Vor Kurzem haben wir eine neue Artikelserie zum Thema „Welchen Einfluss haben Firefox und das EuGH auf das Affiliate-Cookie-Tracking“ gestartet.
Im 2. Teil unserer Serie beschäftigen wir uns nun mit dem neuen Gerichtsurteil des EuGH vom 01. Oktober 2019 in der Sache Planet49 GmbH gegen den Verbraucherzentrale Bundesverband e.V.
In zahlreichen Medien wurde heute bereits über das Urteil berichtet, wie z.B. auf sueddeutsche.de, welt.de, datenschutz-generator.de, Horizont, internetworld.de uvw.
Auch wir hatten schon an verschiedenen Stellen auf dieses anstehende Urteil hingewiesen und wollten es jetzt noch einmal mit Martin Erlewein, Rechtsanwalt und Datenschutzbeauftragter aus Velbert, vertiefter besprechen.
Interview mit Martin Erlewein
Lieber Martin, vielen Dank, dass Du Dich bereit erklärt hast, hier Rede und Antwort zu stehen. Aus welchem Grund hast Du Dich mit dem Urteil intensiv auseinandergesetzt?
Vielen Dank für die Einladung zu diesem Interview. Ich arbeite als Berater mit Mandanten aus den verschiedensten Bereichen des Online Marketings laufend zusammen. Das Urteil schätze ich in einigen Punkten als wegweisend für deren Arbeit ein. Den Schlussanträgen des Generalanwaltes am EuGH zu diesem Fall, die bereits im März veröffentlicht wurden, konnte man schon die Tendenzen der zu erwartenden Entscheidung entnehmen. Das Gericht ist ihm bei der Beantwortung der vom Bundesgerichtshof gestellten Fragen in den meisten Punkten gefolgt. Insoweit kommt das Urteil nicht überraschend.
Für welche Aspekte des Online Marketings ist das Urteil denn wegweisend?
Das Gericht hat sich erneut mit der Frage beschäftigt, was die Voraussetzungen für eine wirksame Einwilligung im Sinne der DSGVO und hier gerade im Zusammenhang mit der Verwendung von Cookies sind.
Die ePrivacy Verordnung ist immer noch nur ein Entwurf und wird voraussichtlich erst in Jahren in Kraft treten. Warum greift der Gerichtshof jetzt auf die DSGVO bei der Frage zurück, ob eine wirksame Einwilligung zur Verwendung von Cookies abgegeben wurde?
Die Regeln der DSGVO, was eine wirksame Einwilligung ausmacht, gelten über Verweise in den Richtlinien auch für die Cookies. Die Voraussetzungen für die Verwendung von Cookies wurden auf europäischer Ebene bereits in der sogenannten ePrivacy-Richtlinie von 2002, die durch die sogenannte Cookierichtlinie aus 2009 in Teilen neu gefasst wurde, vorgegeben. Nach Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie ist die Verwendung von Cookies in der Regel nur mit vorheriger Einwilligung möglich. Diese Regelung wurde aber nie ins deutsche Recht umgesetzt. Im deutschen Telemediengesetz steht immer noch, dass der Nutzer lediglich die Möglichkeit zum OptOut haben muss. Im Ergebnis kommt es nach aktuellem Diskussionsstand dazu, dass das Telemediengesetz nach Inkrafttreten der DSGVO in 2018 insoweit nicht anwendbar sein dürfte und die Rechtmäßigkeit der Verwendung von Cookies und der damit verbundenen Verarbeitung personenbezogener Daten an der DSGVO zu messen ist. Es ist also davon auszugehen, dass es in Deutschland aktuell nach Inkrafttreten der DSGVO an einer anwendbaren Spezialnorm für Cookies zur Frage Einwilligung oder nicht fehlt. Dies wird so lange andauern, bis der Gesetzgeber in Deutschland aktiv wird – man munkelt, dass daran bereits in Berlin gearbeitet wird – oder die ePrivacy-Verordnung irgendwann endlich in Kraft tritt.
Ergibt sich aus dem Urteil, dass Cookies nur noch nach Einwilligung verwendet werden dürfen?
Dies war gar nicht Gegenstand der Fragen an den EuGH. Der BGH stellte – lediglich – die Frage, ob es für die Anwendung von Art. 5 Abs. 3 der ePrivacy-Richtlinie, der ja für die Cookies im Regelfall die Einwilligung fordert, darauf ankäme, ob es sich bei den mittels Cookie gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele. Das alleine ist noch nicht die Feststellung einer tatsächlichen Anwendbarkeit dieser EU-Norm im Ausgangsfall. Trotzdem kann ich natürlich nicht ausschließen, dass der BGH in seinem jetzt folgenden Urteil entgegen der von mir dargestellten herrschenden Meinung, die übrigens auch von der Datenschutzkonferenz des Bundes und der Länder vertreten wird, zu einer Anwendbarkeit des Art. 5 Abs. 3 der ePrivacy-Richtlinie im Wege der entsprechenden Auslegung des nationalen Rechts kommt.
Aber alleine die Anwendung der DSGVO führt bei den meisten im Online Marketing eingesetzten und auf Cookies basierenden Tools zur Notwendigkeit der Einholung einer Einwilligung. Die hier verarbeiteten Daten – selbst Pseudonyme, wie zum Beispiel eine CookieID o. ä. – stellen nun einmal personenbezogene Daten dar. Wie bei jeder Verarbeitung personenbezogener Daten kann natürlich auch das Setzen und Auslesen von Cookies durch andere Erlaubnistatbestände gerechtfertigt sein, als durch Einwilligung. Diese Ausnahmen müssten aber insbesondere dann, wenn sich der Verantwortliche auf sein berechtigtes Interesse beruft, sorgfältig herausgearbeitet und die erforderliche Interessenabwägung gut begründet sein.
Im vorliegenden Fall hat Planet49 mithilfe von Cookies das Surf- und Nutzungsverhalten auf den verschiedenen Seiten ihrer Werbepartner analysiert, um dem Nutzer dann entsprechend seiner Interessen passende Werbung per Email zuzusenden. Durch ein derartiges Tracking mittels Cookies werden die Interessen und Rechte der betroffenen Person jedoch so stark tangiert, so dass man hier nicht um das Einholen einer Einwilligung herumkommen dürfte.
Worum ging es in dem zugrundeliegenden Sachverhalt?
Planet49 veranstaltete in 2013 ein Gewinnspiel im Internet, dessen klar erkennbarer Zweck die Sammlung von Adressdaten war, um den Teilnehmern Werbung von Sponsoren des Gewinnspiels per Email oder auch per Werbeanruf zukommen lassen zu können. Planet49 verwendete eine Checkbox bzw. ein Kästchen, das zur Abgabe der Einwilligung in die Werbung vom Nutzer angeklickt werden musste. Mit einem zweiten solchen Kästchen sollte die Einwilligung in die Verwendung von Cookies zu Analysezwecken erteilt werden. Die Teilnahme am Gewinnspiel war nur möglich, wenn das erste Kästchen angeklickt und mit einem Haken versehen war. Erst dann konnte der Nutzer durch Klick auf einen Button seine Teilnahme am Gewinnspiel bestätigen.
Das zweite Kästchen zum Einverständnis zur Cookienutzung war jedoch bereits mit einem Haken versehen. Eine Teilnahme am Gewinnspiel war auch möglich, wenn der Nutzer den Haken im zweiten Kästchen durch Klick entfernt hatte. Der Text neben dem zweiten Kästchen enthielt zudem einen Link zu Informationen zu den verwendeten Cookies.
Welches Problem hat der BGH mit den von Planet 49 verwendeten Kästchen gesehen?
Die Fragen des BGH bezogen sich tatsächlich nur auf das bereits angekreuzte, zweite Kästchen.
Eine Einwilligung im Sinne der DSGVO hat ja mehrere Voraussetzungen. Es muss eine eindeutige, bestätigende Handlung vorliegen, die freiwillig und in informierter Weise für den konkreten Fall erfolgt. Die Handlung muss eine aktive Handlung, – also eine eindeutige Erklärung oder z.B. das Anklicken eines Kästchens – sein. Dass hierfür ein bereits angekreuztes Kästchen nicht ausreichend ist, findet sich schon in den Erwägungsgründen zur DSGVO. Auch Stillschweigen oder Untätigkeit können keine Einwilligung darstellen. Bei einem gesetzten Kreuzchen, das der Nutzer herausnehmen muss, kann es sich höchstens um ein OptOut handeln. Bliebe das gesetzte Kreuz einfach nur stehen, würde sich die Frage stellen, ob der Nutzer es nicht schlicht versäumt hat, das Kreuz zu entfernen. Der EuGH hat also – wenig überraschend – insoweit nur die Erwägungsgründe der DSGVO bestätigt.
Planet 49 hatte aber weiter argumentiert, dass die aktive Handlung zur Einwilligung in die Cookienutzung erst der Klick auf den Button zur Bestätigung der Teilnahme am Gewinnspiel gewesen sei. Der Nutzer, der den Haken nicht entfernt hat, habe also durch das Anklicken des Buttons seine Teilnahme an dem Gewinnspiel bestätigt und gleichzeitig seine Einwilligung zur Verwendung der Cookies erteilt. Dem folgt das Gericht nicht. Der Nutzer müsse seine Einwilligung gesondert und für den konkreten Fall erteilen. Im vorliegenden Fall sei nicht zweifelsfrei erkennbar, ob der Nutzer die Einwilligung erteilen wollte oder es evtl. aus Unachtsamkeit schlicht unterlassen habe, das Häkchen zu entfernen. Es läge keine wirksame Einwilligung vor, da die Handlung insoweit nicht eindeutig sei.
Wichtig ist demnach also eine saubere Trennung von gesondert abzugebenden Erklärungen bzw. Einwilligungen!
Und war mit dem ersten Kästchen alles in Ordnung?
Da der BGH nicht danach gefragt hatte, ging das Gericht nicht auf das Kästchen zur Einwilligung in die Werbung ein. Der Generalanwalt stellte sich in seinem Schlussantrag die Frage, ob hier nicht ein Verstoß gegen das sogenannte Kopplungsverbot vorgelegen habe. Eine Einwilligung muss ja stets freiwillig erfolgen. Daher darf von einer Einwilligung in die Verarbeitung personenbezogener Daten nicht die Erfüllung eines Vertrages – z.B. die Teilnahme an einem Gewinnspiel – abhängig gemacht werden, wenn die Verarbeitung in die eingewilligt werden soll, für die Erfüllung des Vertrages nicht erforderlich ist. Im Fall von Planet49 war eine Teilnahme nur möglich, wenn der Nutzer seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken gegeben hatte. Für den Teilnehmer war hier jedoch klar, dass seine Gegenleistung für die Teilnahme das zur Zurverfügungstellen seiner Daten für Werbezwecke war. Der Generalanwalt sah daher in der Datenüberlassung zu Werbezwecken die vertragliche Gegenleistung des Nutzes für die Möglichkeit zur Teilnahme am Gewinnspiel und keine lediglich mit dem Gewinnspiel verkoppelte Verarbeitung. Die Verarbeitung der personenbezogenen Daten sei dann auch für die Teilnahme am Gewinnspiel erforderlich. Also kein Verstoß gegen das Koppungsverbot. Wenigstens eine gute Nachricht, wenn auch hier nur die persönliche Meinung des Generalanwalts.
Was hat das Gericht zum Umfang der erforderlichen Informationen zu den Cookies gesagt?
Grundsätzlich kann eine Einwilligung nur in informierter Weise erfolgen. Das heißt der Nutzer muss die Konsequenzen seiner Einwilligung vollständig überblicken können. Der BGH fragte nun, ob zu den notwendigen Informationen auch die Funktionsdauer der Cookies und Angaben dazu, ob Dritte auf die Cookies Zugriff erhalten, gehören würden. Beides wurde vom EuGH bestätigt.
Dass die Funktionsdauer der Cookies eine für den Nutzer nicht unwesentliche Informationen darstellen kann, dürfte auf der Hand liegen. Die Verpflichtung, anzugeben, ob Dritte auf die Cookies Zugriff haben, sollte bitte so verstanden werden, dass auch ausdrücklich darauf hingewiesen wird, dass kein Dritter auf die Cookies zugreifen kann. Der Generalanwalt vertrat darüber hinaus die Meinung, dass auch die Identität dieser Dritten dem Nutzer mitzuteilen sei.
Welche Konsequenzen leiten sich Deiner Meinung nach aus diesem Urteil ab?
Verantwortliche, die sich immer noch darauf verlassen, dass die Verwendung von Cookies in der Regel bereits zulässig sei, wenn dem Nutzer ein OptOut geboten wird, müssen umdenken. Auf vielen Seiten im Internet finden sich Cookie Banner, die der tatsächlichen rechtlichen Situation nicht gerecht werden, da sie unterstellen, dass das Verweilen eines Nutzers auf der Seite als Einwilligung zu verstehen sei. Das Urteil bestätigt noch einmal, dass eine Einwilligung nur durch eine eindeutige Erklärung oder entsprechende aktive Handlung abgegeben werden kann. Auch finden sich immer wieder bereits angekreuzte Kästchen oder auf Ja oder Grün stehende Schalter, die nach diesem Urteil nicht als Einwilligung, sondern höchstens als Gelegenheit zum OptOut angesehen werden können. Offensichtliche Fehler wie diese sollten möglichst schnell abgestellt werden. Ab einer gewissen Komplexität der im Hintergrund laufenden Prozesse mit Einsatz von Cookies sollte der Seitenbetreiber auch über ein angemessenes Consense Management System nachdenken, das ihm zum einen den Nachweis der Erteilung der Einwilligung und dem Nutzer zum anderen ausreichende Informationen zu den Cookies bieten kann.
Vielen Dank für das Interview Martin.
Consent-Management-Provider
Wie bereits im letzten Artikel, möchten wir aufgrund des neuen EuGH-Urteils auch an dieser Stelle wieder auf mögliche Lösungsansätze hinweisen.
Die Luft wird dünner für das reine Cookie-Tracking, wie man es bisher kannte. Zukünftig werden sowohl Advertiser als auch Affiliates aufgrund der politischen und rechtlichen Entwicklungen nicht mehr umher kommen, das Cookie-Opt-In der Nutzer einzuholen, bevor ein Cookie gesetzt wird.
Hierzu gibt es bereits technische Lösungen, wie z. B. für Affiliates das WordPress-Plugin Borlabs Cookie 2.0 oder auch Anbieter wie Usercentrics, Sourcepoint , Traffective oder Contentmanager.de für Advertiser und Affiliates.
Unternehmen wie z.B. die Commerzbank oder der Möbel-Onlineshop Porta nutzen bereits die sog. Consent-Management-Provider (CMP) wie Usercentrics, um den Nutzern dadurch mehr Transparenz in der Nutzung einzelner Cookies für die Bereiche Statistik, Personalisierung und Technisch erforderlich zu geben.
Auch Unternehmen wie lufthansa.de, Adidas.de oder cathbox.com haben bereits vorbildliche Consent-Layer eingebunden, die als Vorbilder dienen könnten.
Wichtig ist in dem Zusammenhang auch, dass die Cookie-Opt-In-Banner zukünftig auch noch intensiver getestet werden müssen, um sicherstellen zu können, dass Cookies wirklich nur korrekt gesetzt werden, wenn der Nutzer hierzu sein Einverständnis erteilt hat.
Hilfreich ist hierzu auch das Tool Cookiebot, mit dem man seine Website hinsichtlich der Verwendung von Cookies und Onlien-Tracking überprüfen lassen kann.
Leider bedeutet das allerdings auch, dass die Komplexität und der Aufwand zukünftig größer wird und sich die Anbieter noch intensiver auf neue Trackingmöglichkeiten einstellen müssen.
Gerne stehen wir Ihnen hierzu als Spezial-Agentur zur Seite und unterstützen Sie gerne, da es auch in unserem Interesse ist, dass die Affiliate-Branche auch zukünftig ein tragfähiges Modell zur korrekten Zuweisung von Transaktionen liefert und die Affiliate-Partner auch weiterhin fair vergütet werden können.
Unterstützung bei Fragen und Problemen
Wenn Ihr zu diesem Thema Fragen habt und Unterstützung benötigt, meldet Euch gerne jederzeit bei unserem Affiliate-Team.
Unsere Affiliate Marketing Experten unterstützen Sie gerne!
Nehmen Sie unverbindlich Kontakt zu uns auf.
Als Agentur und Unternehmensberater werden wir uns zukünftig weiter intensiv um die Entwicklung kümmern und auch forschen.
Markus Kellermann ist bereits seit 1999 im Online-Marketing tätig und Geschäftsführender Gesellschafter der Digital-Marketing-Agentur xpose360 GmbH mit Sitz in Augsburg. Als Autor hat Markus Kellermann bereits eine Vielzahl von Artikeln in Fachmagazinen publiziert. Zudem organisiert er mit der Affiliate Conference und dem Affiliate Innovation Day zwei der bedeutendsten Affiliate-Veranstaltungen und betreibt neben dem Affiliate-Portal affiliateBLOG.de auch den Podcast Affiliate MusixX.