Skip to main content

Einsatz von Cookies und Trackingmechanismen zur Reichweiten- und Funktionsmessung

Einordnung des Themas

Der datenschutzkonforme Einsatz von Cookies und deren Verwaltung sowie Steuerung gehören nicht erst seit Inkrafttreten der Datenschutzgrundverordnung zu den größeren Herausforderungen von Marketing- und Datenschutzabteilungen. Vielmehr wurde die Regulierungsbedürftigkeit des Einsatzes von Cookies und anderer Trackingmechanismen aufgrund ihres enormen wirtschaftlichen Potentials bereits frühzeitig durch den europäischen Gesetzgeber erkannt und im Rahmen der ersten Novellierung der Datenschutzrichtlinie für elektronische Kommunikation im Jahre 2009 über die s.g. Cookie-Richtlinie adressiert.

Die Datenschutzrichtlinie für elektronische Kommunikation (im Folgenden „ePrivacy-Richtlinie“) wurde durch sie u.a. um Art. 5 Abs. 3 ePR ergänzt, der nachfolgend den rechtskonformen Einsatz von Cookies durch Anbieter von Diensten der Informationsgesellschaft regelte. Besucher einer Webseite müssen nach ihr grundsätzlich in leicht verständlicher Form über eine mögliche Speicherung von Informationen oder den Zugriff auf Informationen durch den Einsatz von Cookies unterrichtet werden, um anschließend informiert darüber entscheiden zu können, ob sie mit der Setzung des Cookies einverstanden sind oder nicht. Der rechtmäßige Einsatz von Cookies ist demnach vom Einverständnis des betroffenen Webseitenbesuchers abhängig. Vom Einverständnis ausgenommen sind lediglich technisch notwendige Cookies, die für den Betrieb der Webseite zwingend erforderlich sind wie bspw. Session-Cookies zur Speicherung webseitenspezifischer Einstellungen. Das Setzen optionaler Cookies wie z.B. Tracking-Cookies, Targeting-Cookies oder Analyse-Cookies ist unter der Geltung der Cookie Richtlinie hingegen ohne die Zustimmung des Webseitenbesuchers grundsätzlich verboten.

Die genaue Umsetzung dieser Vorgabe wurde jedoch teils mit erheblichen Abweichungen in den sie betreffenden Mitgliedsstaaten vorgenommen. Deutschland hat die Änderungen dabei überhaupt nicht in das nationale Recht umgesetzt, da ihre Regelungsgegenstände nach Ansicht der damaligen Bundesregierung bereits durch das geltende deutsche Recht über entsprechende Regelungen im Telemediengesetz (TMG) umgesetzt seien und eine Anpassung der bestehenden Gesetzeslage daher nicht erforderlich sei.

Problematisch an dieser Einschätzung ist jedoch, dass §13 Abs. 1 S. 2 TMG seinem Wortlaut nach voraussetzt, dass die in §12 TMG aufgestellten allgemeinen Grundsätze zur rechtmäßigen Verarbeitung von Daten nur dann greifen, wenn durch den Einsatz des in §13 Abs. 1 S. 2 TMG beschriebenen automatisierten Verfahrens eine spätere Identifizierbarkeit des betroffenen Nutzers ermöglicht werde. Technisch existieren jedoch auch solche Cookies, die eine Identifizierung des betroffenen Nutzers gerade nicht ermöglichen, sodass das Einwilligungserfordernis aus Art. 12 Abs. 1 und 2 TMG für diese Art von automatisierten Verfahren gerade nicht zur Anwendung kommt. Unter Geltung des Art. 5 Abs. 3 der aktualisierten ePrivacy-Richtlinie existiert eine solche Differenzierung jedoch gerade nicht. Das Einwilligungserfordernis greift also unabhängig davon, ob mit der Setzung des Cookies und der damit einhergehenden Datenverarbeitung ein Personenbezug hergestellt werden kann oder nicht. Damit adressiert die Einwilligungsvorschrift in §12 Abs. 1 und 2 TMG aufgrund des in ihr enthaltenen Erfordernis eines Personenbezugs gerade nicht Art. 5 Abs. 3 ePR sondern stattdessen das in Art. 7 DSRL verbriefte Verbot mit Erlaubnisvorbehalt.

Die EU-Kommission bestätigte jedoch die Auffassung der damaligen Bundesregierung, sodass aufgrund von §15 Abs. 3 S. 1 TMG der Hinweis verbundenen mit der Möglichkeit eines Widerspruchs für eine rechtskonforme Umsetzung des Einsatzes von Cookies genügte. Eine solche Widerspruchslösung steht jedoch – wie sich zeigen wird – nicht im Einklang mit Art. 2 lit. f und Art. 5 Abs. 3 ePrivacy-Richtlinie sowie der Art. 4 Nr. 11 und Art. 6 Abs. 1 lit. a DS-GVO, da sich aus diesen Vorschriften ergibt, dass der Betroffene einer Nutzung von Cookies ausdrücklich zustimmen muss.

Planet 49 und Auswirkungen auf die bisherige Praxis

Der Bundesverband der Verbraucherzentralen hatte 2019 gegen den deutschen Online-Gewinnspielanbieter „Planet 49“ vor dem EuGH geklagt. Das beklagte Unternehmen hatte unter seiner Internetadresse ein Gewinnspiel veranstaltet. Im Zuge der Anmeldung für das Gewinnspiel wurden die Teilnehmer gebeten, (1) der Verwendung von Cookies und (2) dem Erhalt von Werbeanrufen, E-Mails und Postsendungen zuzustimmen. In beiden Fällen nutzte das Unternehmen Kontrollkästchen zum Erhalt der Einwilligung. Während das Kästchen für die Einwilligung in die Verwendung von Cookies vorangekreuzt war, war dies bei der Einwilligung in die Werbemitteilungen nicht der Fall. Die Nutzer konnten jedoch nur dann an der Verlosung teilnehmen, wenn mindestens eines der Kästchen angekreuzt war.

In seinem Urteil vom 1. Oktober 2019 (C-673/17 – Planet 49) stellte der EuGH unter anderem klar, dass die Einwilligung in die Verwendung von Cookies nicht wirksam durch vorangekreuzte Kästchen eingeholt werden kann. Dies entspreche weder den Anforderungen der ePrivacy-Richtlinie, noch Anforderungen, die sich direkt aus der Datenschutzgrundverordnung ergeben. Keine wirksame Einwilligung liegt nach Ansicht des EuGHs vor, wenn die Speicherung von Informationen mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (sog. Opt-out). Darüber hinaus hat der EuGH entschieden, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website vor der Abgabe einer Einwilligung mitzuteilen hat.

Der Bundesgerichtshof hat das Urteil des EuGHs am 28. Mai 2020 bestätigt. Zwar gestatte die Auslegung am Wortlaut der Norm für sich genommen nicht das Hineinlesen eines zwingenden Opt-Ins, allerdings sei die Regelungen aufgrund ihres über die Verarbeitung personenbezogener Daten hinausgehenden Anwendungsbereichs richtlinienkonform auszulegen, wodurch zwingendermaßen eine bestätigende Handlung der Betroffenen Person für die Abgabe einer wirksamen Einwilligung erforderlich sei. Soweit in der Einwilligungserklärung die Ankreuzkästchen voreingestellt sind, liegt nach Ansicht der Richter gerade keine wirksame Einwilligung vor. Daraus folgt, dass bereits die bestehende Rechtslage in Deutschland eine ausdrückliche und aktive Einwilligung des Nutzers erfordert, bei der der Webseitenbetreiber nicht die Ankreuzkästchen voreinstellen darf. Diese Anforderung tritt daher nicht erst mit einer ggfs. noch erfolgenden Gesetzesänderung des TMG ein.

Mehrere europäische Datenschutz-Aufsichtsbehörden hielten einen Einsatz von Cookies für bestimmte Zwecke gemäß der DS-GVO bereits vor der Entscheidung des BGH für Zustimmungsbedürftig. Die deutsche Datenschutzkonferenz (DSK) hat bspw. bereits 2019 in einer Orientierungshilfe für Anbieter von Telemedien darauf hingewiesen, dass der Einsatz von technisch nicht notwendigen Cookies im Grundsatz nur nach wirksamer Einwilligung des Nutzers zulässig ist. Für die rechtliche Bewertung der Aufsichtsbehörden bilden nicht die eingesetzten technischen Verfahren oder die Art der eingesetzten Cookies den entscheidenden Maßstab. Vielmehr kommt es darauf an, welcher Zweck sich hinter dem Verarbeitungsprozess verbirgt. Die Behörden haben die Vielzahl möglicher Zwecke, die in der Praxis mit dem Einsatz von Cookies verfolgt werden, in bestimmte Kategorien eingeteilt: Funktionalität, Reichweitenmessung (Analytics) sowie (Marketing)-Tracking. Nach Ansicht der Datenschutzbehörden ist hierbei eine Einwilligung bei Cookies aber immer dann notwendig, soweit diese nicht technisch für die Bereitstellung der Webseite erforderlich sind.

Konsequenzen für Webseiten Betreiber

Das Urteil führt mithin dazu, dass der Hinweis verbundenen mit der Möglichkeit eines Widerspruchs für eine rechtskonforme Umsetzung des Einsatzes von Cookies auf Webseiten fortan nicht mehr möglich ist. Vielmehr haben Webseitenbetreiber vor dem Einsatz von Cookies zu Analyse- und Marketingzwecken wirksame Einwilligung nach Maßgabe der Datenschutzgrundverordnung von den Betroffenen einzuholen. Hierbei muss die Auswahl von erlaubten Cookies durch ein aktives Handeln (z.B. durch Ankreuzen) durch den Betroffenen Nutzer erfolgen. Für technisch notwendige Cookies ist dagegen keine Einwilligung erforderlich

Ausnahmen vom Einwilligungsvorbehalt

Vom Einwilligungsvorbehalt ausgenommen sind laut dem Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg solche Trackingmechanismen zur Reichweiten- und Funktionsmessung (s.g. Reichweitenanalysen), bei denen u.a. nicht auf die Dienste externer Dritter zurückgegriffen wird. In ihrem FAQ zu Cookies- und Trackingmechaniken beziehen sich die Datenschützer hierbei explizit auf die Orientierungshilfe für Anbieter von Telemedien der Datenschutzkonferenz. Diese hatten bereits 2019 erklärt, dass es für die Zulässigkeit von Maßnahmen zum Zwecke der Reichweitenmessung auf die vernünftigen Erwartungen des Betroffenen, die aus ihrer Beziehung zu dem Verantwortlichen beruhen, ankomme. Danach können solche Maßnahmen grundsätzlich auch unter ein vom Webseitenbetreiber ausgewiesenes berechtigtes Interesse gemäß Art. 6 Abs.1 lit. f) DS-GVO fallen, solange hierbei Art und Umfang der Auswertungen für den Nutzer nachvollziehbar bleiben. Dies sei spätestens unter Einschaltung Dritter nicht mehr gegeben, da die Beziehungen der verschiedenen Akteure hierbei oftmals unklar oder nicht definiert sind.

Greift der Webseitenbetreiber hingegen auf Logfiles oder lokale installierte Analysewerkzeuge für die Reichweitenmessung zurück und findet dabei keine Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg statt, kann die Einbindung dieser Maßnahmen regelmäßig auf ein überwiegendes berechtigtes Interesse des Webseitenbetreibers gestützt werden. Die Einholung einer Einwilligung nach Maßgabe des BGH-Urteils ist in diesen Fällen gerade nicht erforderlich.