Cookie-Policy 2020

Urteil des Bundesgerichtshofs zur Cookie-Einwilligung – Welche Anforderungen muss ein rechtskonformer Einsatz auf Webseiten erfüllen?

 

Im mittlerweile deutschlandweit bekannten „Planet49“-Verfahren hat der Bundesgerichtshof (BGH) mit Urteil vom 28. Mai 2020 (I ZR 7/16) darüber entschieden, welche Anforderungen an die Einwilligung des Nutzers in die Speicherung von Werbe- oder Marketing-Cookies auf Internetseiten zu stellen sind. 

Das Setzen dieser Cookies erfordert eine aktive Einwilligung der Nutzer von Webseiten. Die Einwilligung muss in Kenntnis der Sachlage und für den bestimmten Fall erfolgen (Transparenzgebot). Vom Einwilligungserfordernis ausgenommen sind laut BGH mit Verweis auf Art. 5 Abs. 3 S. 2 der Richtlinie 2002/22/EG (Datenschutz-RL) lediglich technisch notwendige bzw. für den Webseitenbetrieb essenzielle Cookies. Cookie-Banner, die voreingestellte Häkchen für das Setzen von nicht als lediglich technisch notwendig zu klassifizierenden Cookies beinhalten (Opt-Out), sind nunmehr nicht mehr zulässig. Ebenfalls ist vom Gebrauch reiner Hinweis-Banner ohne Auswahlmöglichkeit nunmehr abzuraten (sog. Implicit consent - vgl. die früher weit verbreitete Version „Mit der weiteren Nutzung dieser Webseite stimmen Sie der Verwendung von Cookies zu“). Das Urteil ist insofern keine Überraschung, als dass es die Vorgaben des EuGH-Urteils vom 1. Oktober 2019 (Rs. C-673/17) umsetzt, den der BGH im Rahmen eines Vorabentscheidungsverfahrens selbst angerufen hatte. 

Interessant ist die Einordnung des Verhältnisses von europäischen Datenschutzvorschriften zum deutschen Telemediengesetz (insb. § 15 Abs. 3 S. 1 TMG) durch den BGH, denn die Vorschrift wurde durch den deutschen Gesetzgeber trotz erheblicher Kritik bisher nicht an Art. 5 Abs. 3 der Datenschutz-RL in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG (E-Privacy-Richtlinie) geänderten Fassung angepasst. Das Problem: § 15 Abs. 3 S. 1 TMG spricht nur vom „Widerspruch“ des Nutzers, nicht hingegen von einer Einwilligung wie es die europäische Richtlinie erfordert. Der BGH hat daher entschieden, dass § 15 Abs. 3 S. 1 TMG (entgegen des an sich eindeutigen Wortlauts) dahingehend richtlinienkonform auszulegen ist, dass „für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“ 

Mit seiner Entscheidung erteilt der BGH der Auffassung der deutschen Datenschutzaufsichtsbehörden eine Absage, die bisher den Standpunkt vertreten haben, dass das TMG mit Geltung der DSGVO keine Anwendung mehr findet. Als Folge des Urteils ist nunmehr bei allen Datenverarbeitungsvorgängen im Zusammenhang mit dem Betrieb von Webseiten eine zweistufige Prüfung erforderlich:

a) zunächst ist zu prüfen, ob der Anwendungsbereich der §§ 11 ff. TMG eröffnet ist und die Anwendung der TMG-Normen von der Öffnungsklausel des Art. 95 DSGVO gedeckt ist;
b) anschließend ist bei Cookies oder technische Maßnahmen, die nicht in den Anwendungsbereich von Datenschutz-RL und TMG fallen, deren Rechtmäßigkeit anhand der Rechtsgrundlagen der DSGVO (Art. 6) zu beurteilen.

Auch im Geltungsbereich der DSGVO stellt ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung dar. Anhand der noch zu veröffentlichenden Urteilsgründe wird der Umstand, dass der BGH die in den Cookies gespeicherte zufallsgenerierte Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, als Pseudonym im Sinne des § 15 Abs. 3 Satz 1 TMG einstuft, weiter zu bewerten sein. Dies hatten die Aufsichtsbehörden in der Orientierungshilfe für Anbieter von Telemedien aus dem Jahr 2019 noch abgelehnt. 

Mit Spannung darf daher die Veröffentlichung der schriftlichen Urteilsgründe durch den BGH erwartet werden.

Die Auswirkungen des Urteils sind immens, da – obwohl der BGH im Urteil nur von Cookies spricht – von der europäischen Datenschutz-RL für elektronische Kommunikation nicht nur Cookies erfasst, sondern auch alle weiteren technischen Maßnahmen auf Webseiten (wie Pixel, Tags, Web-Beacons usw.) betroffen sind und somit den im Urteil aufgestellten Anforderungen genügen müssen. Webseiten-Betreiber sollten also spätestens jetzt, nach der höchstrichterlichen Entscheidung, eine Übersicht aller technischen Maßnahmen ihrer Webseiten erstellen und in einem zweiten Schritt prüfen, ob über den eingesetzten Cookie-Banner für alle einwilligungsbedürftigen Maßnahmen eine funktionierende Einwilligung der Nutzer und Besucher eingeholt werden. Zusätzlich ist zu überprüfen, ob die bestehenden Datenschutzerklärungen die eingesetzten Cookies und weiteren technischen Maßnahmen entsprechend abbilden sowie das Verzeichnis über Verarbeitungstätigkeiten auf dem aktuellen Stand ist. 

Ebenfalls sollten Webseiten-Betreiber sich Gedanken über eine sinnvolle Clusterung der eingesetzten Cookies und technischen Maßnahmen in ihrem Consent-Banner machen und wirksame Widerrufsmöglichkeiten für die erteilten Einwilligungen implementieren. 

Eine weitere interessante Frage, die das Urteil aufwirft, ist die Rechtskonformität der mittlerweile vielerorts zu beobachtenden Cookie-Lösungen, die anhand der Einwilligungsmodalitäten (farbliche Gestaltung der Auswahlmöglichkeiten oder das Verbergen relevanter Informationen hinter mehreren Schaltflächen) die Nutzer und Besucher einer Webseite zu einer Einwilligung in die Cookie-Nutzung bewegen wollen. Die Beurteilung, ob derartige Lösungen die Freiwilligkeit und Informiertheit der Einwilligung gewährleisten, wird mit Sicherheit Gegenstand weiterer Diskussionen werden.

Bei der Umsetzung einer datenschutzrechtskonformen Lösung auf Ihrer Webseite unterstützen und beraten wir Sie gerne.

Kontakt
+49 170 913 76 17
+49 (175) 435 16 96