Cookies und Datenschutz
RA Hans Michael Prange
In technischer Hinsicht hat der Einsatz von Cookies für die digitale Wirtschaft eine zentrale Bedeutung. In datenschutzrechtlicher Hinsicht sind die Fragen nach den Zulässigkeitsvoraussetzungen ihres Einsatzes und der datenschutzrechtlichen Verantwortung hierfür weiterhin von Unsicherheit geprägt.
Während im Gesetzgebungsverfahren noch darum gerungen wird, ob für die Verarbeitung von unter die geplante ePrivacy-VO fallenden Daten stets eine Einwilligung nach Maßgabe der DSGVO erforderlich ist, diese gegebenenfalls auch im Wege des opt-out erteilt werden kann oder entsprechend der DSGVO auch gesetzliche Rechtfertigungsgründe einschließlich einer generellen Interessenabwägung zugelassen werden sollen (vgl. dazu Spindler, Die ePrivacy-VO in der Diskussion, Editorial, WRP Heft 2/2018), hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit einer Positionsbestimmung vom 26. 04. 2018 die digitale Wirtschaft in Aufruhr versetzt.
Danach ist seit dem 25. 05. 2018 für das Setzen von Cookies, die der Verarbeitung personenbezogener Daten dienen, eine informierte Einwilligung i. S. d. DSGVO im Sinne eines opt-in erforderlich.
Nach Auffassung der DSK ist die Kollisionsregel des Art. 95 DSGVO auf die Vorschriften des 4. Abschnitts des TMG nicht anwendbar und sind diese daher nicht mehr gültig.
Eine auf § 15 Abs. 3 TMG gestützte Einholung der Einwilligung in das Setzen von Cookies im Wege des opt-out, die das OLG Frankfurt a. M. in seiner Entscheidung vom 17. 12. 2015 – 6 U 30/15 (WRP 2016, 364) als zulässig erachtet hat, scheidet dann aus.
Im Gegensatz zur DSK scheint der Bundesgerichtshof von einer Fortgeltung der hier maßgeblichen Regelungen des TMG auszugehen, hat aber das gegen das zitierte Urteil des OLG Frankfurt a. M. gerichtete Revisionsverfahren ausgesetzt (BGH, Beschluss vom 05. 10. 2017 – I ZR 7/16, WRP 2018, 87 – Cookie-Einwilligung) und dem EuGH die Frage vorgelegt, ob ein opt-out durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, eine wirksame Einwilligung darstellt und ferner – da zum Zeitpunkt der Entscheidung des EuGH aller Voraussicht nach die DSGVO anwendbar sein werde –, ob eine solche Gestaltung der Einwilligung nach den Umständen des Streitfalls eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1a) DSGVO darstellt. Dagegen spricht aus Sicht des BGH Erwägungsgrund 32 DSGVO. Bis zu einer Entscheidung des EuGH oder dem Inkrafttreten der ePrivacy-VO bleibt die Rechtslage mithin unklar.
Von grundsätzlicher Bedeutung für die Frage der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von Cookies, die der Erhebung personenbezogener Daten dienen, ist das Urteil des europäischen Gerichtshofs vom 05.06.2018 in der Rechtssache C-210/16 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein (WRP 2018, 805). Danach erfasst der Begriff des „für die Verarbeitung Verantwortlichen“ auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage, der selbst keinen Einfluss auf die Datenerhebung hat und dem der Netzwerkbetreiber nur anonyme Statistiken zur Verfügung stellt. Ausdrücklich stellt aber der EuGH (Rn. 43 des Urteils) klar, dass gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure bedeutet. Vielmehr können diese in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Worin diese bestehen können, bleibt offen.
Den Ansatz einer differenzierten Betrachtung der Verantwortlichkeit verfolgt bereits der Vorlagebeschluss des Oberlandesgerichts Düsseldorf v. 19. 01. 2017 – I-20 U 40/16 (WRP 2017, 470) zur datenschutzrechtlichen Verantwortlichkeit eines Internetanbieters bei Einbindung eines „Gefällt mir“- Buttons. Das OLG legt dem EuGH dazu zum einen die Frage vor, ob die Einwilligung sowohl gegenüber dem Internetanbieter als auch gegenüber dem Netzwerkbetreiber zu erklären ist. Zum anderen möchte das OLG wissen, ob die datenschutzrechtlichen Informationspflichten auch den Betreiber der Webseite treffen, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt. Folgt der EuGH der in der Rechtssache C-210/16 geäußerten Auffassung des Generalanwalts, wonach sich die beiden Fälle im Hinblick auf die gemeinsame Verantwortlichkeit der Akteure nicht unterscheiden (Schlussanträge Rn. 69), erhält er aufgrund der sehr konkret formulierten Vorlagefragen des Oberlandesgerichts Düsseldorf Gelegenheit, seine Ausführungen zur gemeinsamen, aber nicht notwendig gleichwertigen Verantwortlichkeit zu präzisieren und so – hoffentlich – mehr Rechtsklarheit zu diesem Thema zu schaffen.
RA Hans Michael Prange, Düsseldorf