweile immer häufiger – über ein Consent-Management-Tool mit Cookie-Fenster eingeholt werden, stehen vor allem die folgenden Anforderungen im Fokus:
Zeitpunkt der Einwilligungsabgabe:
Eine Einwilligung muss vor der Datenverarbeitung erteilt werden.
Umfang, Darstellung und Zeitpunkt der Informationen für eine informierte Einwilligung:
Immer wieder ist in Cookie-Fenstern zu lesen, dass Cookies dazu dienen würden, „für Sie die Webseite optimal zu gestalten und zu verbessern“ und „Ihr Surferlebnis zu verbessern“, oder „für Webanalyse und Werbemaßnahmen“ und „für Marketing, Analytics und Personalisierung“ eingesetzt werden. Informationen werden an „Partner“ weitergegeben, die „diese Informationen möglicherweise mit weiteren Daten zusammenführen“. Diese beispielhaften Formulierungen sind insbesondere unzureichend, wenn auf der Webseite Cookies für das Nutzertracking eingesetzt, durch den Betreiber der Webseite oder einen eingebundenen Drittdienstleister Nutzerprofile erstellt sowie die Daten zu Marketingzwecken – individualisierte Werbeeinblendung auf der Webseite sowie Real-Time-Binding – verwendet werden. Eine informierte Einwilligung erfordert in diesem Fall, die Zwecke der Verarbeitung konkret zu erläutern, insbesondere darauf hinzuweisen, wenn individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden. Werden Drittdienstleister eingebunden, sind diese zu benennen. Und auch: Fehlt der Hinweis auf das Widerrufsrecht, ist ebenfalls von einer unwirksamen Einwilligung auszugehen.
Im Zusammenhang mit dem Einsatz eines Consent-Tools ist diese Information bereits auf der ersten Ebene des Cookie-Fensters erforderlich. Es reicht nicht aus, dass sich in diesem ein Link auf die Datenschutzerklärung befindet, die dann – entsprechend den Vorgaben von Art. 13 Abs. 2 lit. c DSGVO – einen Hinweis auf das Widerrufsrecht enthält.
Insgesamt droht bei Nicht-Einhaltung der Vorgaben die Unwirksamkeit der Einwilligung, auch wenn die Informationen „nur“ unvollständig, missverständlich oder faktisch nicht mit der technischen Implementierung auf der Webseite übereinstimmen und somit falsch sind.
Eindeutige bestätigende Handlung des Nutzers:
Die Einwilligung ist als eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu erteilen. Auf einer Webseite werden Einwilligungen generell in Form einer eindeutigen bestätigenden Handlung abgefragt. Erwägungsgrund 32 S. 2 DSGVO führt hierzu aus, dass dies im Internet „durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen [kann], mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. In der Consent-Guideline des EDSA wird ergänzend klargestellt, dass ein Weiterscrollen selbst bei einem diesbezüglichen ausdrücklichen Hinweis nicht als eindeutige bestätigende Handlung bewertet werden kann. Für den Nutzer muss mit dem Mausklick ein eindeutiger Erklärungsinhalt verbunden sein. Es finden sich z.B. immer noch Cookie-Fenster mit lediglich einem „Okay-Button“. Auch die Bezeichnung „Zustimmen“ oder „Ich willige ein“ kann im Einzelfall nicht ausreichend sein, wenn aus dem Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt wird. Häufig müssen Webseitennutzer zunächst ein integriertes Drop-Down-Fenster öffnen, um Detailinformationen über die Cookies zu erhalten und zu sehen, welche Voreinstellungen gesetzt sind. Die Bezeichnung und auch die Darstellung der Schaltfläche insbesondere im Vergleich zu der Schaltfläche, durch die die Einwilligung verweigert werden kann, sind bei der Bewertung maßgeblich.
Freiwilligkeit der Einwilligung:
Häufiger treten Formen des sog. Nudging auf. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Die Verhaltensbeeinflussung kann grundsätzlich im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. In Cookie-Fenstern ist die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option durch Farbe, Schriftschnitt und sonstige Hervorhebungen auffälliger gestaltet, z.B. der Button „Zustimmung“ in Grün mit weißer Fettschrift und der „Ablehnen“-Button in Grau mit weißer Standardschrift. Der Prozess des Ablehnens ist in vielen Fällen unnötig kompliziert. Es kann zwar auf der ersten Ebene des Consent-Tools die Einwilligung durch einen Klick auf die entsprechende Schaltfläche erteilt werden, es fehlt aber eine äquivalente Schaltfläche, um die Einwilligung abzulehnen. Hierfür ist es dann notwendig, erst die Cookie-Einstellungen zu öffnen, in manchen Fällen vorangekreuzte Häkchen zu deaktivieren und die weitere Schaltfläche „Einstellungen speichern“ zu klicken. Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, bestehen noch unterschiedliche Auffassungen, ob hierin ein Verstoß gegen die Anforderung der eindeutigen bestätigenden Handlung, die Freiwilligkeit, den Transparenzgrundsatz oder gegen den Grundsatz von Treu und Glauben zu sehen ist. Fest steht allerdings, dass einem rechtskonformen Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.
Widerruflichkeit der Einwilligung:
Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein muss. Wird die Einwilligung unmittelbar bei der Nutzung der Webseite erteilt, muss auch deren Widerruf auf diesem Weg möglich sein. Nicht den Vorgaben entsprechen ausschließliche Widerrufsmöglichkeiten über andere Kommunikationswege wie E-Mail, Anruf, Fax oder sogar einen Brief. Auch die Nutzung eines Kontaktformulars ist kritisch zu sehen, da in diesem Fall zwar derselbe Kommunikationsweg verwendet wird, aber die Anforderungen deutlich höher sind als bei der Erteilung der Einwilligung. In der Regel sind Eingaben personenbezogener Daten wie mindestens Name und Kontaktadresse erforderlich, vermutlich auch die IP-Adresse, um die Einwilligung zu widerrufen. Dieses Vorgehen steht auch im Widerspruch zum Grundsatz der Datenminimierung, da der Betreiber der Webseite über diese Daten häufig zuvor gar nicht verfügt. Schließlich ist es mit einem deutlich höheren Aufwand verbunden, ein Formular auszufüllen, als nur auf eine Schaltfläche zu klicken oder Häkchen in einer übersichtlichen Anzahl von Kästchen zu entfernen. Sofern ein Cookie-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Also: Die Hürden für den Widerruf nicht zu hoch bauen!
Quelle: Jandt, Weiterhin keine Rechtsklarheit für Cookies auf Webseiten, ZD 2020, 551.
