Erfordernis der Einwilligung beim Speichern von technisch nicht notwendigen Cookies

Der Gerichtshof der Europäischen Union (C-673/17) hat sich nunmehr zur Speicherung von Cookies geäußert. Die Entscheidung des EUGH wird von einer eher unglücklichen Pressemitteilung des Gerichts begleitet, mit der die Entscheidung in einen missverständlichen Fokus gesetzt wird.

Es ist insoweit vorweg klarzustellen, dass bereits entgegen der Überschrift der Pressemitteilung („Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers“) gerade nicht zwingend eine Einwilligung des Nutzers einzuholen ist. Im vorliegenden Fall ging es um die Frage, ob bei dem Setzen von solchen Cookies, die ohnehin einer Einwilligung bedürfen, in vorausgewähltes Zustimmungskästchen ausreichend ist und welche Informationen im Fall der Einholung einer Einwilligung zwingend anzugeben sind. Insgesamt ist die Entscheidung als weniger überraschend einzustufen.

Cookie-Richtlinie: Es ging nie nur um Cookies

Das erste „Besondere“ an der Entscheidung ist, dass der EUGH hervor hebt, dass es weniger um die Frage geht, ob personenbezogene Informationen im Gerät des Nutzers gespeichert werden, sondern dass alleine die Speicherung von Informationen als solche zu Betrachten ist:

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.

Das ist, mit Verlaub, nicht sonderlich überraschend sondern schlicht dem Text der Richtlinie zu entnehmen, insoweit verweist der EUGH vollkommen zu Recht auf den Erwägungsgrund 24 der Richtlinie. Dieser Umstand ist derart offenkundig, dass ich selber bereits im Jahre 2011, noch im Laufe der Abstimmung über die „Cookie-Richtlinie“, darauf hingewiesen hatte, dass die Speicherung jeglicher Information eines Konsens bedarf, wenn es nicht technisch unbedingt erforderlich ist. Der EUGH hat nunmehr nur nochmals hervorgehoben, wie die Vorgabe der Richtlinie ist.

Eine Einwilligung ist nicht zwingend notwendig

Es ist Art. 5 Abs. 3 der Richtlinie 2002/58 zu berücksichtigen, mit der eine Einwilligung gerade nicht zwingend ist, was vom EUGH auch nicht im Ansatz in Zweifel gezogen wird:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende (…) Nutzer (…) seine Einwilligung gegeben hat. Dies steht (…) nicht entgegen, wenn (…) dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes (…) der vom (…) Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Das bedeutet, wenn nun ein Cookie zwingend erforderlich ist, um den (faktisch) gewünschten Dienst technisch überhaupt anbieten zu können, bedarf es keiner Einwilligung. Diese Prüfung ist zwingend vorweg zu nehmen. Die Frage ist dann, was nun ein unbedingt erforderlicher Dienst ist. Ich habe bereits in ersten Berichten gelesen, dass etwa ein Warenkorb oder der Transport einer Session_ID dazu gehören soll. Das erscheint einleuchtend – auf den ersten Blick. Tatsächlich kann man selbst in diesen naheliegenden Fällen diskutieren, so ist etwa der Transport einer SessionID in einem Cookie nicht zwingend, problemlos ist ein solcher Transport auch über den URL denkbar und war früher sogar verbreitet. Ich für meinen Teil hätte an dieser Stelle empfindliche Sicherheitsbedenken, ungeklärt ist aber aus meiner Sicht bisher, ob diese Bedenken genügen, um ein „unbedingt erforderliches“ Setzen von Cookies auszulösen. An dieser Stelle ist mir nur wichtig, aufzuzeigen, dass Diskussionspotential allemal besteht.

Kein Opt-Out bei notwendiger Einwilligung

Erst wenn man feststellt, dass überhaupt eine relevante Speicherung vorliegt und diese dann nicht in der Form notwendig ist, dass der Betrieb des gewünschten Dienstes darauf angewiesen ist, kommt der Punkt der Einwilligung. Hier nun macht der EUGH klar, dass keine wirksame Einwilligung im Sinne der EU-Vorgaben vorliegt, „wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss“. Kurzum: Es gibt kein Optout bei Cookies, die einer Einwilligung bedürfen – es ist vorab eine Einwilligung einzuholen. Neu ist das nun wirklich nicht.

Einwilligung muss Informiert sein

Ebenfalls nicht überraschen sollte, dass die Einwilligung informiert sein muss. Das bedeutet, wenn man eine Einwilligung einholen muss, dann müssen Angaben „zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können“ zwingend im Rahmen der Einholung der Einwilligung gegeben werden.

Wie geht es nun weiter?

Weiterer Fortgang: Vorliegend ging es um eine Vorlage von Fragen durch den Bundesgerichtshof (I ZR 7/16). Dieser wird nun mit den Antworten des EUGH klären müssen, wie die entsprechenden Regelungen des TMG, die deutlich von der Richtlinie abweichen, auszulegen und anzuwenden sind. Dieses „wie“ bleibt abzuwarten, jedenfalls mit Blick auf das „ob“ ist klar, in welche Richtung es gehen wird. Parallel hierzu darf man mit mässiger Spannung abwarten, ob endlich einmal die schon lange ausstehend ePrivacy-Richtlinie kommt, mit der das TMG seine Bedeutung faktisch verlieren wird und die (hoffentlich) mehr Klarheit im Alltag bringt. 

Rechtliche Konsequenzen bei Verstößen: Soweit ich mehrfach gelesen habe, dass man sich hinsichtlich der Konsequenzen nicht im klaren ist, ob etwa datenschutzrechtliche Regelungen einschlägig sind oder Persönlichkeitsrechtliche, sehe ich die Problematik nicht in der mehrmals skizzierten Schärfe. Nach der Klarstellung durch den BGH wird man wohl eine diesbezügliche Regelung im derzeitigen TMG erkennen, die das Marktverhalten reguliert, so dass man den Bezugspunkt zum Wettbewerbsrecht eröffnen kann. Datenschutzrechtlich sehe ich für meinen Teil eine klare Grenze zum abschliessenden Regelungswerk der DSGVO, die (erst) dann überschritten wäre, wenn personenbezogene Daten gespeichert werden, in diesem Fall wäre die DSGVO (vorrangig) anwendbar. Im schlichten Fall der Speicherung nicht personenbezogener Informationen in Endgeräten von Nutzern verbliebe im Übrigen, wenn der Anwendungsbereich der DSGVO nicht eröffnet ist, das allgemeine Persönlichkeitsrecht (ggfs. flankiert vom UWG). Ob hier aber Unterlassungsansprüche im Raum stehen sehe ich durchaus kritisch, da diese bei unterschwelligen Handlungen eher nicht mit der Rechtsprechung im Raum stehen. 

Im Ergebnis sehe ich weder Anlass zu Panik noch zu Überraschung: Bei technisch notwendigen Handlungen sind Einwilligungen nicht nötig – was SessionIDs und Warenkörber angeht, bin ich auch der Auffassung, dass man hier eine zwingende Einwilligung wohl nicht verlangen muss. Anders herum, bei Drittanbieter-Cookies wie insbesondere externen Website-Analyse-Tools, wird man wohl immer vorab eine Einwilligung einholen müssen, die dann auch klarstellen muss, wozu der Cookie dient und welche Speicherdauer vorgesehen ist.