Inhalt
Urteil des EuGH zum Einsatz von Cookies
Groß ist die Aufregung, nachdem am 1. Oktober der EuGH ein lang erwartetes Urteil zur Einwilligung von Cookies auf Websites gefällt hat. Dabei war das Ergebnis gar nicht überraschend. Im Kern ging es darum, ob eine vorausgefüllte Checkbox eine wirksame Einwilligung für Cookies darstellt. Um es kurz zu machen: Nein, das entspricht nicht den rechtlichen Vorgaben. Der Besucher der Website muss hier selbst aktiv werden und bewusst diese Option wählen. Dieses Verfahren wird als Opt-in bezeichnet. So weit, so gut.
Mit dem Urteil wurde nicht nur die Marketing-Praxis unzähliger Websites als nicht rechtskonform erklärt, sondern auch elementare neue Fragen aufgeworfen. Zunächst einmal besteht das Problem, dass die für das Urteil entscheidende Cookie-Richtlinie der EU von 2009 in Deutschland nie umgesetzt wurde, weil die deutsche Regierung davon ausging, dass das deutsche Telemediengesetz (TMG) deren Bestimmungen bereits beinhalte (zur Erläuterung: Eine Richtlinie muss binnen zwei Jahren in nationales Recht umgesetzt werden). Dies stellt sich nun aber zunehmend als Irrtum heraus.
Dadurch haben wir die paradoxe Situation, dass man sich als Webseitenbetreiber zwar an deutsche Gesetze halten kann, gleichzeitig aber gegen europäisches Recht verstößt. Wie dies aufzulösen ist, wird nun der BGH zu entschieden haben, der dem EuGH einen Fragenkatalog in dem Verfahren vorgelegt hat. Viele Juristen halten diese Aufgabe für die berühmte Quadratur des Kreises.
Die Folgen des Urteils für das Online-Marketing
Das Ende der personalisierten Werbung?
Ich möchte an dieser Stelle nicht näher auf das Urteil und dessen Begründung eingehen, sondern mich primär mit den Konsequenzen auseinandersetzen. Zunächst einmal stellt es für all die Anbieter ein Dilemma dar, die durch personalisierte Werbung ihr Geld verdienen, denn Cookies werden auch dafür eingesetzt, um Besucher webseitenübergreifend zu tracken, also ihr Verhalten im Netz zu analysieren. Wenn dies nicht mehr ohne Einwilligung des Nutzers möglich ist, dann ist abzusehen, dass der Markt in diesem Segment rapide einbricht.
Das Problem bei diesem Vorgang sind diejenigen Cookies, die von Dritten auf dem Rechner der Besucher abgelegt werden, um diese wieder erkennen zu können. An sich sind diese kleinen Dateien, ohne die kaum eine Website auskommt, unschädlich und geben in der Regel auch keine brisanten Daten preis. Es findet dabei allerdings eine Profilbildung statt, wenn webseitenübergreifende Cookies eingesetzt werden. Die EU-Richtlinie sieht nun vor, dass für sie eine wirksame Einwilligung durch den Nutzer erfolgen muss. Übrigens blocken die Browser Firefox und Safari neuerdings per Default alle Third-Party-Cookies.
Die Bedeutung der Reichweitenmessung
Wie sieht es aber mit den First-Party-Cookies aus, die ausschließlich von der besuchten Website ausgespielt werden? Genau an dieser Stelle beginnt die Crux auch für kleine Webseitenbetreiber oder Blogger, denn die Cookies werden vielfach bei der Reichweitenmessung für die eigene Website eingesetzt. Diese ermöglicht es den Betreibern einzuschätzen, welche Inhalte bei den Besuchern auf Interesse stoßen und welche nicht. Sie zeigt an, welche Quellen gerne genutzt werden, um auf die eigene Website zu gelangen. Sie erfasst die Verweildauer oder wiederkehrende Besucher. Ein wirksames Online-Marketing ist ohne solche belastbaren Daten kaum möglich.
Eine Studie hat gezeigt, dass bei einer Pflicht zur aktiven Einwilligung durch die Nutzer, die Datenmengen bei rechtskonformer Gestaltung der Cookie-Banner auf einen Bruchteil sinken. Mit einer solchen Datenbasis wird Online-Marketing wieder zum Blindflug. Was für große Spieler wie Google und Facebook abzufangen ist, ist für kleine Anbieter und Webseitenbetreiber eine mittelschwere Katastrophe.
Ein sehr beliebtes Tool für die Reichweitenmessung ist Matomo, das gegenüber dem Platzhirschen Google Analytics den immensen Vorteil bietet, dass es selbst gehostet werden kann und somit keine Daten an Dritte weitergibt und auch keine Cookies von Dritten gespeichert werden. Mit welchen Metriken Matomo arbeitet und wie diese effektiv für das Online-Marketing eingesetzt werden können, erkläre ich in einem gesonderten Blogbeitrag. Ob das Tool aber wie bisher eingesetzt werden kann, darin sind sich Juristen und Datenschützer nach der EuGH-Entscheidung uneins.
Was sind erforderliche Cookies?
Weitgehende Übereinstimmung herrscht darüber, dass das Gericht technisch notwendige Maßnahmen wie Warenkorb- oder Session-Cookies auch weiterhin ohne Einwilligung als zulässig betrachtet. Spannender ist die Frage, wie weitere First-Party-Cookies einzuordnen sind. Die entscheidende Passage der EU-Richtline findet sich in Art. 5 Abs. 3. Die sperrige Formulierung legt fest, welche Cookies ohne Einwilligung auf dem Endgerät des Besuchers gespeichert bzw. gelesen werden dürfen:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
In seinem lesenswerten Leitfaden zum Umgang mit Cookies sieht RA Dr. Thomas Schwenke Cookies zum Zwecke des Marketings und zur Erstellung von Statistiken nicht als unbedingt erforderlich an. Das würde auch Tools wie Matomo betreffen.
Dagegen geht RA Thomas Stadler von einer Überinterpretation des Urteils aus und weist darauf hin, dass dem Gericht die Frage nach der Erforderlichkeit eines Cookies gar nicht vorgelegt wurde. Deshalb habe es darauf auch keine Antwort gegeben.
RA Nina Diercks analysiert Urteil und Richtlinie ebenfalls im Detail. Sie zielt in ihrer Schlussfolgerung auf den letzten Teil von Art. 5 Abs. 3 ab, wonach es für den Webseitenbetreiber unbedingt erforderlich sein kann, zu wissen, welche Dienstleistungen und Produkte auf welche Weise von den Besuchern der Website angesteuert werden, um den Dienst (also die Website) zielführend und nutzerorientiert zur Verfügung zu stellen.
Was empfehlen die Datenschutzbehörden?
Orientierungshilfe der DSK
Auch RA Dr. Simon Assion argumentiert ähnlich wie Nina Diercks:
Vieles spricht dafür, als „erforderlich“ alle Zugriffe und Cookies anzusehen, die im Interesse des Nutzers sind.
Er verweist darauf, dass die Datenschutzkonferenz (DSK), also das Gremium der deutschen Datenschutzaufsichtsbehörden, in ihrer im März 2019 veröffentlichten Orientierungshilfe selbst gehostete Web-Analysedienste unter bestimmten Voraussetzungen auch ohne Einwilligung des Nutzers legitimiert hat. Britische und französische Datenschutzbehörden üben eine ähnliche Praxis aus.
Leitfaden des Datenschutzbeauftragten des Landes Baden-Württemberg
Aus der gemeinsamen Orientierungshilfe haben einige Datenschutzbehörden einen Leitfaden erarbeitet. Der Datenschutzbeauftragte des Landes Baden-Württemberg empfiehlt dabei explizit den Einsatz von Matomo für die einwilligungsfreie Reichweitenanalyse. Der Datenschutzbeauftragte von Nordrhein-Westfalen verweist in seiner kurzen Stellungnahme zum EuGH-Urteil ebenfalls auf die Orientierungshilfe der DSK und betont, dass die Entscheidung aus Luxemburg auf webseitenübergreifende Cookies und Tools zu beziehen sei.
Die Empfehlungen der Datenschutzbehörden decken sich auch mit der eigenen Praxis. So kommt in Bayern, Niedersachsen und Sachsen-Anhalt Reichweitenmessung mithilfe von Matomo zum Einsatz – ohne aktive Einwilligung des Nutzers. Dabei werden teilweise Cookies gesetzt. Auch der EuGH selbst und der Bundesverband der Verbraucherzentralen und Verbraucherverbände, der das Verfahren bis zum EuGH geführt hat, gehen auf diese Weise vor.
Es fällt mir schwer vorzustellen, dass sowohl Behörden als auch das höchste europäische Gericht gegen die eigenen Vorgaben des Datenschutzes bzw. gegen das selbst erlassene Urteil verstoßen. Auch ist nicht davon auszugehen, dass die Datenschutzbehörden in Kenntnis des seit Jahren laufenden Cookie-Verfahrens vor dem BGH und dem EuGH fahrlässig Empfehlungen ausgesprochen hätten, die sie wenige Monate später revidieren müssten.
Pressemitteilung des LDA Bayern
Update (19.12.19): Auch das Bayerische Landesamt für Datenschutzaufsicht positioniert sich mittlerweile eindeutig und nimmt die wichtige Differenzierung zwischen Tracking und Reichweitenmessung vor:
Wer einen Webauftritt (Homepage, Online-Shop oder Firmenseite) betreibt, möchte in der Regel wissen, wie häufig diese besucht wird, ob es regelmäßige Nutzer gibt, aus welchen Ländern diese kommen und wie das Nutzungsverhalten auf der Seite ist. Dies wird allgemein als Reichweitenmessung bezeichnet und kann nach transparenter Information der Webseitenbesucher und einer Widerspruchsmöglichkeit (Opt-Out) auch ohne deren Einwilligung gemacht werden.
Cookie-Richtlinie oder TMG?
Update (11.11.19): Nicht zuletzt verweisen Juristen weiterhin auf die fehlende Umsetzung der Cookie-Richtlinie in Deutschland. RA Christian Solmecke konstatiert:
Nun steht zwar fest: Die deutsche Cookie-Regelung im TMG ist nicht mit Europarecht vereinbar. Daraus folgt allerdings erst einmal überhaupt nichts! Das deutsche Recht ist auch trotz des EuGH-Urteils weiterhin in Kraft. Viele Seitenbetreiber berufen sich daher noch jetzt auf die deutsche Norm.
Und wie sieht es mit der Reichweitenmessung im Speziellen aus? Der Jurist Malte Engeler betreibt einen eigenen Blog unter Einsatz von Matomo. Er verzichtet ausdrücklich auf ein Cookie-Banner, solange die Cookie-Richtlinie nicht in nationales Recht umgesetzt ist und weiterhin das deutsche TMG Geltung besitzt bzw. die DSGVO die Reichweitenanalyse privilegiert:
Wie ich aber auch erklärt habe, hat diese Richtlinie – jedenfalls bis zur Umsetzung in Deutschland – keine Auswirkungen auf deutsche Blogs. Stattdessen gilt derzeit noch die DSGVO. Und die ist, jedenfalls nach Ansicht der Aufsichtsbehörden, zumindest bei Reichweitenmessung etwas flexibler. Solange man anhand der Reichweitenmessung nämlich keine personenbeziehbaren Profile erstellt und mit denen dann personalisierte Werbung ausliefert, erlaubt die DSGVO nach ihrer Auffassung den Einsatz von Reichweitenanalyse Tools.
Ausblick
Es ist zu befürchten, dass das Urteil zu noch mehr Klickorgien im Internet führen wird, als es ohnehin schon der Fall ist. Dem Verbraucher hilft dies nicht. Schon jetzt liest sich fast niemand die ausufernden Datenschutzerklärungen der Websites durch. Die allseits aufgehenden Cookie-Banner werden achtlos weggeklickt, um an den eigentlichen Inhalt der Website zu gelangen. Wirklich relevante Informationen, die dem Datenschutz wirksam dienen, gehen vor lauter Bürokratie und unbrauchbaren Textmonstern unter. So schafft man keine Akzeptanz für die wichtigen Belange des Datenschutzes.
Ob das EuGH-Urteil zu einem Umdenken bei den großen Anbietern führen wird, darf ebenfalls angezweifelt werden. Das seitenübergreifende Tracking ist eine der wichtigsten Voraussetzungen für das effektive Ausspielen von Werbung. Ich selbst willige meist darin ein, denn mir ist personenbezogene Werbung immer noch lieber als eine Flut nicht relevanter Werbebanner.
Empfehlungen
Und die kleinen Webseitenbetreiber, die auf ihre Reichweitenmessung angewiesen sind, um halbwegs nutzerorientierte Inhalte auf ihren Websites zu platzieren? Es scheint fast so, als wäre der Angriff auf deren Interessen ein Kollateralschaden, den die Gerichte dank der Praxisuntauglichkeit ihrer Entscheidungen wieder nicht im Blick hatten. Das wird der BGH, an den das Verfahren nun zurück überwiesen wurde, wahrscheinlich auch nicht geradebiegen können. Zur aktuellen Rechtsunsicherheit kommt auch noch der Umstand hinzu, dass mit der ePrivacy-Verordnung die nächsten Regelungen in den Startlöchern stehen, die die rechtlichen Bedingungen für den Umgang mit Cookies erneut auf den Kopf stellen könnten.
Mehrere meiner Kunden und ich selbst auch setzen Matomo zur Reichweitenmessung ein. Online-Marketing ist auch in der Kulturbranche, in der ich mich vorwiegend bewege, unerlässlich. Es ist vielleicht tröstlich zu wissen, dass Matomo mit ein wenig Konfiguration auch ohne Cookies betrieben werden kann. Zwar verliert man dadurch viele relevante Informationen, doch sind die Datensätze wenigstens repräsentativ. Ich empfehle daher, sich an den Vorgaben und Leitfäden der Datenschutzbehörden zu orientieren. Naturgemäß legen diese die Datenschutzbestimmungen am schärfsten aus und sind auch diejenigen, die Verstöße ahnden. Ihren Vorgaben und Rechtsansichten zu folgen, ist in Zeiten der Rechtsunsicherheit sicher nicht die schlechteste Option.
Ich weiß nicht, ob sich die Idioten die solche Sachen beschließen, der Tragweite dieses Irrsinns bewusst sind? Was soll daran so schwer sein, diesen minimalen Prozentsatz an Leuten, die es wirklich, wirklich stört getrackt zu werden daran zu erinnern, dass sie SELBST ihr Tracking durch 1-2 handgriffe verhindern können? Nein, man hört nicht auf diese maximal 2 Prozent aller paranoiden User, sondern beglückt alle 98% auch mit derart stumpfsinnig, wirtschaftsfeindlichen Maßnahmen. Idiotisch hoch zehn…
Hallo Damian,
herzlichen Dank für diesen ausgewogenen und gut verständlichen Artikel.
Vielleicht solltest Du noch darauf hinweisen, dass Matomo leider kostenpflichtig ist und auch wenn es „nur“ ab 20 Euro monatlich sind – das kann für kleinere Unternehmen schon schwierig zu stemmen sein. Schließlich zahlt man ja nicht nur für ein einziges Tool. Außerdem stellt Matomo meines Wissens keine Informationen über das Geschlecht der Besucher bereit – für jemanden wie mich, der als Zielgruppe Frauen hat, ist das aber sehr wichtig zu wissen.
Durch die in den Medien geschürte (in meinen Augen ungerechtfertigte) Angst vor Cookies klicken leider viele auf Ablehnen – und damit sind wir bald wirklich wieder in Zeiten von Marketing by Hope – allerdings nur für die kleinen Unternehmen. Denn die Großen haben trotzdem noch eine ausreichende Datenbasis.
Ich finde es auch sehr krass, dass diese im Zweifel eben locker die Strafen zahlen (und das aus der Portokasse), die im Raum stehenden Summen aber für kleinere Unternehmen das wirtschaftliche Aus bedeuten können. Chancengleichheit in einem freien Markt sieht anders aus.
Da es sich bei den Unternehmensblogs ja nicht um „lebensnotwendige“ Informationen handelt (anders bei Websites von Behörden beispielsweise), frage ich provokant aber ernsthaft, ob es nicht eine Lösung sein könnte, Cookie-Verweigerern einfach den Zutritt zur Website zu unterbinden? Dann kommt aber bestimmt wieder jemand auf die Idee und schreit (ähnlich wie bei der Auslegung des Kopplungsverbots), nein, man müsse die Info auch ohne verfügbar machen. Wieso eigentlich? Als Content-Produzent kann ich doch immer noch selbst entscheiden, wer die Information zu welchen Konditionen erhalten soll. Ich gehe ja auch nicht in eine Buchhandlung, nehme mir einen Stapel Bücher mit und sage lachend „Content should be free!“ – wie oft habe ich auf der CeBit erlebt, dass ich zwar Zeitschriften kostenlos mitnehmen durfte, aber nur, wenn ich meine Adressdaten im Tausch gegeben habe. Es will mir nicht in den Kopf, warum diese Praxis im echten Leben in Ordnung ist und im Internet nicht.
Zauberhafte Grüße
Birgit
Danke für dein ausführliches Statement, Birgit!
Gleich vorweg eine Richtigstellung: Matomo ist nicht kostenpflichtig, wenn man es lokal auf dem eigenen Server betreibt. Und nur da ist es datenschutzrechtlich wirklich unbedenklich. Ansonsten stimme ich dir in jedem Punkt zu!
Besten Dank, Damian! Das habe ich bei meiner schnellen Recherche übersehen! Vielen Dank für Deine Zustimmung zu meinen Überlegungen!
Deine Einschätzung teile ich nicht. Funktionale Cookies sind (wahrscheinlich) durch Art. 5 Abs. 3 Satz 2 Richtlinie 2002/58/EG legitimiert. Worum es aber geht, sind Angaben über Cookies, die im EuGH Urteil vom 01.10.2019 von jedem Webseitenbetreiber zu machen sind.
Dazu gehören u.a. die Speicherdauer und die Kategorien von Empfängern. Alleine deswegen sollte schon etwas Panik ausbrechen, um Deinem obigen Text eine Analogie entgegenzusetzen.
Abgesehen davon spricht das Urteil von Hidden Identifiers.
Auch wenn es im Kern um Cookies geht, es es (auch) um Tracking. Tracking ist ohne Cookies möglich und fällt ebenso unter das Einwilligungserfordernis wie 3rd Party Cookies.
Insofern ist das Urteil von großer Tragweite und gilt (inoffiziell) als vorgezogene ePrivacy Verordnung.
Es ist nicht meine Einschätzung, sondern diejenige einiger Juristen und der Datenschutzbehörden. Als Nichtjurist würde ich mir nicht anmaßen, das Urteil in Gänze zu interpretieren. Erst recht nicht, wenn sich selbst Juristen darin vollkommen uneins sind. Die Datenschutzbehörden haben bisher weder ihre Leitfäden, Empfehlungen und Orientierungshilfen überarbeitet, noch ihre eigene Praxis bei der Reichweitenmessung angepasst. Sich daran zu orientieren, halte ich immer noch für den sichersten Weg.