Schon wieder Cookies – BGH urteilt zur Einwilligungspflicht

Wir hatten bereits in der Vergangenheit über das Urteil des Europäischen Gerichthofs (EuGH) berichtet. Es ging um den Fall „planet49“ und die Frage, inwiefern eine Einwilligung für den Einsatz technisch nicht notwendiger Cookies erforderlich ist. Der EuGH sah die Notwendigkeit einer Einwilligung als gegeben. Auf Basis dieser Grundsatzentscheidung des EuGH ist nun das Urteil des Bundesgerichtshofs (BGH) ergangen, mit dem dieser die Vorgabe des EuGH umgesetzt hat.

Kurze Problemdarstellung zur Erinnerung

In Deutschland sieht §15 Abs. 3 TMG (Telemediengesetz) – zumindest dem Wortlaut nach – vor, dass keine Einwilligung für Cookies notwendig ist, sondern stattdessen der Widerspruch des Nutzers ausreicht:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht [Hervorhebung durch den Autor]

Diese Formulierung ist schon länger Stein des Anstoßes und auch regelmäßig Grundlage von Diskussionen mit unseren Mandanten. Der EuGH hatte in seinem Urteil unter anderem klargestellt (Achtung, deutlich verkürzte Darstellung), dass für den Betrieb einer Webseite nicht notwendige Cookies nur gesetzt werden dürfen, wenn eine (gegebenenfalls nach Art. 7 DSGVO) wirksame Einwilligung vorliegt. Dazu gehört explizit, dass diese Einwilligung aktiv durch den Nutzer erteilt werden muss. Eine Einwilligung kann weder durch einfaches „weitersurfen“, noch durch bereits vorangekreuzte Checkboxen, die nur „abgenickt“ werden müssen, erteilt werden. Er ist damit nur indirekt auf das deutsche TMG eingegangen, dies war dann im Nachgang die Aufgabe des BGH, welcher das Urteil des EuGH in seine Entscheidung einfließen lassen musste.

Was hat der BGH entschieden?

Der BGH entschied in der Folge (Achtung, schon wieder vereinfachte Darstellung), dass die Formulierung „sofern der Nutzer nicht widerspricht“, zu verstehen sei als „wenn der Nutzer eingewilligt hat“.

Nach Informationen der BGH-Pressestelle (Urteil liegt aktuell noch nicht vor) argumentiert der BGH wie folgt:

Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Damit wurde de-facto dieser Teil der deutschen Umsetzung der ePrivacy-Richtlinie im TMG gekippt. Bedauerlicherweise erfolgte die Umsetzung nicht ganz konsequent, da der BGH darauf verzichtete, diese Umsetzung für europarechtswidrig und damit nicht anwendbar zu erklären. Er hat lediglich die eigentlich europarechtswidrige Formulierung europarechtskonform ausgelegt – ein interessanter juristischer Griff in die Trickkiste.

Im Falle der Verarbeitung personenbezogener Daten muss die Einwilligung selbstverständlich den Anforderungen des Art. 7 DSGVO genügen. Dies stellte bereits der EuGH klar (siehe oben) und der BGH hat diese Aussage übernommen.

Was bedeutet das Urteil für Webseitenbetreiber?

Vorab: Technisch notwendige Cookies dürfen auch weiterhin ohne Einwilligung gesetzt werden. Hier ist aber unbedingt darauf zu achten, dass sie auch tatsächlich notwendig sind, um die vom Nutzer gewünschte Leistung (Darstellung der Webseite) zu erbringen. Auch auf die Speicherdauer muss ein Augenmerk gerichtet werden und sie ist auf das absolut notwendige Maß zu beschränken. Technisch notwendige Cookies sind beispielsweise Warenkorb-Cookies, Cookies, die die Spracheinstellung speichern, Login-Cookies und natürlich auch Cookies, welche die Einwilligung zur Speicherung anderer Cookies speichern.

Das sind alles recht klare Beispiele für notwendige Cookies. Die Kunst liegt nun darin, bei den nicht eindeutigen Fällen zu entscheiden, ob ein Cookie zwingend notwendig ist, oder eben nicht. Bei Cookies, die dem Komfort, der Webanalyse, der Reichweitenmessung oder der Profilbildung bzw. dem Tracking dienen, ist in den meisten Fällen davon auszugehen, dass diese nicht dem vom Nutzer angefragten Dienst (Webseite) dienen.

Das Urteil ist übrigens dahingehend auszulegen, dass neben den Cookies auch andere Technologien, die Daten auf den Geräten speichern und/oder auslesen darunterfallen. Hierbei handelt es sich um Fingerprints, Web-Beacons, Pixel, Tags und andere vergleichbare Technologien.

Die bislang häufig verwendeten Cookie-Banner, die ein Weitersurfen auf der aufgerufenen Seite verhindern, sofern die Einwilligung nicht erteilt wird, sind in dieser Form unzulässig. Genauso sieht es bei Einwilligungen mit bereits vorangehakten Kästchen aus.

Letztlich werden nun alle Webseitenbetreiber ihre Webseiten, die darauf eingesetzten Cookies, die dazugehörigen Cookie-Banner und Einwilligungen kurzfristig einer eingehenden Prüfung unterziehen müssen. Sofern die beschriebenen Anforderungen nicht erfüllt werden, sollte dringend kurzfristig nachgebessert werden. Wir vermuten, dass die Aufsichtsbehörden für den Datenschutz zukünftig in Bezug auf Cookies einen deutlich strengeren Blick walten lassen werden. Darüber hinaus setzen sich Webseitenbetreiber dem Risiko der Abmahnung durch Verbraucherschutzorganisationen aus. Den Anstoß für die Entscheidung des BGH gab schließlich die Abmahnung und anschließende Klage des Bundesverbands der Verbraucherzentralen.

Was muss nun auf Webseiten umgesetzt werden?

Letztlich lassen sich die Anforderungen im Rahmen der Cookie-Nutzung auf Webseiten recht kurz zusammenfassen: In den meisten Fällen muss eine wirksame Einwilligung des Nutzers eingeholt werden.

Wir hatten dem Thema Einwilligung in der Vergangenheit bereits einen eigenen, sehr ausführlichen Artikel gewidmet. Hier die verkürzte und auf das Thema Cookies beschränkte Zusammenfassung:

Es kann ein Cookie-Banner genutzt werden, das verhindert, dass Cookies gesetzt werden, bevor durch den Nutzer aktiv die Einwilligung erfolgt. Bereits aktivierte Kästchen, die der Nutzer deaktivieren muss, sind unzulässig. Die Einwilligung kann auch innerhalb eines Registrierungsvorganges eingeholt werden. Auch hier dürfen die Kästchen nicht vorbelegt sein.

Die Einwilligung muss transparent sein. Dazu ist der Nutzer über alle Umstände und Folgen der Einwilligung zu informieren. Hierbei handelt es sich beispielsweise um die Art und Funktion der Cookies. Letztlich müssen die Anforderungen des Art. 13 DSGVO erfüllt sein. Auch für eingebettete Inhalte Dritter gelten diese Vorgaben.

Die Einwilligung muss freiwillig erfolgen. Auch gilt das Koppelungsverbot. Dieses besagt, dass eine Einwilligung für einen Vertragsabschluss oder die Erbringung einer Dienstleistung (gemäß den Urteilen von EuGH und BGH ist hierunter auch die Anzeige einer Webseite zu verstehen) nicht vorausgesetzt werden darf.

Minderjährige können in Deutschland für die meisten Verarbeitungen erst ab einem Alter von 16 Jahren wirksam einwilligen. Somit sollten sie bis zum Erreichen der Altersgrenze die Möglichkeit haben, ohne das Setzen von Cookies fortfahren zu können.

Es ist eine Widerrufsmöglichkeit für eine bereits erteilte Einwilligung anzubieten. Auch muss der Nutzer den Inhalt seiner abgegebenen Einwilligung einsehen können. Das bedeutet, dass auch wenn der Einwilligungstext im Laufe der Zeit geändert wurde, der ursprüngliche Text dem Nutzer weiterhin zur Verfügung zu stellen ist.

Die Platzierung des Cookie-Banners auf der Webseite sollte sorgsam gewählt werden. So sollte das Banner das Impressum, die Datenschutzerklärung und gegebenenfalls andere wichtige Links nicht überdecken.

Sie sehen, es gibt viel zu beachten. Aus Gründen der Rechenschaft empfehlen wir auch, die Entscheidung, warum ein Cookie als zwingend notwendig eingestuft wurde, intern ausführlich zu dokumentieren. Wenn Sie Unterstützung wünschen – wir sind für Sie da.