Eines der wesentlichen rechtlichen Problemstellungen im Zusammenhang mit Online-Werbung ist die personalisierte – wenn auch nicht unbedingt personenbezogene – Ausspielung von Werbung insbesondere über Online-Werbe-Netzwerke, also das Re-Targeting über die Grenzen der eigenen Website hinaus. Zentraler rechtlicher Angelpunkt sind dabei Techniken für den Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind: Art 5 der sogenannten „europäischen CookieRL“ normiert, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er (gemäß der damaligen DatenschutzRL) u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat; dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Österreichische Abmahnungen und deutsches Urteil
Bisher haben weder die österreichischen Fernmeldebehörden noch die österreichische Datenschutzbehörde (DSB) Interesse am „Cookie-Thema“ gezeigt. Aber ein Rechtsanwalt aus dem schönen Salzburg hat Mitte 2019 damit begonnen, Werbekunden von Online-Werbe-Netzwerken abzumahnen und Schadenersatz in der Höhe von EUR 1.000,- je (angeblich rechtswidrigem) Cookie zu verlangen. Inzwischen sind von seiner Mandantin einige Verfahren vor der DSB anhängig gemacht worden.
Der deutsche Bundesverband der Verbraucherzentralen klagte hingegen schon vor einigen Jahren Planet49, eine deutsche Gesellschaft, welche im September 2013 unter ihrer Internetadresse ein Gewinnspiel veranstaltet hatte. Zwar hat der deutsche Bundesgerichtshof (BGH) in seinem heutigen Urteil vom 28. Mai 2020 (I ZR 7/16 – Cookie-Einwilligung II [in der Folge „BGH-Planet49-E“]) primär nach deutscher Rechtsordnung (also zum deutschen Telemediengesetz – TMG) abgesprochen, doch ist dieses Urteil über die deutschen Grenzen hinaus – insbesondere auch für Österreich – relevant, auch wenn der Gesetzeswortlaut nach dem österreichischen Telekommunikationsgesetz – TKG deutlich abweicht.
Dem BGH-Planet49-E lag folgender Sachverhalt zugrunde: Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befand sich ua folgende Einverständniserklärung: Das Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf: „Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches [Planet49] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“ In der mit dem Wort „hier“ verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt. Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.
Der Bundesverband der Verbraucherzentralen verlangte, Planet49 zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen; weiters forderte der Bundesverband den Ersatz der Abmahnkosten.
Nunmehr hat der BGH mit folgenden Argumenten dem Bundesverband Recht gegeben:
- Die von Planet49 in Form einer „Allgemeinen Geschäftsbedingung“ vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.
- Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war auch schon vor der Datenschutz-Grundverordnung (DSGVO) unzulässig: Der beanstandete Einsatz von Cookies durch Planet49 als Diensteanbieter dient der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. Die deutsche TMG-Vorschrift ist nach dem BGH dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.
- Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach dem EuGH und nunmehr BGH nicht an. Aus österreichischer Sicht ist schon an dieser Stelle darauf hinzuweisen, dass das TMG diesbezüglich aber ohnedies keinen Unterschied gemacht hat und ausschließlich auf die „Speicherung von Informationen oder der Zugriff auf Informationen“ – also anders als das österreichische TKG unabhängig vom Personenbezug (siehe gleich unten) – abstellt.
- Der richtlinienkonformen Auslegung der deutschen Vorschrift steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der deutsche Gesetzgeber mit dem TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
Österreichische „Cookie-Lösung“ und Bedeutung der EuGH- und BGH-Urteile
Der österreichische Gesetzgeber hat mit § 96 Abs. 3 des österreichischen Telekommunikationsgesetzes 2003 (TKG) – insbesondere mit dessen am 01.12.2018 wirksam gewordenen Novelle, um die Regelung an das DSGVO-Wording anzupassen – „versucht“, die CookieRL umzusetzen: Anbieter eines Dienstes der Informationsgesellschaft sind verpflichtet, den Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Daher stellt das österreichische TKG als Umsetzung der CookieRL – anders als nach Ansicht des BGH das deutsche TMG – ausdrücklich ausschließlich auf personenbezogene Cookies ab. Schon aus dem EuGH-Urteil vom 01.10.2019 zu Planet49 ist klar abzuleiten, dass die österreichische Regelung somit europarechtswidrig ist, was der BGH nunmehr – indirekt – bestätigt hat. Daher müsste die, die CookieRL umsetzende Regelung des § 96 Abs 3 TKG ebenfalls nicht nur für personenbezogene sondern auch für nicht-personenbezogene Daten gelten. Das ist aber nach dem eindeutigen Wortlaut der Bestimmung nicht der Fall.
Eine Erweiterung der Verwaltungsstrafbestimmung des TKG auf nicht-personenbezogene Daten durch „richtlinienkonforme Interpretation“ kommt aber in Österreich – anders als nach dem deutschen TMG – unseres Erachtens verfassungsrechtlich nicht in Betracht (Grundsatz: „Keine Strafe ohne Gesetz“) und eine unmittelbare Anwendbarkeit kommt erstens aufgrund der in Österreich ja „versuchten“ Umsetzung und zweitens jedenfalls zu Lasten des Normunterworfenen nicht in Betracht. Es bleibt daher in Österreich (derzeit) beim „geregelten Bereich“ der personenbezogenen Daten und dem „ungeregelten Bereich“ der nicht-personenbezogenen Daten bei Cookies bzw Tracking-Tools iSd CookieRL.
Praktisch bedeutsames nicht-personenbezogenes Tracking?
Ist obige Unterscheidung aber nicht ohnedies bloße „theoretische Paragrafen-Reiterei“, weil die breite Definition der „personenbezogenen Daten“ ohnedies stets dazu führt, dass im Zusammenhang mit Online-Tracking-Tools personenbezogene Daten verarbeitet werden? Unseres Erachtens ist die Abgrenzung personenbezogener Daten von anonymen Daten, für welche das Datenschutzrecht ja nicht anwendbar ist, eines der zentralen Fragen des Datenschutzrechts schlechthin. Die Antwort darauf ist für zahlreiche Businessmodelle – ja ganze Industriezweige – faktisch überlebenswichtig. Leider wird aber oft „reflexartig“ gar nicht in Zweifel gezogen, ob „personenbezogene Daten“ vorliegen.
Gestützt auf die österreichische Spruchpraxis sind wir der Ansicht, dass nach österreichischem Verständnis zentrales Abgrenzungsmerkmal der im Lichte des allgemeinen Ermessens erwartbare unverhältnismäßige Aufwand der Herstellung eines direkten Personenbezugs ist. Unseres Erachtens kann – unter Heranziehung der Kriterien des Art. 32 DSGVO zur Datensicherheit – dieses zentrale Abgrenzungsmerkmal in einer datenschutzrechtlichen ex ante-Betrachtung durch folgende Elemente iSe „beweglichen Beurteilung-Systems“ weiter konkretisiert werden:
- Mittel, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um Personenbezug herzustellen und dabei:
- Art, Umfang, Umstände und Zwecke der Verarbeitung;
- Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen;
- Kosten der Identifizierung; und
- erforderlicher Zeitaufwand,
- wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
- Soweit man dabei zum Schluss kommt, dass ohne unverhältnismäßigen Aufwand eine Wiederherstellung des Personenbezugs nicht erwartbar ist, liegen anonyme Daten vor.
Umgelegt auf das Online-Tracking – insbesondere unter Nutzung von Cookies – führt dies zwar zur beliebten juristischen Antwort, nämlich „es kommt auf den Einzelfall an“, doch ist im Zusammenhang mit Online-Werbe-Netzwerken und dem Re-Targeting mittels Werbeanzeigen in den meisten Fällen davon auszugehen, dass es den Werbe-Netzwerken und insbesondere den Werbetreibenden nicht darauf ankommt und sie daher keinen Aufwand treiben, einen „echten“ Personenbezug herzustellen. Es kommt den Beteiligten ausschließlich darauf an, dass auf den Endgeräten, über welche „Interesse“ an einem gewissen Angebot – insb durch Besuch der entsprechenden Website – „bekundet“ wurde, regelmäßig Werbung für dieses Angebot ausgespielt wird, um die Nutzer – und zwar gänzlich unabhängig von deren tatsächlicher Identität – an das Angebot zu erinnern. Soweit daher – etwa durch Verknüpfung mit Login-Daten – keine direkten personenbezogenen Daten verarbeitet werden, ist davon auszugehen, dass anonyme Daten im Sinne der obigen Abgrenzung vorliegen und daher die DSGVO nicht Anwendung findet.
Auch wenn nach der CookieRL auch hinsichtlich dieser anonymen Cookies Information- und Einwilligungspflichten bestünden, sind diese im TKG nicht umgesetzt. Daher bestehen solche Pflichten nach der österreichischen Gesetzeslage auch (derzeit) nicht.
Vorausschauend: einzige Lösung auch in Österreich ist eine entsprechend rechtlich geprüfte technische Lösung
Es ist nach den EuGH- und BGH-Urteilen zu erwarten, dass auch der österreichische Gesetzgeber – insbesondere im Lichte des weiterhin schleppenden Gesetzgebungsverfahrens für eine ePrivacyVO – zeitnah die Cookie-Regelung des Telekommunikationsgesetzes gemäß den Vorgaben der CookieRL im Lichte der Auslegung des EuGHs anpassen wird. Damit wird es nach österreichischer Rechtslage wohl endgültig notwendig werden, dass der Einsatz von (auch anonymen) Cookies, die zur Erbringung des vom Nutzer angeforderten Dienst nicht notwendig sind, der informierten und jederzeit widerruflichen Einwilligung des Nutzers bedürfen.
Die strengen Vorgaben an detaillierte Information, Einwilligung und insbesondere der jederzeitigen Widerruflichkeit sind wohl praktisch nur durch technische Unterstützung mittels „Cookie-Tools“ oder technischen Alternativen dazu erfüllbar.
Kreative Lösungen in diesem Zusammenhang zu finden, welche für alle Beteiligten eine rechtssichere Win-Win-Situation bringen, ist aus unserer Sicht daher für das Überleben des Multi-Millionen-Euro-Schweren online-werbe-Marktes unumgänglich. Dafür wird es notwendig sein, dass Techniker, Business (insbesondere Marketing) und Juristen eng zusammenarbeiten; also ein Team-Building stattfindet, das wir schon aus der DSGVO-Implementierung bestens kennen.