Der BGH hat in seiner jüngsten Entscheidung (Cookie-Urteil) die datenschutzrechtlichen Zulässigkeit von Cookies beurteilt. Wir erklären, was dieses Urteil bedeutet.
Das Cookie-Urteil in Kürze
Das Setzen von technisch nicht erforderlichen Cookies erfordert eine aktive, transparente und freiwillige Einwilligung des Nutzers. Dies bedeutet, der Nutzer muss mit einer aktiven Handlung, also dem selbständigen Ankreuzen des Einwilligungskästchens in die Verarbeitung zu Werbe- und Analysezwecken einwilligen (Opt-In). Bei technisch notwendigen Cookies, wie z.B. Session Cookies ist weiterhin davon auszugehen, dass keine Einwilligung notwendig ist, da hier u.a. die Rechtsgrundlage in Art. 6 b) DSGVO als Datenverarbeitung im Rahmen der Vertragsanbahnung in Frage kommt, oder eine Verarbeitung durch Art. 6 f) im Rahmen einer Interessenabwägung zulässig ist.
Hintergrund
Der Bundesverband der Verbraucherzentralen hat das Unternehmen Planet 49 u.a. wegen des Setzens eines Cookies zu Werbezwecken verklagt, in dem wie bei Cookies üblich, lediglich die Bestätigung durch einen Klick auf den Cookie Banner erfolgt.
Nach dem Gang durch die Instanzen wurde der Fall dem BGH vorgelegt, welcher das Verfahren ausgesetzt hat, um den EuGH die Frage vorzulegen, ob die Praxis der Einwilligung über ein vorausgefülltes Ankreuzkästchen mit dem Unionsrecht vereinbar ist. Im Urteil vom 1. Oktober 2019 hat der EuGH diese Frage entscheiden (C‑673/17). Hier argumentiert der EuGH: „…deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.“ Und kommt somit zu dem Schluss, dass die Möglichkeit des Abwählens (Opt-Out) für eine wirksame Einwilligung nicht ausreicht und daher ein Opt-In (aktives Ankreuzen des Kästchens) notwendig ist.
Hierbei ist anzumerken, dass der EuGH mit dem o.g. Urteil keinen neuen Grundsatz aufgestellt hat, sondern im Grunde nur bestätigt hat, was u.a. durch die EU Richtlinie 2002/58 (sog. „Cookie-Richtlinie“) bereits länger festgeschrieben ist, nämlich dass nach herrschender juristischer Meinung ein Opt-In notwendig ist.
Was ist mit dem Cookie-Urteil des BGH neu?
Deutschland hat bisher einen Sonderweg bestritten und die Anforderungen aus der EU-Richtlinie 2002/58 und der DSGVO dahingehend nicht umgesetzt, da der Werbeindustrie in § 15 Abs. 3 S.1 TMG ein Zugeständnis gemacht wurde und das Opt-Out (Widerspruchslösung) zugelassen wurde. „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Aus diesem Grund war in Deutschland bisher das Opt-Out bei Cookies das Mittel der Wahl, da es durch den Gesetzgeber legitimiert war, auch wenn diese Legitimierung schon länger offen im Widerspruch zum EU-Recht stand.
Der BGH hat in seiner Pressemitteilung vom 28.05.2020 zum noch nicht veröffentlichten Cookie-Urteil jetzt im Grunde zwei maßgebliche Sachen verkündet.
- Das Gericht hat entschieden bzw. sich der Meinung des EuGHs angeschlossen, dass ein voreingestelltes, ausgefülltes Einwilligungsfeld (Opt-Out) nicht zulässig ist.
- Der BGH hat festgestellt, dass die deutsche Umsetzung des EU-Rechts im Rahmen des § 15 Abs. 3 S.1 TMG bis zum 24.05.2018 mit dem Unionsrecht unvereinbar war.
Dann macht der BGH etwas, was, nennen wir es mal innovativ ist, und sagt, dass der Gesetzgeber mit der Einführung der DSGVO das Telemediengesetz an dem Punkt nicht angepasst hat, und daher davon auszugehen ist, dass Gesetzgeber den § 15 Abs. 3 TMG wohl mit dem Unionsrecht für vereinbar hält. Dies nimmt das BGH zum Anlass zu sagen, dass der § 15 Abs 3 TMG dann wohl richtlinienkonform auszulegen ist. Laut BGH ist der genannte Paragraph demnach nicht unzulässig.
Sinn ergibt dies nicht, weil der Gesetzgeber eine Anpassung des § 15 Abs. 3 TMG bisher nicht durchgeführt hat, weil er mit einer Anpassung auf mittlerweile (halb) tote e-Privacy Verordnung warten wollte und andererseits den Konflikt mit dem Unionsrecht zum Schutz der heimischen Werbewirtschaft akzeptiert hat.
Was ist ein Cookie?
Cookies sind im Grunde nicht viel mehr als kleine Textdateien mit technischen oder personenbezogenen Daten, die ein Webseitenanbieter im Browser des Nutzers speichert. Dies wird im Rahmen von Session Cookies zum einen gemacht, um u.a. Warenkörbe bei nicht angemeldeten Nutzern speichern zu können oder zu Marketingzwecken um Nutzerverhalten zu analysieren und personenbezogene Daten für Retargeting und personalisierte Werbung zu sammeln.