Cookie Management 2.0 – Was folgt aus dem Urteil des BGH und den Guidelines der deutschen und europäischen Aufsichtsbehörden für Webseitenbetreiber?

Mit seinem Urteil vom 28.5.2020 hat der BGH einen Schlussstrich unter einen mehr als sechs Jahre andauernden Rechtsstreit gezogen. Nicht viele Verfahren können über alle Instanzen hinweg ein ähnlich großes Interesse für sich in Anspruch nehmen. Ein freilich nachvollziehbares Interesse, ging es in dem Verfahren doch um die Frage, ob für den Einsatz von Werbecookies ein Opt-In der Webseitenbesucher erforderlich ist und damit (mutmaßlich) um nicht weniger als die Zukunft des Marketings im Internet.

I. Vorbemerkungen

Noch einmal zur Erinnerung; das OLG Frankfurt hatte als Vorinstanz noch mit breiter Brust behauptet, das Platzieren von Werbecookies auf den Endgeräten der Nutzer sei auf Grundlage eines Opt-Out-Mechanismus zwanglos möglich. Gegner wie Befürworter dieser Rechtsauffassung rieben sich seinerzeit gleichermaßen verwundert die Augen. Dass nach dem EuGH nun auch der BGH anders entschieden hat, ist insoweit nicht überraschend: Für Marketing-Cookies braucht es eines Opt-In. Die Insel der Glückseligkeit, normiert in § 15 Abs. 3 TMG, ist endgültig abgesoffen.

Wie aber muss ein Einwilligungsprozess ausgestaltet sein, um diese Bezeichnung auch zu verdienen? Darum soll es in diesem Beitrag gehen.

Und obgleich dieser Beitrag nicht die (reizvolle) Aufgabe einer detaillierten dogmatischen Aufarbeitung des BGH-Urteils übernehmen will (weiterhin ist ohnehin nur die PM veröffentlicht), seien vorab drei Bemerkungen gestattet:

Erstens: Auch deutsche Webseitenbetreiber benötigen für den Einsatz von Werbecookies ein Opt-In der User. Für den BGH ergibt sich diese Aussage aus einer Kombination aus Art. 5 Abs. 3 S. 1 der E-Privacy-Richtlinie und § 15 Abs. 3 TMG. Dass die Normen unterschiedlichen Schutzgütern dienen und zudem § 15 Abs. 3 TMG expressis verbis ein Opt-Out-, d.h. ein Widerspruchsverfahren vorsieht, ficht den BGH nicht an. Mehr noch: Im Fehlen einer wirksamen Einwilligung könne ein der Erstellung von Nutzungsprofilen entgegenstehender Widerspruch gesehen werden. Ob sich der BGH mit solchen Aussagen noch innerhalb der Grenzen zulässiger Im-Lichte-Auslegung bewegt, mag die Rechtswissenschaft beantworten. Eleganter wäre es wohl gewesen, § 15 Abs. 3 TMG dem Anwendungsvorrang der DSGVO zum Opfer fallen zu lassen. § 15 Abs. 3 TMG ist, ebenso wie die praktisch wortgleiche Vorgängernorm des § 6 Abs. 3 Teledienstedatenschutzgesetz (TDDSG) originäres mitgliedstaatliches Datenschutzrecht ohne jeden Bezug zu Art. 5 Abs. 3 E-Privacy-Richtlinie. (Das TDDSG stammt aus 1997!)

Der gebotenen richtlinienkonformen Auslegung von § 15 Abs. 3 Satz 1 TMG stehe jedenfalls nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Akt der Umsetzung der E-Privacy-Richtlinie vorgenommen habe. Es sei anzunehmen, dass der deutsche Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete.

Ungeachtet dessen, ob die Intention des Gesetzgebers für die Europarechtskonformität einer nationalen Rechtsnorm überhaupt von Bedeutung ist, ist die Einschätzung des BGH offenkundig falsch. Dass das für das TMG federführend zuständige Bundeswirtschaftsministerium („BMWi“) noch kurz vor Wirksamwerden der DSGVO (und zuletzt auch Ende 2019) den Versuch unternommen hatte, das Opt-Out des § 15 Abs. 3 TMG an das Opt-in Art. 5 Abs. 3 S. 1 E-Privacy-Richtlinie anzupassen, ist dem BGH augenscheinlich entgangen. Die Irrlichterei der EU-Kommission aus dem Jahr 2014, die seinerzeit auf Anfrage des BMWi bestätigte, Art. 5 Abs. 3 E-Privacy-Richtlinie sei in Deutschland umgesetzt, liegt lange zurück (hier noch einmal die Zusammenfassung auf Telemedicus; ein Jahr später kam der Wissenschaftliche Dienst des Europäischen Parlaments bekanntlich zum gegenteiligen Ergebnis). Und: Ende 2017 machten belastbare Gerüchte die Runde, die EU-Kommission habe mit der Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland wegen der Nichtumsetzung von Art. 5 Abs. 3 E-Privacy-Richtlinie gedroht. Ein Anruf aus Karlsruhe im zuständigen Referat des BMWi hätte an dieser Stelle für Klarheit sorgen können.

Zweitens etikettiert der BGH die „im Streitfall in den Cookies gespeicherte zufallsgenerierte Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist“ als Pseudonym im Sinne von § 15 Abs. 3 TMG. Cookie-IDs sind also Pseudonyme. Das wird zumindest bei Third-Party-Cookies richtig sein und belässt meines Erachtens im Rahmen der datenschutzrechtlichen Bewertung der einzelnen Tools Abwägungs- und damit Interpretationsspielräume, sei es nun auf Grundlage von § 15 Abs. 3 TMG oder der DSGVO. Interessant wird hingegen sein, wie insbesondere die Datenschutzkonferenz mit dieser Aussage umgehen wird. In ihrer Orientierungshilfe vom März 2019 wird die Einordnung von Cookie-IDs als Pseudonym jedenfalls kategorisch abgelehnt (vgl. dort, S. 15).

Drittens soll nicht unterschlagen werden, dass das Urteil neben der Cookie-Thematik auch noch Aussagen zur Frage der Wirksamkeit der Einwilligung von Verbrauchern in Telefonwerbung behandelt. Als Sachverhalt lag zugrunde, dass der zur Abgabe einer Einwilligung – hier in Form eines Opt-In – aufgerufene Verbraucher, die von seiner Einwilligung begünstigten Unternehmen aus einer verlinkten Liste von 57 auswählen sollte. Wurde die Checkbox aktiviert, ohne zugleich eine Auswahl zu treffen, wurde diese durch den Ersteller der Liste vorgenommen. Zu der hierzu durch den BGH vorgenommenen rechtlichen Bewertung findet sich in der PM ein pikanter Satz (sic!): „Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.“ Das redaktionelle Missgeschick außer Acht gelassen, scheint der BGH offenbar die Auffassung zu vertreten, dass es bei der Frage der Wirksamkeit einer Einwilligung nicht auf die Möglichkeit der Kenntnisnahme der Pflichtinformationen, sondern auf die Tatsächlichkeit der Kenntnisnahme ankommt. Sollte sich diese Lesart auch aus den Urteilsgründen ergeben, wäre das der endgültige Todesstoß für die Einwilligung im Datenschutz- und im Wettbewerbsrecht, könnte doch noch von jedem Verbraucher behauptet werden, er habe die – verfügbaren – Informationen nicht zur Kenntnis genommen. Auch insoweit kann die Veröffentlichung der Urteilsbegründung mit Spannung erwartet werden.

Diese Überlegungen vorangestellt soll es im zweiten Teil nun um die Fragen gehen, die Webseitenbetreiber konkret beachten sollten, um dem Opt-In-Erfordernis Rechnung zu tragen. Welche Aspekte sind im Zusammenhang mit Einsatz eines Consent-Managements zu beachten?

II.  Fragen

1. Wann ist ein Cookie-Banner erforderlich?

Der BGH hat das Einwilligungerfordernis für Cookies, die zu Marketingzwecken zum Einsatz kommen sollten, bejaht. Mehr gab der Sachverhalt nicht her. Tatsächlich werden aber auch Cookies und Skripte, die anderen Zwecken dienen, regelmäßig erst nach der ausdrücklichen Einwilligung des Webseitenbesuchers aktiviert werden dürfen. Welche das sind, wird man ungeachtet dogmatischer Feinheiten bis auf Weiteres über die in Art. 5 Abs. 3 S. 2 E-Privacy-Richtlinie vorgenommene Negativabgrenzung ermitteln können. Hiernach bedarf es keiner Einwilligung in die Platzierung von Cookies bzw. in das Auslesen von Informationen, die auf Endgeräten der Nutzer gespeichert sind, wenn deren „[alleiniger] Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist [Variante 1] oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann [Variante 2].“ Vor allem Variante 2 lässt hier zumindest ein wenig Argumentationsspielraum.

Technisch erforderliche „Vorgänge“ sind also einwilligungsfrei. Zur Vorbeugung von Missverständnissen sollte dabei gar nicht erst der Anschein erweckt werden, dass diese einer Einwilligung zugänglich seien. (Insofern ist auch der Begriff „Consent Management“ unglücklich. Tatsächlich geht es um „Cookie-“ oder „Script Management“.)

Alle technisch nicht erforderlichen Cookies bedürfen eines Opt-In. Eine Rückausnahme besteht nur in Fällen, in denen Cookies nicht bereits bei Pageview 1 geladen werden, sondern erst im Zusammenhang mit der Aktivierung einer bestimmten Anwendung, eines iFrames o.ä. geladen werden, etwa auf einer Unterseite. Soweit solche Skripte nicht bereits als technisch erforderlich und damit als einwilligungsfrei eingeordnet werden können, genügt es jedenfalls, die Einwilligung erst im Zusammenhang mit der Aktivierung des Skriptes einzuholen. 

Ob mit Blick auf solche Cookies, die im Zusammenhang mit dem Einsatz von Trackingtools platziert werden, dann kein Einwilligungserfordernis besteht, wenn diese Tools lokal auf den Servern der Webseitenbetreiber gehostet sind, ist offen und auch unter den Aufsichtsbehörden umstritten. Mit dem BGH wird man diese Sicht klar ablehnen müssen. Verwiesen wird an dieser Stelle insoweit nur auf den Internetauftritt des LDA Bayern. Dort kommen auch nach einer eben erneut durchgeführten Prüfung pk_ Cookies zum Einsatz (Matomo), ohne dass zuvor die Einwilligung der Besucher eingeholt wird.

2.  Was bedeuten „Auswahlmöglichkeit“ und „voreingestellt“?

Ob eine Einwilligung in das Platzieren von Cookies auch im Wege einer voreingestellten Checkbox eingeholt werden kann, war die zentrale Frage des hier betrachteten Urteils – und ist nicht letztlich nicht weniger als die Gretchenfrage für die gesamte Internetindustrie. Die Antwort des BGH lautet bekanntlich: nein. Entlang des Sachverhalts ist dieser Befund auch richtig. Allein, der BGH hatte gerade nicht über die Konfiguration eines Consent Cookie Managements zu entscheiden. Entscheidungserheblich war, dass mit dem Anklicken eines Buttons zur Teilnahme an einem Gewinnspiel zugleich im Wege einer voreingestellten Checkbox eine Einwilligung „erteilt“ wurde. Schön herausgearbeitet wurde dieser Punkt durch den Generalanwalt am EuGH in dessen Schlussanträgen (vgl. dort Rz. 89).

Das Cookie Management dreht sich hingegen ausschließlich um die Frage, ob mit dem Klick auf einen Button eine datenschutzrechtliche Einwilligung erteilt wird. Die Einwilligung ist nicht bloßes Beiwerk, sondern die einzige Willenserklärung.

Hiervon ausgehend steht es dem Verbot der Voreinstellung jedenfalls entgegen, wenn bei Pageview 1 bereits andere als technisch erforderliche Skripte geladen würden. Zudem spricht viel dafür, dass dem Verbot der Voreinstellung dann Genüge getan ist, wenn dem Webseitenbesucher bei Pageview 1 folgende Auswahlmöglichkeiten eröffnet werden:

  • (1) eine durch den Webseitenbetreiber vorgegebene Vorauswahl, die nur einige aber auch „alle“ Skripte erfassen kann,
  • (2) die Möglichkeit, den Einsatz von technisch nicht erforderlichen Cookies abzulehnen und
  • (3) die Möglichkeit der Vornahme einer individuellen Auswahl durch den Webseitenbesucher.

Die Möglichkeit der Ablehnung kann dabei auch über das Vorsehen eines „X“ am rechten oberen Rand des Cookie Banners eröffnet werden. Die dahinterstehende Logik ist dem durchschnittlichen Nutzer von Computer und Internet ohne Weiteres geläufig. Mit etwas erhöhter Risikobereitschaft und bei Einhaltung hinreichender Transparenz, dürfte es zudem zureichend sein, die Möglichkeit der Ablehnung erst auf dem second level anzubieten.

Wird dem Webseitenbesucher über die bei Pageview 1 aufgezeigte „Cookie Declaration“ hinreichend die Wirkung der jeweiligen Auswahl verdeutlicht, steht die aufgezeigte Dreiteilung dem Erfordernis zum Anbieten von Auswahlmöglichkeiten nicht entgegen. Auch ist nichts „voreingestellt“, was erst „abgewählt“ werden müsste, um weitersurfen zu können. Denn; wünscht der Webseitenbesucher eine feingranulare Auswahl, kann er diese zwanglos über die individuellen Auswahlmöglichkeiten vornehmen. Freilich dürfen in diesem Fall, typischerweise auf dem second layer, die Cookies und Skripte nicht „voreingestellt“ sein.

3. (Zulässiger) Grad der Clusterung bei Opt-In-Modellen?

Schon in Anbetracht der Vielzahl der denkbaren Zwecke, zu deren Erreichung Cookies und andere Skripte eingesetzt werden, ist eine Clusterung innerhalb des Cookie Managements angezeigt. Diese Vorgehensweise wird durch die DSGVO ausdrücklich gestützt. So heißt es in Erwägungsgrund 32 S. 4 DSGVO, dass sich eine Einwilligung „auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen [sollte]“. Nur „wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.“  

Die schon heute auf dem first bzw. second level anzutreffenden Clusterungen technisch nicht erforderlicher Skripte in bspw. „Statistik“, „Performance“, „Marketing“ o.ä. sind hiernach auf ohne weiteres möglich. Auf nachgelagerter Ebene kann eine weitere Aufgliederung der von diesen Clustern jeweils erfassten Skripte erfolgen. Eine Pflicht hierzu besteht nicht.

4. Ist bei Gestaltung des Cookie-Buttons „Nudging“ gestattet“?

Ginge es nach der Irischen Aufsichtsbehörde, müsste die Gestaltung von Cookie Bannern strengen Vorgaben genügen. In einer im April veröffentlichten Guidance Note heißt es hierzu wörtlich: „If you use a cookie banner or pop-up, you must not use an interface that ‘nudges’ a user into accepting cookies over rejecting them. Therefore, if you use a button on the banner with an ‘accept’ option, you must give equal prominence to an option which allows the user to ‘reject’ cookies, or to one which allows them to manage cookies and brings them to another layer of information in order to allow them do that, by cookie type and purpose.”

Diese paternalistische Auffassung behandelt Internetnutzer wie hilfsbedürftige Kleinkinder und beschneidet Webseitenbetreiber unverhältnismäßig in ihren Rechten. Richtig ist, dass, wie auch in anderen Bereichen, auch bei Gestaltung von Cookie Bannern ein maßvolles Nudging der Call to Action-Buttons zulässig ist. Eine starre Grenze wird allein durch das Verbot der Täuschung gezogen. 

5. Darf die Möglichkeit der Webseitennutzung an die Abgabe einer Einwilligung gekoppelt werden?

Dass sich der BGH mit der Frage der Zulässigkeit einer Kopplung von sachverhaltsgemäßer Gewinnspielteilnahme und Einwilligung beschäftigt, ist der PM nicht zu entnehmen. Auch der EuGH hatte sich im Rahmen des Vorlageverfahrens nicht dazu geäußert. Der BGH hatte nicht danach gefragt. Umso bemerkenswerter ist es, dass sich der Generalanwalt in seinen Schlussanträgen (vgl. dort Rz. 98) zumindest am Rande mit Art. 7 Abs. 4 DSGVO befasst – und zu einem eindeutigen Befund kommt: Erstens könne Art. 7 Abs. 4 DSGVO ein absolutes Kopplungsverbot nicht entnommen werden. Zweitens könne der Zweck einer Datenverarbeitung, hier: die Teilnahme an einem Gewinnspiel, von der (einwilligungsbasierten) Preisgabe personenbezogener Daten abhängig gemacht werden. Die Verarbeitung der Kontaktdaten sei dann vertraglich erforderlich, ein Fall des Art 7 Abs. 4 DSGVO liege nicht vor. Bereits im Jahr 2018 äußerte auch das höchste Italienische Gericht diese Rechtsauffassung. (Anmerkung: In Deutschland kann dieser Logik das strikte wettbewerbsrechtliche Einwilligungserfordernis einzelner Marketingkanäle entgegenstehen.)

Bezogen auf die Einwilligung in das Platzieren von Cookies und anderer Skripte leben ausländische Verlagsseiten in Teilen schon seit Jahren das vor, was seit einigen Wochen auch auf den Webseiten deutscher Verlage zu beobachten ist: Als sog. Freemium-Modell ausgestaltet ist die Nutzung der Webseite entweder kostenpflichtig oder wird alternativ von der Einwilligung in das Platzieren von Cookies abhängig gemacht („Cookiewall“). Die Aufsichtsbehörden in Österreich und den Niederlanden haben für dieses Vorgehen bereits ihren Segen erteilt. Auch der letzte Satz in Erwägungsgrund 25 E-Privacy-Richtlinie streitet für diese – zutreffende – Rechtsauffassung. Darin heißt es wörtlich: „Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Ein­satz zu einem rechtmäßigen Zweck erfolgt.“

Schon seinem Wortlaut nach kann Art. 7 Abs. 4 DSGVO nur dann einschlägig sein, wenn „die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung“ von der Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig gemacht wird. Das bloße Surfen auf einer Webseite ist aber kein Vertrag, auch nicht das Anbieter-Nutzer-Verhältnis im Sinne von § 11 TMG. Der Europäische Datenschutzausschuss befasst sich in seinen kürzlich veröffentlichten Guidelines zur Einwilligung explizit mit Cookiewalls und erklärt diese – rechtsirrig – für einen Fall unzulässiger „Conditionality“ (vgl. dort Rz. 40), allerdings ohne das Szenario einer alternativen Bezahlvariante zu beleuchten.

6. Gilt ein „Weitersurfen“ als Einwilligung?

Dass eine datenschutzrechtliche Einwilligung allein im Wege des Anklickens von Buttons oder Kästchen erteilt werden kann, steht nirgends geschrieben. Im Gegenteil können Einwilligungen zwanglos auch mündlich und sogar konkludent eingeholt werden, von den damit verbundenen Nachweisschwierigkeiten einmal abgesehen. Die DSGVO ist an dieser Stelle ungewohnt progressiv: Gemäß Erwägungsgrund 32 S. S DSGVO kann eine Einwilligung durch jede „Erklärung oder Verhaltensweise“ erteilt werden, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.“

Diesen Erwägungsgrund hatte mutmaßlich auch die Spanische Aufsichtsbehörde („aepd“) bei Erarbeitung ihrer Guidelines on the use of cookies im Hinterkopf. Darin heißt es auf den Seiten 29/30:

The following actions shall also be understood as granting consent when users perform it after being informed on cookie use and being warned that to keep browsing would equal to accept cookies:

  • Clicking on any link included on the webpage, other than the link to the second layer of information regarding cookies and the link to the applicable privacy policy.”

Weitersurfen kann hiernach eine eindeutige Handlung im Rechtssinne darstellen, mit der der Webseitenbesucher seine Einwilligung in das Platzieren von Cookies und darauf aufbauenden Datenverarbeitungen verdeutlicht. Grundvoraussetzung für die Wirksamkeit einer so erteilten Einwilligung, und darauf macht auch die aepd aufmerksam, ist freilich, dass dem Webseitenbesucher bei Pageview 1 unmissverständlich und ohne weitere Zwischenschritte die Wirkung des Weitersurfens klar gemacht wird. Eine entsprechende Information muss „ins Auge springen“.

Wird diese Wirkweise unmissverständlich verdeutlicht, liegt auch in schlichtem Weitersurfen ohne Zweifel der erforderliche, gesonderte Erklärungswert. Allein; die deutschen Aufsichtsbehörden sehen das anders und lehnen ein Weitersurfen als Ausdruck einer aktiven Willensbekundung weiterhin ab (vgl. den jüngsten Beschluss zu Google Analytics vom 12.5.2020, dort S. 4).

7.  In welchem Umfang bestehen Informationspflichten bezogen auf Cookies und wie müssen diese bereitgestellt werden?

Ein Höchstmaß an Transparenz ist für ein Cookie Management essentiell. Auf der Suche nach Art und Umfang der bereitzustellenden Informationen ist zunächst das Urteil des EuGH von Bedeutung. Der BGH hatte in seiner Vorlageentscheidung ausdrücklich danach gefragt: „Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Der EuGH hat die Frage bekanntlich bejaht. Der Rahmen der zur Verfügung zu stellenden Informationen ist damit jedoch längst nicht abgesteckt. Neben der Laufzeit des Cookies und möglicher Zugriffsrechte Dritter müssen selbstverständlich auch alle weiteren Pflichtinformationen aus Art. 13 DSGVO (Absätze 1 und 2) zur Verfügung gestellt werden. Dass die Aufnahme aller dort normierten Informationen noch jede Einwilligungserklärung jäh sprengen würde, ist auch den deutschen Aufsichtsbehörden bewusst. Nach anfänglich teilweise strikter Weigerung stehen mittlerweile praktisch alle der Möglichkeit einer gestuften Informationsübermittlung (Layered Privacy Notice) offen gegenüber. Die wesentlichen Informationen gehören in die Cookie Declaration (first Level), hinsichtlich aller weiteren kann auf die Datenschutzinformation verwiesen werden. Schon deshalb ist darauf zu achten, dass die Datenschutzerklärung (und das Impressum) bei Pageview 1 gut erreichbar sind. Pop-Ups ohne Verlinkung sind rechtswidrig, Dark Pattern Design mindestens grenzwertig.

8. Wie ist mit Widerrufen vormals erteilter Einwilligungen umzugehen? 

Widerrufe vormals erteilter Einwilligungen müssen administriert werden. So weit, so klar. Gemäß Art. 7 Abs. 3 S. 4 DSGVO muss der Widerruf „so einfach wie die Erteilung der Einwilligung sein.“ Die Details überlässt das Gesetz den Webseitenbetreibern. Je nach technischer Ausgestaltung sind unterschiedliche Maßnahmen zur Umsetzung von Widerrufen denkbar, z.B. das Löschen von Matching-Cookies oder das Setzen von Opt-Out-Cookies. Bei Letzteren sollte immer bedacht werden, dass diese auch durch den Browser des betroffenen Endgerätes akzeptiert werden. Bezogen auf Google Anayltics haben die Aufsichtsbehörden deutlich gemacht, dass allein das Anbieten des Browser-Add-On keine hinreichende Widerrufsmöglichkeit darstellt ab (vgl. Beschluss zu Google Analytics vom 12.5.2020, dort S. 5).

Vorsicht ist geboten bei einer allzu überhasteten endgültigen Löschung. Zwar zieht gemäß Art. 17 Abs. 2 Buchst. b) DSGVO ein Widerruf regelmäßig eine Löschverpflichtung nach sich. Um Nach-und Beweisproblemen aus dem Weg zu gehen, können und sollten Zeitpunkte und Umstände von Einwilligung und Widerruf für einen begrenzten Zeitraum weiterhin dokumentiert bleiben. Details sind im Löschkonzept zu dokumentieren.

9. Existieren Widerspruchsrechte gegen technisch erforderliche Cookies?

Soweit im Zusammenhang mit den zum Einsatz kommenden technisch erforderlichen Skripten personenbezogene Daten verarbeitet werden, sind im Grundsatz alle Betroffenenrechte der DSGVO zu beachten. Dies gilt insbesondere auch für das Widerspruchsrecht gemäß Art. 21 DSGVO. Bezogen auf technisch erforderliche Skripte ist allein Abs. 1 der Norm einschlägig. Dass die Pflicht zur Umsetzung eines solchen allgemeinen Widerspruchs in der Regel an der Schwelle der „besonderen Situation“ des Betroffenen scheitern wird, ändert nichts an der Verpflichtung zum Hinweis, einschließlich der Hervorhebungspflicht gemäß Art. 21 Abs. 4 Halbsatz 2 DSGVO.

10. Wie kann die Nachweispflicht im Sinne von Art. 5 Abs. 2 DSGVO erfüllt werden?

Wie Webseitenbetreiber im Zusammenhang mit der Implementierung eines Cookie Managements ihrer aus Art. 5 Abs. 2 DSGVO folgenden Nachweispflicht entsprechen sollen, ist nur auf den ersten Blick unklar. Aufgrund des fehlenden direkten Kontakts mit den hinter den Devices stehenden natürlichen Personen ist die Erbringung eindeutiger Nachweise ersichtlich ausgeschlossen. Auch die Grundverordnung antizipiert solche Situationen und hält hierfür Art. 11 DSGVO parat.

Nicht zuletzt deshalb eröffnen auch die Aufsichtsbehörden eine pragmatische Lösung. Zur Erfüllung der Nachweispflichten genügt es ausweislich S. 9 der Orientierungshilfe für Anbieter von Telemedien, dass die Entscheidung eines Nutzers auf dem Endgerät „ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert [wird].“  Nur der Vollständigkeit halber: Eine solche Information wird man freilich als technisch erforderlich und damit als einwilligungsfrei einzuordnen haben. Wird dieser Prozess durch eine nachvollziehbare Versionsverwaltung flankiert, sollte den Anforderungen der Behörden Genüge getan sein.

III. Schlussbemerkungen

Zurück zur Ausgangsfrage; Was folgt nun also aus dem Urteil des BGH? Antwort: Für die Praxis nicht viel. Kommen nicht-essentielle Skripte zum Einsatz, ist ein Opt-In-Mechanismus das Mittel der Wahl. Lässt man einmal die – nur in Teilen berechtigten – dogmatischen Erwägungen außer Acht, galt dieser Befund allerdings schon vorher. Neu ist lediglich, dass Webseitenbetreiber wegen unzulässiger Opt-Out-Lösungen nunmehr auch durch Verbraucherschutzorganisationen auf Grundlage von § 1 UKlaG in Verbindung mit § 307 BGB auf Unterlassung in Anspruch genommen werden können. (Hiervon zu trennen ist übrigens die Frage, ob ein mutmaßlicher Datenschutzverstoß wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzorganisationen aus eigenem Recht vor den Zivilgerichten verfolgt werden kann. Zu dieser Frage hat der BGH taggleich mit der Urteilsverkündung in der Rechtssache Planet49 durch Beschluss (Az. I ZR 186/17) erneut den EuGH angerufen.) Zwar wird in Anbetracht der aktuellen Situation wohl nicht damit zu rechnen sein, dass Verbraucherschutzorganisationen oder andere sogenannte qualifizierte Einrichtungen jetzt massenweise auf Webseitenbetreiber losgehen. Bereits angelaufene Projekte sollten dennoch weiter flott vorangetrieben werden. Und wer bislang beständig auf Opt-Out gesetzt hat, tut gut daran, seine interne Risikoabwägung noch einmal gründlich zu durchdenken.

Spannend wird nun sein, welche Umsetzungsvarianten die Behörden und letztlich die Gerichte akzeptieren werden. Und welcher Bußgeldrahmen gilt eigentlich in Fällen angenommener Verstöße? Zumindest ausweislich der PM ist § 15 Abs. 3 TMG als Umsetzung von Art. 5 Abs. 3 E-Privacy-Richtlinie weiterhin anzuwenden. Als Folge dessen dürfte für Verstöße gegen die Norm im Anwendungsbereich der E-Privacy-Richtlinie, d.h. bezogen auf das Platzieren von Cookies oder das Auslesen von Informationen aus Endgeräten, auch nur der Sanktionsrahmen des TMG eröffnet sein. Nur für die nachgelagerte, auf Cookies aufbauende Datenverarbeitung gilt die DSGVO.

Sanktionsrahmen hin oder her – der Gesamtkonfiguration des eingesetzten Tools kommt nach wie vor dem Urteil eine maßgebliche Bedeutung zu.

Aus der Sicht der Webseitenbetreiber will zudem gut überlegt sein, ob eine Eigenlösung programmiert oder alternativ ein am Markt verfügbares „Consent Management Tool“ eingekauft werden soll. Letztere haben erfahrungsgemäß allesamt mehr oder weniger ausgeprägte Stärken und Schwächen, aus der rechtlichen und/oder der Businessperspektive. Von einer ungeprüften Übernahme der angebotenen Konfigurationen und Rechtstexte kann jedenfalls nur dringend abgeraten werden. (Und noch ein kleiner Tipp: Anbieter mit der aufdringlichsten – oft schlicht wettbewerbswidrigen – Marketingstrategie müssen nicht zwangsläufig die besten sein.)

Ob der Abschluss der Rechtssache Planet49 tatsächlich die Zukunft des Onlinemarketings besiegelt hat, bleibt abzuwarten. Eines scheint aber gewiss: Solange Browserherstellern weiterhin freie Hand bei der Entscheidung gelassen wird, welche Informationen an das Endgerät des Nutzers durchgereicht werden, bleiben auch die hier angestellten Überlegungen zur Ausgestaltung von Cookie Bannern von allenfalls zweitrangiger Bedeutung. 

2. Juni 2020