Was sind die Folgen, wenn Nutzer*innen Verträge auf Websites schließen, die ohne Einwilligung Cookies zur Analyse von Nutzungsverhalten auf den jeweiligen Endgeräten speichert? Zu einer ähnlichen Fragestellung hatte sich ein französisches Gericht (der Cour d'appel de Grenoble) jüngst geäußert. Das Gericht entschied, dass ein Vertrag zur Erstellung einer Website nichtig sei, weil die zu erstellenden Website derart konstruiert gewesen sei, dass sie Cookies zur Analyse des Nutzungsverhaltens ohne Einwilligung der Nutzer*innen speicherte. Das habe der Auftraggeber berechtigterweise nicht erwarten dürfen. Gilt dasselbe für Deutsches Recht und falls ja, für welche Konstellationen? Dem gehen wir hier nach.
Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen. Ohne bestimmte Cookies funktionieren viele Websites nur eingeschränkt oder deutlich langsamer, weil Rechenschritte nicht "zwischengespeichert" sind. Cookies können demnach "technisch notwendig" sein, um die Benutzung einer Website zu rechtfertigen.
Cookies dienen aber auch vor allem Unternehmen, um Such-, Kauf- oder schlicht das Internetverhalten von Nutzer*innen nachzuvollziehen und darauf basierend betriebliche Entscheidungen zu treffen (sogenanntes Tracking - nicht notwendige Cookies). Häufig werden Cookies auch an dritte Unternehmen weitergegeben, also nicht die Betreiber der Website selbst werten dann Daten aus, sondern ein anderes Unternehmen. Wegen ihres wirtschaftlichen Potentials sind Cookies bei Website-Betreibern äußerst beliebt und ein Handelsgut.
Hinweis: Cookies werden en masse gespeichert - daher bietet es sich an, in regelmäßigen Abständen den Computer zu "reinigen". Erfahren Sie mehr über Cookies, ihren Nutzen und ihre Gefährlichkeit auf der Internetseite der Verbraucherzentrale Baden-Württemberg.
Die rechtliche Handhabung von Cookies ist kompliziert und viel - vor allem Nuncen - ist umstritten. Allerdings gibt es einige rote Fäden, an denen sich Nutzer*innen orientieren können.
Zwei (bzw. genau genommen drei) Gesetze sind von Bedeutung für den Gebrauch von Cookies auf Websiten. Die Datenschutzgrundverordnung ("DSGVO"), das Telekommunikation-Telemedien-Datenschutz-Gesetz ("TTDSG") und die sogenannte e-Privacy-Richtlinie ("e-Privacy RL"), die als europäische Richtlinie vom deutschen Gesetzgeber durch ein eigenes Gesetz umgesetzt werden musste. Dieses Gesetz ist das TTDSG.
Aber Schritt für Schritt. Mittlerweile ist in Rechtsprechung und dem einschlägigen juristischen Schrifttum geklärt, dass viele Cookies als personenbezogene Daten zu qualifizieren sind, weil sie eine sogenannte "Cookie-ID" anlegen, die das Nutzungsverhalten von Usern analysiert. Damit lassen die Cookies Rückschlüsse auf eine Person zu und stellen personenbezogene Daten dar (Art. 4 Nr. 1 DSGVO). Die DSGVO erfordert, dass sofern eine Person oder ein Unternehm personenbezogene Daten verarbeitet (speichert, auswertet etc.), das Gesetz dies erlauben muss. Die DSGVO schafft verschiedene Möglichkeiten für eine Erlaubnis: etwa durch ein Gesetz oder berechtigte Interessen eines Verarbeiters. Am wichtigsten ist aber die Erlaubnis durch Einwilligung der Person, dessen Daten verarbeitet werden (Art. 6 DSGVO).
Daneben ist das TTDSG von Bedeutung. Das Gesetz betrifft aber vor allem den Umfang der Einwilligung. Es herrschte zum Beispiel Streit darüber, ob Cookie-Einwilligungen "vorangekreuzt" sein dürfen, der Nutzer Cookies also eigenständig ablehnen muss (sogenanntes Opt-out) oder der Nutzer eigenständig in die Cookies einwilligen muss, ergo die Cookies, denen er zustimmt, ankreuzen muss (sogenanntes Opt-in).
Insgesamt ist aber geklärt, dass Nutzer bei Gebrauch einer Website eine wirksame Einwilligung abgeben muss, sofern Cookies gespeichert werden. Dies gilt jedenfalls für personenbezogene Cookies. Ungeklärt sind dagegen andere Fragen, etwa wann eine Einwilligung "freiwillig" erfolgte und wann eine erneute Einwilligung erforderlich ist.
Schon gewusst? Keine anlasslose Videoüberwachung im Stadion!
Das speichern von Cookies ohne Einwilligung der jeweiligen Nutzer*innen kann weitreichende Folgen haben. Die DSGVO sieht eine Reihe von Rechten und Strafen vor:
Zum hohen Schadensersatz diese aktuellen Fälle: Hoher Schadensersatz wegen Verletzung des Auskunftsanspruchs und Weiterleitung personenbezogener Daten an Arbeitgeber ist schadensersatzpflichtig
Diese Ansprüche nach der DSGVO berühren aber nicht die Frage, inwiefern sich die fehlende Einwilligung auf etwaig geschlossene Verträge auswirkt. Dazu äußerte sich nun das französische Gericht in einer vergleichbaren Konstellation. Es ist aber fraglich, inwiefern das Urteil auf andere Konstellationen übertagbar ist.
Schon gewusst? Was ist ein Hinweisgebersystem?
Das französische Gericht in Grenobel hatte einen Sachverhalt zu entscheiden, in dem sich zwei Unternehmen über die Wirksamkeit eines Vertrages stritten. Ein auf die Erstellung von Webseiten spezialisiertes Unternehmen wurde von seinem Auftraggeber verklagt. Denn die für den Auftraggeber erstellte Website speicherte Cookies auf den Endgeräten ihrer Nutzer*innen, den Kund*innen des Auftraggebers, ohne diese darüber zu informieren. Das Gericht entschied, dass der zugrundeliegende Vertrag, die Website zu erstellen, nichtig sei, weil ein Irrtum über ein wesentliches vertragliches Merkmal (die Einhaltung datenschutzrechtlicher Standards) vorliege. Der Auftraggeber hätte davon ausgehen können, dass das beauftragte Unternehmen die Standards einhalte.
Ein solcher Sachverhalt dürften Gerichte in Deutschland ähnlich entscheiden - dem Erwerber stünden Mangelgewährleistungsrechte oder das Recht zur Anfechtung zu. Dies gilt aber nur, soweit die Konformität mit dem Datenschutz zum Vertragsbestandteil geworden ist.
Für Verträge, die als Gegenleistung für eine vertragliche Leistung Daten - auch mithilfe von Cookies - erheben, könnte jedoch dennoch ähnliches gelten (sogenanntes Zahlen mit Daten).
Hinweis: Das ist etwa der Fall bei Websites, die nur genutzt werden können, wenn der Nutzer entweder ein monatlicher Beitrag zahlt der alternativ den Cookies zustimmt.
Durchschnittliche Nutzer*innen müssen davon ausgehen, dass Webseiten-Betreiber Daten nur in dem Umfang speichern, zu denen sie zugestimmt haben. Allerdings erscheint fraglich, ob ein "Zuvielspeichern" zugleich zu einer Unwirksamkeit des Vertrages führt. Dafür könnte § 134 Bürgerliches Gesetzbuch ("BGB") sprechen:
Ein Rechtsgeschäft, das gegen ein gesetzliches Verbot verstößt, ist nichtig, wenn sich nicht aus dem Gesetz ein anderes ergibt.
Bestimmungen aus der DSGVO, vor allem Artikel 6 DSGVO, könnten als gesetzliches Verbot gewertet werden. Die Folge wäre die Nichtigkeit des jeweiligen Vertrages. Dies ist aber noch nicht gerichtlich bestätigt worden; nur für das Vorgängergesetz der DSGVO, dem Bundesdatenschutzgesetz, gibt es vergleichbare Rechtsprechung. Ob ein Gesetz ein Verbotsgesetz im Sinne von § 134 BGB ist, muss meist erst durch eine umfassende Auslegung ermittelt werden. Dagegen spricht freilich, dass die DSGVO keine auf Rechtsgeschäfte spezifischen Regelungen trifft, sondern nur den Umgang mit personenbezogenen Daten regelt.
Ferner könnte ein Dissens in derartigen Fällen des "Zuvielspeicherns" vorliegen. Denn die Erklärungen vom Datenverarbeitenden und demjenigen, der einwilligt, würden sich nicht vollständig decken. Aber auch hierzu fehlt bestätigende Rechtsprechung
Überdies kommt die Irrtumslehre nach den § 119 ff. BGB in Betracht. Ob diese aber Anwendung finden, kommt stark auf die jeweilige Datenübermittlung an und kann hier nicht auf genereller Ebene beantwortet werden.
Etwas neues in diesem Kontext könnte sich aus einer neuen Regelung im BGB, die zum 1.01.2023 eingeführt wurde, § 327q BGB, ergeben.
§ 327q BGB Vertragsrechtliche Folgen datenschutzrechtlicher Erklärungen des Verbrauchers
(1) Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.
(2) Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten, so kann der Unternehmer einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann.
(3) Ersatzansprüche des Unternehmers gegen den Verbraucher wegen einer durch die Ausübung von Datenschutzrechten oder die Abgabe datenschutzrechtlicher Erklärungen bewirkten Einschränkung der zulässigen Datenverarbeitung sind ausgeschlossen.
Bezahlen Verbraucher*innen mit Daten und widerrufen ihre Einwilligung in die Datennutzung durch ein Unternehmen, hat das Unternehmen ein Kündigungsrecht. Leider ergibt sich aus der Bestimmung nichts direktes für unsere Fragestellung. Denn ein "Zuvielnutzen" wird thematisiert die Bestimmung nicht. Man könnte die Bestimmung aber "umdrehen" und den Verbaucher*innen entsprechend ein Kündigungsrecht zusprechen. Dafür spricht, dass die Unternehmen nicht besser gestellt werden sollten als die Nutzer*innen.
Schon gewusst? Amazon darf Arbeitsleistung mit Handscannern überwachen!
Verträge, die Cookies nicht als direkten Vertragsgegenstand beinhalten ("nachgelagerte Verträge"), sollten nicht wegen eines Verstoßes gegen das Datenschutzrechts unwirksam werden.
Beispiel: Ein Verbraucher erwirbt über eine Interetshopping-Plattform einen Pullover. Die Plattform speichert dabei mehr Daten, als sie darf. Sollte dies den Kaufvertrag über den Pullover berühren?
Das liegt daran, dass die Verbindung zwischen Verstoß gegen die Einwilligungspflicht und den späteren Vertragsschluss über ein anderes Produkt groß ist. Man könnte höchstens argumentieren, dass wenn Verträge gekündigt werden dürfen, in denen ein Unternehmer nicht mehr auf Daten zugreifen kann, mit denen Verbraucher*innen bezahlen, dasselbe gelten muss, wenn ein Unternehmer ohne Gegenleistung auf Daten zugreifen kann. Eine Auflösung des Vertrages könnte sich aber im Ergebnis negativ auf Verbraucher*innen auswirken, weil sie Mangelgewährleistungsrechte verlieren könnten.
Schon gewusst? Schufa-Scoring verstößt gegen DSGVO?
Zusammenfassend lassen sich grob drei Kategorien von Verstößen unterscheiden:
Für die ersten beiden Varianten liegt eine Nichtigkeit des Vertrages oder jedenfalls eine Vertragsauflösung nahe. Sonstige Verträge sollten in der Regel vom Datenschutzrechtverstoß unberührt bleiben. Es bestehen aber ausreichend Rechte und Abwehrmöglichkeiten desjenigen, dessen Datenautonomie verletzt wurde.
Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen