BGH: Speicherung von Cookies auf Endgeräten ist nur mit wirksamer Einwilligung zulässig

Mit Urteil vom 28. Mai 2020 entschied der Bundesgerichtshof (BGH) über die Zulässigkeit einer Einwilligung in Form eines vorangekreuzten Kästchens (Az.: I ZR 7/16 – Cookie-Einwilligung II). Dem Urteil ging eine Vorlage an den EuGH voraus, welcher die aktive Einwilligung als zwingende Voraussetzung für das Speichern von Cookies auf Endgeräten ansah.

Zum Sachverhalt

Im zugrundeliegenden Fall klagte der Bundesverband der Verbraucherzentralen gegen die im September 2013 unter ihrer Internetadresse ein Gewinnspiel ausrichtende Beklagte.

Im Zuge des Gewinnspiels sollten im Anschluss an Eingabe von Namen und Adresse zwei Einwilligungen abgegeben werden. Das erste hierfür vorgesehene, nicht vorangekreuzte Kästchen sollte die Bestätigung darstellen, Werbung durch separat auszuwählende Sponsoren und Kooperationspartner der Klägerin via Post, Telefon, E-Mail oder SMS zuzulassen.

Durch ein zweites, vorangekreuztes Kästchen sollte sich der Gewinnspielteilnehmer einverstanden erklären, dass Cookies auf seinem Endgerät gespeichert werden dürfen. Anhand dieser kann mittels Nutzer-ID ein pseudonymes Profil erstellt werden, dass den Einwilligenden seitenübergreifend wiedererkennt und somit das Surfverhalten offenbart.

Der Urteilsspruch

Der BGH stellte fest, dass in diesem Fall beide Einwilligungen nicht wirksam erteilt wurden. Für die Voraussetzungen an eine wirksame Einwilligung ist die ePrivacy-Richtlinie 2002/58/EG maßgeblich, die auch nach Wirksamkeit der EU-Datenschutz-Grundverordnung (DSGVO) weiterhin anwendbar ist. Die Voraussetzung einer Einwilligung für das Speichern von Cookies ergibt sich aus der entsprechenden Änderung über die Richtlinie 2009/136/EG in der es heißt:

„(…) die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, (ist) nur gestattet (…), wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. (…) Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“

Der BGH bestätigte in seinem Urteil die Auffassung des zuvor angerufenen EuGHs und legte § 15 Abs. 3 S. 1 TMG entsprechend richtlinienkonform aus. Einen Umsetzungsakt ins nationalstaatliche Recht hat es bisher in einer solchen ausdrücklichen Form nicht gegeben. Laut BGH kann das Einwilligungserfordernis in § 15 TGM aber in das Widerspruchserfordernis „hineingelesen“ werden. Der BGH führt hierzu aus:

„Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.“

Als Rechtsfolge einer unwirksamen Einwilligung hat der Kläger einen Unterlassungsanspruch gegenüber dem Websitebetreiber. Die geltende DSGVO ist nunmehr für die Definition der Einwilligung heranzuziehen (Art. 4 Nr. 11 DSGVO). Eine darin geforderte eindeutig bestätigende Handlung des Einwilligenden setzt ein aktives Tun in Form einer proaktiven Handlung (hier: Anklicken eines Kästchens) voraus.

Doch auch im Falle der Einwilligung mittels Opt-in ist laut BGH ein strenger Maßstab an deren Wirksamkeit anzulegen. Nach DSGVO scheitert diese Wirksamkeit im vorliegenden Fall an der Voraussetzung „für einen bestimmten Fall“. Insoweit ergäbe sich hierzu kein Unterschied zur ehemals in der Richtlinie Art. 2 Buchst. h der Richtlinie 95/46/EG enthaltenen Voraussetzung „in Kenntnis der Sachlage“. Eine Neubeurteilung aufgrund von anderen etwaigen herbeigeführten Rechtsänderung ergebe sich nicht. Der Nutzer sei durch die separat auszuwählenden Sponsoren bewusst in die Irre geführt worden.

Tipp: Wir kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Datenschutzrechtliche Beurteilung

Wenig überraschend folgt das Urteil des Bundegerichtshofes der Auslegung des EUGHs, durch welchen kürzlich die Einwilligungsvoraussetzung bereits für alle Cookies bejaht worden war.

Daraus lässt sich die nun zwingend erforderliche Einwilligungsvoraussetzung für (fast) alle zu setzenden Cookies und auch ein Zugriff auf bereits auf dem Gerät des Nutzers abgelegte Informationen ableiten. Dies gilt dann nicht nur für zu Werbezwecken eingesetzte Cookies, sondern auch für Komfortfunktionen, wie die Speicherung von Präferenzen (Sprache o.ä.) und selbst dann, wenn es sich um nicht personenbezogene Cookies handelt.

Anderes gilt nur für zwingend erforderliche Cookies. Welche Cookies jedoch als „technisch unabdingbar“ akzeptiert werden, kann derzeit nicht rechtssicher beurteilt werden.

Auch wenn die richtlinienkonforme Auslegung (Widerspruch gleich Einwilligung) nicht überzeugt, wird das Echo des Urteils in Hinblick auf dessen Tragweite noch nachhallen. Bis heute gibt es noch keinen umgesetzten, nationalstaatlichen Rechtsakt, der in einer baldigen Novellierung des TMG münden wird. Hierin wird dann wohl endlich auch die Einwilligungsvoraussetzung für sämtliche Cookies hierzulande in einem formellen Gesetz zu finden sein.

Ob man hierdurch Regelungen der geplanten e-Privacy Verordnung vorwegnimmt oder gar auf den Verordnungstext Einfluss nimmt, bleibt offen. Denn selbst, wenn die e-Privacy Verordnung wider Erwarten die Frage nach einer verpflichtenden Einwilligungsvoraussetzung verneinen wird, kann sich der das Schutzniveau erhöhende Mitgliedstaat über eine entsprechende Regelung hinwegsetzen.

Fazit: Das Ende der Cookies naht

Cookies sind angezählt. Aber nicht nur die Hürden, die das Urteil für den Einsatz von Cookies aufstellt, sind dafür verantwortlich. Allein aufgrund bestehender Browsereinstellungen und von Ad-Blockern, mit denen sehr viele Nutzer das Setzen von Cookies verhindern, wird die Notwendigkeit des Einsatzes von Cookies, insbesondere zu Werbezwecken, zunehmend hinterfragt werden müssen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Ein Nutzer Profile Picture
    Ein Nutzer

    Hallo,
    Vielen Dank für diese Erklärung. Das Ende des Cookies wird tatsächlich nun deutlich beschleunigt, denn, welcher Nutzer klickt freiwillig, oder „willigt aktive ein“, um z.B. Marketing Cookies zu setzen.

    Eine andere Sachlage ist für mich aber noch nicht klar geregelt. Was passiert den beim Einsatz von z.B. Google Webfonts oder CDN Netzwerken. Hier wird zumindest die IP-Adresse ohne vorherige Einwilligung des Users an Dritte oder AV-Verarbeiter übermittelt. Wenn ich obiger Erklärung folge, dann müsste doch Eigentlich analog zum Cookie-Optin auch ein Optin für solche Dienste angeboten werden. Technisch sind schließlich keine Google Fonts oder CDNs nötig, diese sollen nur dem Weberlebnis dienen.

    Gibt es hierzu schon ein Urteil oder gesichertes Wissen wie hiermit umzugehen ist?

    Mit freundlichen Grüßen
    xxx

    1. Martin Röleke Profile Picture
      Martin Röleke

      Guten Tag,

      danke für Ihr Interesse und das Aufwerfen der interessanten Frage.

      Wie erkannt, sind die Sachverhalte Cookies und Fonts/CND Netzwerke nicht 1:1 übertragbar. Bei Cookies geht es im vorliegenden Fall vor allem auch um die Tatsache, dass diese auf dem Endgerät des Nutzers abgelegt werden. Daher ist die Einwilligung auch unabhängig von einem Personenbezug notwendig. Der datenschutzrechtliche Anwendungsbereich ist (theoretisch) nicht zwingend eröffnet. Die Einwilligungsvoraussetzung richtet sich nach TMG/ePrivacy Richtlinie und nicht zwingend nach Datenschutzrecht und damit der DSGVO.

      Bei Sprachbibliotheken, die nicht lokal nachgeladen werden, findet über den Browser des Nutzers eine Kommunikation mit Servern von Dritten statt. Hierdurch werden durch die Server-Logs automatisch Daten von dem jeweiligen Datenhoster erhoben. Da diese insbesondere auch die IP-Adresse und uU einen bestimmten digitalen Fußabdruck betrifft, handelt es sich um eine Weitergabe auch von personenbezogenen Daten. Hiervon handelt das Urteil nicht. Die Datenweitergabe richtet sich nach den allgemeinen datenschutzrechtlichen Voraussetzungen und kann ebenfalls entweder auf eine Einwilligung oder aber möglicherweise auch auf das berechtigte Interesse des Webseitenbetreibers gestützt werden. Hier können zum Beispiel IP-Anonymisierung, Auswahl des Datenhosters etc. eine Abwägung zugunsten des Webseitenbetreibers bedeuten.

      Auch hier gibt es leider keine allgemeingültige Antwort. Wir hoffen, dass mit der Novellierung des TMG und einer möglichen ePrivacy-Verordnung künftig mehr Rechtssicherheit bestehen wird.

      Viele Grüße
      Martin Röleke

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.