Google Analytics und Co. nur noch mit Einwilligung der Nutzer?

Die Entscheidung des EuGHs im Oktober trat eine regelrechte Lawine von Beiträgen à la „Cookies nur noch mit Einwilligung zulässig“ los. Dann veröffentlichten 13 deutsche Aufsichtsbehörden Pressemitteilungen zum Einsatz von Google Analytics. Und am 30. Januar kommt das mit Spannung erwartete, endgültige Urteil des Bundesgerichtshofs zu Planet 49. Steht das Tracking ohne Einwilligung nun endgültig vor dem Aus?

Abschließende Klärung durch das BGH Urteil?

Die Entwicklung ist verwunderlich, wenn man bedenkt, dass der EuGH in seiner Entscheidung sich in erster Linie mit Art. 5 Abs. 3 der ePrivacy-Richtlinie auseinandersetzte. Zum einen, weil dieser besagt, dass die Speicherung von Informationen auf dem Endgerät des Nutzers, also z.B. Cookies, in der Regel nur mit der Einwilligung des Nutzers gestattet ist (Satz 1), es sei denn, dass sie erforderlich sind, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann (Satz 2). Zum anderen, da sich die maßgebliche Vorlagefrage nur auf das „Wie“ einer Einwilligung bezog und eben nicht auf die pauschale Frage, ob eine Einwilligung für jegliche Cookies erforderlich ist.

Darüber hinaus hatte sich der EuGH (anders als der Generalanwalt) auch nicht zu der besonderen Situation in Deutschland geäußert, dass die ePrivacy-Richtlinie durch die Bundesregierung im Telemediengesetz eher schlecht als Recht umgesetzt wurde. Somit wird sich auch die Entscheidung des BGHs aller Voraussicht nach auf diese beiden Punkte beschränken, nämlich

• ob und wie die Vorgaben der ePrivacy-Richtlinie in Deutschland gelten und

• wie eine wirksame Einwilligung ausgestaltet hätte werden müssen.

Mit dem ersten Punkt beschäftigt sich auch die OTH für Telemedienabieter der Datenschutzkonferenz sehr ausführlich. Insbesondere werden drei Antwortmöglichkeiten geprüft:

• Die ePrivacy-Richtlinie sei nicht umgesetzt worden, aufgrund des Anwendungsvorrangs gelte aktuell nur die DSGVO.

• Die Vorschrift § 15 III des TMG könne richtlinienkonform ausgelegt werden.

• Die ePrivacy-Richtlinie sei direkt anwendbar und entfalte unmittelbare Wirkung.

Unabhängig davon, welchen der drei Wege der BGH in seinem Urteil einschlägt, in Zukunft wird die maßgebliche Frage für das Setzen von Cookies ohne Einwilligung sein, ob einer der Ausnahmetatbestände des Art. 5 Abs. 3 Satz 2 der ePrivacy-Richtlinie vorliegt. Denn auch bei einer alleinigen Anwendung der DSGVO müsste bei der Interessensabwägung (siehe dazu den lesenswerten Artikel der Kollegin Nina Diercks) im Rahmen des Art. 6 Abs. 1 f) DSGVO die Wertung der ePrivacy-Richtlinie berücksichtigt werden.

Die Gretchenfrage: Was ist eigentlich unbedingt erforderlich?

Die entscheidende Frage ist daher, was sind für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderliche Cookies. Zur Auslegung des Begriffs der Erforderlichkeit gibt es wenig Konkretes. Die meisten Ausführungen scheinen auf das Working Paper 194 der Artikel-29-Datenschutzgruppe zurückzugehen. In diesem haben sich die europäischen Aufsichtsbehörden im Kriterium B daran versucht, die Gretchenfrage zu beantworten.

Recht eindeutig ist die Lage bisher nur bei technisch absolut notwendigen Cookies, ohne die die Nutzung einer Webseite nicht möglich wäre, z.B. Session Cookies zur Authentifizierung. Diese verhindern, dass ein Webseitennutzer, der von (Unter-) Seite zu (Unter-) Seite surft, immer wieder von der Website als ein völlig neuer Besucher behandelt wird, sich also z.B. immer wieder neu authentifizieren muss.

Daneben nennt das Papier noch weitere Beispiele, die der Kategorie unbedingt erforderlich zugehören sollen wie nutzerorientierte Sicherheitscookies, Cookies zur Anpassung der Benutzeroberfläche und Warenkorb-Cookies. Anders verhalte es sich mit Third- und First-Party-Analysecookies. Diese stellen zwar kaum ein Datenschutzrisiko dar. Sie seien aber – anders als Betreiber von Websites – aus Sicht des Nutzers nicht unbedingt für ausdrücklich gewünschte Funktion erforderlich. Denn genau genommen könne der Nutzer auch dann auf alle Funktionen der Website zugreifen, wenn derartige Cookies deaktiviert sind.

Kritik am WP 194

Dabei ist die Begründung mit der die Artikel-29-Datenschutzgruppe First-Party-Analysecookies als nicht unbedingt erfoderlich ablehnt, nicht schlüssig. Denn sie steht schon im Widerspruch zu den vorherigen Ausführungen in dem Working Paper. Wäre das entscheidende Kriterium, ob eine bestimmte Funktion wegfallen würde, wenn derartige Cookies deaktiviert sind, dürfte zumindest auch nutzerorientierte Sicherheitscookies nicht unter die Ausnahme unbedingt erforderlich fallen.

Vielmehr spricht vieles dafür, dass sich die Erforderlichkeit danach bestimmt, ob das Setzen des Cookies im Interesse des Nutzers geschieht. So führte etwa die belgische Datenschutzaufsichtsbehörde jüngst in einem Bußgeldbescheid wegen der Nutzung von Google Analytics aus, dass die Ausnahme unbedingt erforderlich im Einklang mit den Schutzzielen des europäischen Datenschutzrechts dahingehend auszulegen sei, dass sie im Interesse des Webseitenbesuchers und nicht im (ausschließlichen) Interesse des Anbieter der Webseite gesetzt werden (S. 32).

Was liegt im Interesse des Webseitenbesuchers?

Damit wird die Antwort auf die Frage, was denn unbedingt erforderlich sei, nicht klarer oder einfacher. Selten liegen Entscheidungen und Maßnahmen eines Anbieters ausschließlich im Interesse des Nutzers. Denn Benutzerfreundlichkeit ist immer auch ein (wenn nicht sogar das) Verkaufsargument. So mag der Warenkorb auf den ersten Blick ein bequemes Feature für den Nutzer sein, weil er nicht jeden Artikel einzeln kaufen muss. Er ist aber auch Ansatzpunkt für den Anbieter, um im Rahmen der Warenkorb- und Checkout-Prozess-Optimierung, Hemmschwellen bei den Nutzern abzubauen, damit diese mehr Waren kaufen. Welche Cookies im Interesse des Webseitenbesuchers liegen, ist somit meist nicht trennscharf zu bestimmen und immer eine Einzelfallentscheidung(auch beim Warenkorb). Dabei kommt es immer auf die konkrete Ausgestaltung an.

So ist es vertretbar, dass Cookies die für eine statistische Auswertung oder für Tests zur Messung der relativen Leistung verschiedener Versionen derselben Website („A/B-Tests“) eingesetzt werden, um die Gestaltung des Dienstes entsprechend der Nutzerinteraktionen zu optimieren, wertungsmäßig noch im überwiegenden Interesse der Nutzer liegen. Insbesondere dann, wenn der Anbieter zusätzlich technische Maßnahmen trifft, um den Eingriff in das Endgerät des Nutzers so gering wie möglich zu halten.

Auch die belgische Aufsichtsbehörde erwähnte in ihrem Bescheid nachdrücklich, dass das Bußgeld diese Wertung nicht generell ausschließe. Eine statistische Auswertung könne für die Erbringung einer vom Betroffenen gewünschten Dienstleistung unbedingt erforderlich sein, um z.B. Navigationsprobleme zu erkennen. Nur war dies hier nicht der Fall, da der Betreiber neben Google Analytics auch Google Adsense einsetzte, sodass eine Einwilligung auf jeden Fall einzuholen war.

Rückendeckung von der CNIL

Diese Wertung vertritt auch die französische Datenschutzaufsichtsbehörde (CNIL). In ihren sehr brauchbaren Guidelines zu Art. 82 der „Loi Informatique et Libertés“ (der nationalen Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie) stellt sie im Artikel 5 klar, dass eine Webanalyse im engen Rahmen unter bestimmten Bedingungen durchaus ohne Einwilligung der Nutzer als unbedingt erforderlich gelten kann. Dafür müssen die folgenden Bedingungen eingehalten werden:

• Sie müssen vom Betreiber der Website oder seinem Subunternehmer durchgeführt werden;

• Der Einzelne muss vor der Umsetzung informiert werden;

• Die Person muss die Möglichkeit haben, über einen Einspruchsmechanismus zu widersprechen, der leicht auf allen Endgeräten, Betriebssystemen, Anwendungen und Webbrowsern verwendet werden kann. An dem Endgerät, von dem aus die Person widersprochen hat, darf kein Lese- oder Schreibvorgang stattfinden;

• Der Zweck der Analyse muss sich darauf beschränken, die Bewertung veröffentlichter Inhalte und der Benutzerfreundlichkeit der Webseite zu ermöglichen, das Publikum der Website in Kohorten zu segmentieren, um die Wirksamkeit redaktionellen Entscheidungen zu bewerten oder eine Website dynamisch zu verbessern;

• Die erhobenen personenbezogenen Daten dürfen nicht mit anderen Verarbeitungen (z.B. Kundendateien oder Statistiken über Besuche auf anderen Websites) abgeglichen oder an Dritte weitergegeben werden;

• Der Einsatz muss auf eine einzige Website oder eine einzige mobile Anwendungen beschränken und darf nicht die Verfolgung über verschiedene Apps oder Websites ermöglichen

• Der Einsatz von Trackern muss strikt auf die Erstellung anonymer Statistiken beschränkt werden;

• Die Verwendung der IP-Adresse zur Geolokalisierung des Internetnutzers darf keine genaueren Angaben als die Stadt enthalten. Die gesammelte IP-Adresse muss ebenfalls gelöscht oder anonymisiert werden, sobald die Geolokalisierung durchgeführt wurde;

• Die für diese Verarbeitung verwendeten Tracker dürfen eine Speicherdauer von höchstens dreizehn Monaten haben, und diese darf bei neuen Besuchen nicht automatisch verlängert werden. Die mit Hilfe der Cookies gesammelten Informationen sind höchstens 25 Monate lang aufzubewahren.

Es geht also auch anders

Gerade die Guidelines der CNIL zeigen, dass man sich durchaus differenziert mit der Frage auseinandersetzten kann, unter welchen Umständen der Einsatz von Tracking Cookies gleichbedeutend mit der Einholung einer Einwilligung ist. Auf europäischer Ebene deutet sich an, dass es dafür entscheidend sein wird, wer von dem Einsatz in erster Linie profitiert, der Betreiber oder der Nutzer. Dies ist eine Frage des Einzelfalls. Die genauen Grenzen bei verschiedenen, praktischen Ausgestaltung werden Gerichte in den nächsten Jahren in mühevoller Kleinarbeit ermitteln.

Die pauschale Behauptung der deutschen Aufsichtsbehörden Google Analytics (und andere Tracking-Angebote) könnte nicht ohne eine Einwilligung eingesetzt, scheint vor diesen Hintergründen abwegig. Vielmehr scheint es – unter Verweis auf die Ansichten der anderen europäischen Aufsichtsbehörden – aktuell noch gut vertretbar, dass eine Webseitenanalyse (bei entsprechender Ausgestaltung) unbedingt erforderlich iSd Art. 5 Abs. 3 Satz 2 ePrivacy-Richtlinie ist. Aufgrund der zur Zeit bei den Behörden anhängigen Beschwerden über den Einsatz von Google Analytics dürfte der Beginn der gerichtlichen Klärung hierzulande nach dem eingangs erwähnten BGH-Urteil nicht lange auf sich warten lassen.

Beitrag hier kommentieren