nicht vorausgefüllt

28. Mai 2020

Der Bundesgerichtshof (BGH) hat manipulatives Design in den Blick genommen: Cookie-Einwilligungen dürfen nicht vorausgefüllt werden, stellte das Gericht heute unter anderem klar. Notwendig geworden war die Entscheidung, weil Bundesregierung und Große Koalition seit Jahren eine Gesetzesaktualisierung verschleppen.

Wer sich eine Einwilligung von Nutzer:innen holen möchte, um auf ihren Geräten Werbe-Cookies zu speichern, darf das Ankreuzkästchen nicht vorher für sie ausfüllen. Das hat am heutigen Donnerstag der Bundesgerichtshof nach einem jahrelangen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Glücksspiel-Unternehmen Planet 49 entschieden.

Planet 49 wollte bei einem Online-Gewinnspiel die Einwilligung der Teilnehmenden dafür einholen, auf ihren Geräten Cookies zu speichern. Mit diesen können Werbepartner/innen ihre Nutzer/innen wiedererkennen und Informationen über ihr Online-Verhalten sammeln, um Werbung auf sie zuzuschneiden. Der vzbv hatte argumentiert, dass dieses Vorausfüllen nicht den Vorgaben von EU-Datenschutzgesetzen entspricht, nach denen Einwilligungen aktiv, informiert und freiwillig erteilt werden müssen.

Der BGH hat sich nun auf die Seite der Verbraucherschützer:innen gestellt. Er folgt damit der Rechtsauffassung des Europäischen Gerichtshofes, der 2019 mehrere Grundsatzfragen zu dem Fall entschieden hat. Das Gericht sieht in vorausgefüllten Cookie-Einwilligungen eine unangemessene Benachteiligung der Nutzer:innen. Dies gelte sowohl unter der EU-Datenschutzgrundverordnung als auch unter älteren Datenschutzregeln der EU. Nicht von der Entscheidung betroffen sind Cookies, die für den Betrieb von Websites notwendig sind.

BGH kritisiert manipulatives Design

Auch eine zweite Einwilligung von Planet 49 war laut dem BGH nicht rechtskonform. Mit dieser sollten Teilnehmer/innen des Gewinnspiels bestätigten, dass sie von diversen Firmen telefonisch und schriftlich für Werbezwecke kontaktiert werden dürfen. Dabei bestand die Möglichkeit, die Werbefirmen aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich Planet49 das Recht vor, selbst die Entscheidung zu treffen.

Diese Einwilligung habe nicht den rechtlichen Vorschriften an die Informiertheit der Nutzer:innen entsprochen, „weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen“, so der BGH.

Mit der Entscheidung rücken einmal mehr die Gestaltungsfragen von Nutzungsoberflächen in den Vordergrund. Datenschützer:/nnen kritisieren seit langem, dass durch manipulatives Interface-Design, auch „Dark Patterns“ genannt, die Entscheidungshoheit von Nutzer/innen eingeschränkt werde. Die Datenethikkommission der Bundesregierung hatte 2019 empfohlen, wirksamer gegen die Masche vorzugehen. 2018 hatten mehrere zivilgesellschaftliche Organisationen Datenschutzbeschwerden wegen der Verwendung von Dark Patterns durch Google eingelegt. Erst vor wenigen Tagen hatte ein Think Tank mehrere konkrete Vorschläge gemacht, wie Politik und Behörden das Thema aktiver angehen können.

Wie das Telemediengesetz zum Problem wurde

Das Gericht setzt mit seiner Entscheidung zur Gestaltung von Online-Einwilligungen auch einen Schlussstrich unter eine jahrelange Debatte zwischen Werbeindustrie und Daten- sowie Verbraucherschützer:innen. Denn auch wenn die Datenschutzgrundverordnung (DSGVO) klare Anforderungen an die Einwilligung formuliert, herrscht beim Thema Online-Tracking in Deutschland bisher Chaos, weil Parlament und Regierung die Aktualisierung des Telemediengesetzes jahrelang verschlafen haben.

In dem Gesetz heißt es nämlich heute noch, dass die Betreiber/innen von Websites und anderen Telemediendiensten für Werbezwecke individuelle Nutzungsprofile erstellen dürfen. Einzige Einschränkung: Die Daten dürfen nicht unter Klarnamen gespeichert werden, sondern unter einem Pseudonym. Nutzer/innen haben außerdem ein Widerspruchsrecht.

Für Seitenbetreiber/innen ist das eine ziemlich komfortable Regelung, doch mit der Datenschutzgrundverordnung ist sie nicht vereinbar.

Das jedenfalls sagen die deutschen Datenschutzbehörden. Einen Monat vor Inkrafttreten der DSGVO im Mai 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine Positionsbestimmung zum Online-Tracking [PDF]. Die entsprechenden Regelungen des Telemediengesetzes seien unter der DSGVO nicht mehr anwendbar. Stattdessen bräuchten Tracking-Dienste, die individuelle Profile erstellen wollen, eine explizite und vorherige Einwilligung – Opt-In statt Opt-Out.

Zwischen Einwilligungsmüdigkeit und Entmündigung

Wenig überraschend lehnt die Online-Werbewirtschaft diese Sichtweise der Datenschutzkonferenz ab. Viele Websites haben daher ihre Praxis nicht geändert. Selbst wenn Einwilligungs-Banner erscheinen, sind sie oft vorausgefüllt oder lassen Nutzer:innen gar keine Entscheidungsmöglichkeit. Die Folge: allgemeine Einwilligungsmüdigkeit. Fast automatisch klicken wohl die meisten auf „Zustimmen“, sobald sich der Cookie-Hinweis ins Bild schiebt.

Ein Jahr später hat die Datenschutzkonferenz deshalb nochmal nachgelegt. In einer ausführlichen Orientierungshilfe [PDF] stellten die Aufsichtsbehörden im April 2019 dar, unter welchen Bedingungen Tracking erlaubt ist. Wieder kommen die Datenschützer zu dem Ergebnis: In den allermeisten Fällen benötigen Anbieter eine explizite Einwilligung der Betroffenen. Eine Abwägung zwischen den Interessen der Betroffenen und denen der Werbetreibenden müsse in den meisten Fällen ergeben, dass das Schutzbedürfnis der Nutzer:innen überwiege.

Außerdem könne es nicht als Einwilligung angesehen werden, wenn Menschen nicht auf das Tracking-Banner reagieren, sondern einfach weiter auf der Seite surfen. Auch vorausgefüllte Kästchen seien nicht erlaubt.

Irreführende Rechtslage seit 2009

Es gibt zudem bereits eine EU-Richtlinie, die das Thema Online-Tracking seit 2009 explizit regelt: die 2002 verabschiedete und 2009 überarbeitete ePrivacy-Richtlinie. Als kleine Schwester der Datenschutzgrundverordnung ergänzte und spezifizierte sie die alte EU-Datenschutzrichtlinie von 1995.

Eigentlich sollte sie im Anschluss an die Verabschiedung der Datenschutzgrundverordnung generalüberholt und spätestens im Frühjahr 2018 verabschiedet werden. Gerade in Sachen Online-Tracking sollte die Richtlinie, die dann zur ePrivacy-Verordnung aufgewertet worden wäre, Nutzer/innen mehr Selbstbestimmung ermöglichen. Verabschiedet wurde die Verordnung jedoch bis heute nicht, zu groß ist der Druck der Werbeindustrie.

Das führt zu der bizarren Situation, dass die Datenschutzgrundverordnung dem Online-Tracking nach Auslegung der Datenschutzbehörden engere Grenzen setzt als es das deutsche Datenschutzrecht formell tut.

Aktive Zustimmung oder aktive Ablehnung?

Noch dazu kommt, dass bereits die deutsche Umsetzung der alten ePrivacy-Richtlinie mangelhaft gewesen ist. Denn schon in ihr heißt es seit 2009, dass Nutzer:innen Online-Tracking bewusst zustimmen müssen. Die deutsche Opt-Out-Regelung hat dieser Vorgabe nicht entsprochen. Das sagen die deutschen Datenschutzbehörden und das sagte auch der EuGH in seiner Erklärung zum Fall Planet 49.

Der BGH ermöglicht der Bundesregierung mit seiner kreativen Rechtsauslegung nun aber ihr Gesicht zu wahren. Er bestätigt zwar, dass Werbe-Cookies ein aktives Opt-In voraussetzen, sagt aber, dass dies auch aus der alten Formulierung im Telemediengesetz hervorgehe. Dort steht zwar, dass Nutzer/innen aktiv widersprechen müssen, wenn sie mit der Sammlung ihrer Daten nicht einverstanden sind, der Gesetzgeber habe damit aber in Wirklichkeit gemeint, dass sie aktiv zustimmen müssen.

Für die Praxis ist diese Frage am Ende egal. Denn so oder so stellt der BGH mit seinem Urteil klar: Wer Nutzer/innen heute noch Cookie-Einwilligungen unterjubelt, handelt illegal.

(Bundesgerichtshof, Urteil vom 2805.2020 – I ZR 7/16 – Cookie-Einwilligung II)

En Beitrag von Ingo Dachwitz auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.
(Foto: BGH in Karlsruhe, ComQuat CC BY-SA 3.0)

gläsener Autofahrer

17. April 2019

Ein neues EU-Gesetz macht ab 2024 den Einbau einer Blackbox in jedes Auto verpflichtend. Die Geräte sollen die Zahl der Verkehrsunfälle senken und eigentlich nur anonym Daten speichern. Doch das stimmt nicht ganz. Datenschützer warnen vor dem „gläsernen Autofahrer“.

Gemeinfrei-ähnlich freigegeben durch unsplash.com Mark Cruz

Die Europäische Union plant den verpflichtenden Einbau von Blackboxen in allen Fahrzeugen. Sogenannte Unfalldatenspeicher sollen detaillierte Daten über Unfälle sammeln. Die Vorschrift ist Teil eines Pakets von Vorschlägen, die den Straßenverkehr künftig sicherer machen sollen. Das EU-Parlament beschloss das Gesetz heute mit breiter Mehrheit.

Die Unfalldatenspeicher zeichnen die Geschwindigkeit, den Einsatz der Bremsen und andere Messwerte aus dem Fahrzeug auf. Das Gerät speichert die Daten im Falle eines Unfalls – etwa wenn der Airbag ausgelöst wird. Es ähnelt in seiner Funktionsweise einer Blackbox in einem Flugzeug.

Die Daten sollen für zur Verbesserung der Verkehrssicherheit verwendet werden. Um einzelne Unfälle geht es laut dem EU-Gesetz eigentlich nicht. Im Gesetzestext steht, dass nur anonymisierte Fahrzeugdaten gesammelt werden, sodass „anhand der gespeicherten Daten keine Identifizierung des Nutzers oder Halters eines bestimmten Fahrzeugs möglich ist.“

Datenschützer sehen Risiken

Doch stimmt das auch? Das Gesetz schreibt für die Unfalldatenspeicher ein geschlossenes System vor. Wenn in einem solchen System nur die Daten eines einzigen Fahrzeuges in der Blackbox landen und nur eine Person das Fahrzeug nutzt, wie anonym ist der Lenker dann? Datenschützer fürchten, die Aufzeichnungen aus dem Unfalldatenspeicher könnten in Gerichtsverfahren gegen Fahrzeuglenker eingesetzt werden.

So warnte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Gastbeitrag, digital aufgerüstete Fahrzeuge könnten in Zukunft ein gewaltiges Überwachungsrisiko bedeuten. „Autos müssen neben dem Schutz der körperlichen auch den Schutz der digitalen Unversehrtheit gewährleisten“, schrieb Kelber.

Der Bundesdatenschutzbeauftragte warnt, das geplante Gesetz schütze Fahrzeuglenker nicht ausreichend vor einer für sie nachteilige Verwendung ihrer Daten. Der endgültige Text, auf den sich EU-Verhandler Ende März einigten, ändert daran aus Sicht Kelbers wenig, wie er gegenüber netzpolitik.org sagte:

Die nun vorliegende Fassung der Verordnung zur Erhöhung der Fahrzeugsicherheit enthält – vor allem im Vergleich zur E-Call-Verordnung – nur punktuelle Vorgaben zum Datenschutz. Diese beschränken sich zudem im Wesentlichen auf die Datenverarbeitung im Ereignisdatenspeicher. Insofern betrachte ich das Gesetz aus datenschutzrechtlicher Sicht nach wie vor für unzureichend und nicht geeignet, um die in meinem Gastbeitrag geäußerten Bedenken zu entkräften.

Auch Autofahrerverbände halten es für wahrscheinlich, dass die Unfalldatenspeicher künftig häufig vor Gericht verwendet werden. ADAC-Sprecher Johannes Boos schrieb uns auf Anfrage:EU-Richtlinie

Die EU-Verordnung sieht grundsätzlich nur die anonymisierte Nutzung der Daten aus dem Event Data Recorder zu Zwecken der Unfallforschung vor, wenn keine ausdrückliche Einwilligung vorliegt. Bei schweren Verkehrsunfällen mit Verletzten oder Todesopfern, die ohne die Daten aus dem Event Data Recorder nicht aufzuklären sind, kann die Staatsanwaltschaft eine Auswertung der Daten veranlassen. Aus Sicht des ADAC steht in solchen Fällen das Interesse einer Unfallaufklärung über dem Datenschutz.

Warnung vor dem „gläsernen Autofahrer“

Bereits jetzt bauen manche Hersteller in ihre Fahrzeuge Datenspeicher ein. Allerdings geschah dies bisher freiwillig. Die neuen Vorschriften weiten die standardisierte Datensammlung in Autos deutlich aus.

Der Verbraucherverband vzbv warnt vor dem „gläsernen Autofahrer“. In einer Stellungnahme zu den Unfalldatenspeichern schreiben die Verbraucherschützer, die gesammelten Daten öffneten die Büchse der Pandora. Denn auch wenn die Daten wohl für die Klärung von Haftungsfragen nützlich seien, weckten die doch allzu wahrscheinlich Begehrlichkeiten bei Autoherstellern und Versicherungen.

Unfallversicherungen bieten bereits Produkte auf Basis des eigenen Fahrverhaltens an. Die Datenschützerin Katharina Nocun beschrieb zuletzt in ihrem Buch „Die Daten, die ich rief“ die Folgen, wenn Versicherungsschutz mit der Preisgabe der Privatsphäre bezahlt wird.

Die EU-Staaten sollen den Entwurf in den kommenden Wochen absegnen. In Neuwagen sind Blackboxen ab Mai 2022 europaweit verpflichtend. Ab 2024 müssen alle Autos damit ausgestattet werden.


Ein Netzpolitk.org-Beitrag von Creative Commons BY-NC-SA 4.0.