IT-Recht und Datenschutz07.07.2020 Newsletter

„Planet49“-Urteil des BGH: Keine wirksame Einwilligung zu Cookies durch voreingestelltes Opt-In

Ein jetzt veröffentlichtes Urteil des Bundesgerichtshofs (BGH) vom 28. Mai 2020 (Az. I ZR 7/16) macht eine Umstellung bei vielen Cookie-Bannern notwendig. Tracking-Cookies zu Analyse- oder Marketingzwecken auf Webseiten erfordern geeignete Consent-Management-Tools. Außerdem müssen Datenschutzhinweise angepasst werden.

Während erst nur eine Pressemitteilung zum Urteil verfügbar war, hat der BGH nun nach langer Wartezeit das vollständige Urteil samt Begründung veröffentlicht. Angesichts des vorangegangen Urteils des Europäischen Gerichtshofes (EuGH) in dieser Sache nicht ganz überraschend folgt aus dem Urteil des BGH eine erhebliche Änderung für die Praxis, ggfs. mit großen wirtschaftlichen Auswirkungen für das Online Marketing.

Was war die bisherige Praxis?

Tracking-Cookies (oder ähnliche Techniken) wurden in Deutschland bisher häufig bereits zum Zeitpunkt des ersten Aufrufs der Webseite eingesetzt und haben ab dann (auch) personenbezogene Daten der Webseiten-Nutzer verarbeitet. Dem Nutzer wurde nur ein Widerspruchsrecht (Opt-Out) eingeräumt, sofern er mit dem Einsatz der Tracking-Cookies nicht einverstanden ist. Mithilfe eines Cookie-Banners und den dazugehörigen Datenschutzhinweisen wurde der Nutzer über den Einsatz der Tracking-Cookies informiert bzw. eine Einwilligung durch konkludentes Handeln (z.B. weitere Nutzung der Webseite) unterstellt. In rechtlicher Sicht wurde hierbei insbesondere auf das deutsche Telemediengesetz abgestellt, welches die Nutzung von Nutzerprofilen auf der Basis einer Widerspruchsmöglichkeit gestattete. Es war schon eine Weile diskutiert und entschieden worden, dass eine Einwilligung des Nutzers nach den Anforderungen der DSGVO im Sinne einer vorherigen ausdrücklichen Aktivität dadurch nicht eingeholt wird.

Was hat der BGH entschieden?

Der BGH hat im Fall des deutschen Gewinnspielanbieters „Planet49“ auf Klage des Bundesverbands der Verbraucherzentralen und Verbraucherverbände (vzbv) über Fragen zum Einsatz von Tracking-Cookies entschieden, die eine Sammlung von Daten durch Dritte ermöglichen (sog. Third-Party-Cookies). Vor der Entscheidung hatte der BGH dem Europäischen Gerichtshof konkrete Fragen zur Auslegung einschlägiger europäischer Vorschriften vorgelegt.

Der EuGH hat in diesem Fall bereits am 1. Oktober 2019 – Rs. C-673/17 entschieden, dass eine wirksame Einwilligung nach den Vorgaben der E-Privacy Richtlinie 2002/58/EU, aber auch nach der alten Rechtslage des BDSG als auch der DSGVO aktiv erteilt werden muss. Keine wirksame Einwilligung liegt nach Ansicht des EuGH vor, wenn die Speicherung von Informationen mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (sog. Opt-out). Darüber hinaus hat der EuGH entschieden, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website vor der Abgabe einer Einwilligung mitzuteilen hat.

Der BGH hat nunmehr in dem Urteil vom 28. Mai 2020 die Entscheidung des EuGH bestätigt. Danach kann eine Einwilligung nur dann wirksam abgegeben werden, wenn der Nutzer aktiv die Häkchen in den Ankreuzkästchen setzt. Soweit in der Einwilligungserklärung die Ankreuzkästchen voreingestellt sind, liegt keine wirksame Einwilligung vor. Der BGH ist auch auf die bisher unklare Rechtslage in Bezug auf § 15 Abs. 3 S. 1 TMG eingegangen. Denn insofern war nach dem Urteil des EuGH noch unklar, ob das in Deutschland noch geltende TMG weiterhin bis zu einer Gesetzesänderung durch den deutschen Gesetzgeber eine erleichterte Handhabung erlaubte. Nach Ansicht des BGH ist die Regelung im TMG aber dahingehend auszulegen, dass § 15 Abs. 3 S. 1 TMG auch die oben beschriebene, aktive Einwilligung des Nutzers erfordert. Daraus folgt, dass bereits die bestehende Rechtslage in Deutschland eine ausdrückliche und aktive Einwilligung des Nutzers erfordert, bei der der Website Betreiber nicht die Ankreuzkästchen voreinstellen darf. Diese Anforderung tritt daher nicht erst mit einer ggfs. noch erfolgenden Gesetzesänderung des TMG ein.

Wie gehen die Datenschutzbehörden vor?

Mehrere europäische Datenschutz-Aufsichtsbehörden hielten einen Einsatz von Cookies für bestimmte Zwecke gemäß der DSGVO bereits vor der Entscheidung des BGH ebenfalls nur auf Grundlage einer aktiven Einwilligung der Nutzer für zulässig. Die deutsche Datenschutzkonferenz (DSK) hat bereits 2019 in einer Orientierungshilfe für Anbieter von Telemedien darauf hingewiesen, dass der Einsatz von technisch nicht notwendigen Cookies im Grundsatz nur nach wirksamer Einwilligung des Nutzers zulässig ist. Diese Einschätzung wird von den französischen, den niederländischen Datenschutzbehörden als auch von der ICO in UK geteilt. Für die rechtliche Bewertung der Aufsichtsbehörden bilden nicht die eingesetzten technischen Verfahren oder die Art der eingesetzten Cookies den entscheidenden Maßstab. Vielmehr kommt es darauf an, welcher Zweck sich hinter dem Verarbeitungsprozess verbirgt. Die Behörden haben die Vielzahl möglicher Zwecke, die in der Praxis mit dem Einsatz von Cookies verfolgt werden, in bestimmte Kategorien eingeteilt: Funktionalität, Reichweitenmessung (Analytics) sowie (Marketing)-Tracking. Nach Ansicht der Datenschutzbehörden ist eine Einwilligung bei Cookies aber immer notwendig, soweit diese nicht technisch für die Bereitstellung der Webseite erforderlich sind.

Der Europäische Datenschutzausschuss (EDSA) hat zudem in einer eigenen Stellungnahme darauf hingewiesen, dass sog. Cookie-Walls, also Tools, die dem Nutzer nur dann Zugang zu der Website ermöglichen, wenn dieser seine Einwilligung zu dem Einsatz von nicht technisch notwendigen Cookies erteilt hat, unzulässig sind. Der Nutzer muss also unabhängig von einer möglichen Einwilligung die Möglichkeit haben, die Website zu nutzen. Diese Stellungnahme kann zu Missverständnissen führen, weil man viele der gängigen und empfehlenswerten Tools weiterhin landläufig als „Cookie-Wall“ bezeichnet.

Eine Einwilligung ist auf der Grundlage des Art. 7 DSGVO wirksam einzuholen. Dafür hat der Nutzer die Einwilligung informiert, separat, freiwillig und aktiv zu erteilen. Darüber hinaus ist beim Einsatz von Cookies zu beachten, dass die Cookies nicht vor der Einwilligungserteilung bereits eingesetzt und Daten übermittelt werden.

Was bedeuten diese Entwicklungen für die Praxis?

Dies führt aus unserer Sicht zu den nachfolgenden Konsequenzen:

  • Der bisher übliche Einsatz der Cookies für Analyse- und Marketingzwecke mit den üblichen „Cookie-Bannern“ und der unterstellten bzw. konkludenten Einwilligung entspricht nicht den Vorgaben des TMG, DSGVO und der E-Privacy-Richtlinie.
  • Der Nutzer muss vor dem Einsatz dieser Cookies eine nach den Anforderungen der DSGVO wirksame Einwilligung abgeben. Ankreuzkästchen dürfen nicht voreingestellt sein. Für technisch notwendige Cookies ist dagegen keine Einwilligung erforderlich (dies wird in der Praxis häufig durch ein voreingestelltes Kästchen dargestellt).
  • Cookies, die nicht technisch erforderlich sind, dürfen nicht bereits vor der Einwilligungserteilung eingesetzt werden und Daten übermitteln.
  • Es sind z.B. Consent-Management-Lösungen notwendig, die die Einwilligungen wirksam einholen und hinreichend dokumentieren sowie Änderungen (Widerruf der Einwilligung), etc. verwalten können. Hierbei können bestimmte Klassifizierungen der Cookies vorgenommen werden. Als Klassifizierungen kommen insbesondere Funktionalität, Reichweitenmessung und Marketing in Betracht.
  • Vermeidung von sog. Cookie Walls im Sinn der Stellungnahme des EDSA. Der Nutzer muss auch ohne eine Einwilligung zu Cookies für Funktionalität, Reichweitenmessung und Marketing die Möglichkeit haben, die Website zu nutzen.
  • Die bisher verwendeten Datenschutzhinweise sind an die erweiterten Anforderungen des BGH und EuGH anzupassen, insbesondere Funktionsdauer und Zugriffe durch Dritte.
  • Aus der Entscheidung des BGH ergibt sich, dass eine sofortige Umstellung empfehlenswert ist. Individuelle Klagen von Verbrauchern bzw. Verbraucherschutzverbänden und entsprechende Abmahnungen von Wettbewerbern sowie Maßnahmen der Datenschutzaufsichtsbehörden sind ab jetzt unmittelbar zu erwarten.

Bisher noch offen ist, wie der Website Betreiber die Cookie Management Lösung gestalten darf. Diesbezüglich stellt sich insbesondere die Frage, ob der zuerst erscheinende, neu gestaltete Cookie Banner neben dem allgemeinen Informationstext (mit Link zur detaillierten Cookie Policy) nur zwei Kästchen vorsehen darf, mit denen der Nutzer entweder alle Cookies akzeptieren oder zu den Cookie Einstellungen gelangen kann. Bei dieser Lösung könnte der Nutzer erst auf einer zweiten Seite die Anwahl von einzelnen Cookie-Kategorien vornehmen oder die Einstellungen so treffen, dass keine weiteren Cookies gesetzt werden („Alternative 1“). In dem Zusammenhang ist problematisch, ob die Einwilligung noch freiwillig ist, wenn der Nutzer mehrere Klicks vornehmen muss, um die Webseite zu nutzen, wenn der Nutzung dieser Cookies nicht zustimmen möchte, während die bei einer Einwilligung für alle Cookies schneller möglich ist.

Eine andere und sicherlich zulässige Gestaltung der Cookie Management Lösung wäre daher, dass der Nutzer bereits auf der ersten Seite des neuen Cookie Banners die Auswahlmöglichkeiten für alle Kategorien der Cookies angezeigt bekommt und dort direkt durch einen Klick alle Cookies akzeptieren kann oder eben durch mehrere Klicks seine Auswahl vornimmt („Alternative 2“).

Weder die deutschen Datenschutzbehörden noch die Rechtsprechung haben sich (derzeit) zu dieser Frage geäußert. Bei der Verwendung der Alternative 2 ist davon auszugehen, dass der Cookie Banner und damit die Einholung der Einwilligung zulässig ist. Die Alternative 1 hat die dänische Datenschutzbehörde als unzulässig eingestuft, weil ein gewisser Zwang zur Erteilung der Einwilligung zu allen Cookies bestehe. Aus dieser Entscheidung der dänischen Datenschutzbehörde geht keine Bindungswirkung für deutsche Unternehmen hervor, allerdings könnte dies eine Signalwirkung für die Ansicht der deutschen Datenschutzbehörden haben.

Zurück zur Übersicht

Dr. Jürgen Hartung

Dr. Jürgen Hartung

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 643
F +49 221 2091 333

E-Mail
Patrick Schwarze

Patrick Schwarze

AssociateRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 406
F +49 221 2091 333

E-Mail