1.            Einleitung

Mit Urteil vom 28. Mai 2018 in der Rechtssache I ZR 7/16 hat der I. Zivilsenat des deutschen Bundesgerichtshofs („BGH„) eine abschließende Entscheidung über die Frage der Anforderungen an eine datenschutzrechtliche Einwilligung in telefonische Werbung sowie den Einsatz von Cookies getroffen.

Im Gegensatz zum allgemeinen Schutz personenbezogener Daten innerhalb der Europäischen Union, der mehr oder weniger einheitlich durch die Verordnung (EU) 2016/679 („DSGVO„) gewährleistet wird, hatte sich der Problembereich der Cookies schon vor Inkrafttreten der DSGVO emanzipiert.

Auch nach der aktuellen Rechtslage bestehen weiterhin Besonderheiten; Rechtsgrundlage in diesem Zusammenhang ist die Richtlinie 2002/58/EG idF 2009/136/EG („ePrivacy-RL„), welche – wenn sie in Bezug auf eine Form der Datenverarbeitung konkretere Bestimmungen als die DSGVO enthält – als lex specialis zu betrachten ist und dieser daher vorgeht (eine Neuregelung in Form der sogenannten ePrivacy-Verordnung lässt seit Langem auf sich warten).[1]

Schon der erste Verfahrensgang sorgte für großes Aufsehen innerhalb Europas, nachdem der BGH den Gerichtshof der Europäischen Union („EuGH„) zur Vorabentscheidung angerufen hatte, um wesentliche Fragen der Cookie-Nutzung zu klären.[2]

2.            Sachverhalt & Verfahrensgang

Ausgangspunkt des Verfahrens war eine Unterlassungsklage des Bundesverbands der Verbraucherzentralen beim Landgericht Frankfurt am Main gegen die Planet49 GmbH aufgrund der Verwendung unzulässiger Einwilligungserklärungen im Rahmen eines Website-Gewinnspiels. Konkret handelte sich um zwei Hinweistexte, welche durch bereits vorangekreuzte Checkboxen flankiert wurden, von denen nach Wahl des Einwilligenden überhaupt nur eine Checkbox abgewählt werden konnte. Eine der Einwilligungen zielte darauf ab, Sponsoren und Kooperationspartnern der Planet49 GmbH die Zusendung von Werbung (postalisch, telefonisch, elektronisch) an Gewinnspiel-Teilnehmer zu ermöglichen; bei der anderen Einwilligung ging es um die Genehmigung des Einsatzes von Cookies zur Auswertung des Surf- und Nutzungsverhaltens der Teilnehmer durch einen externen Webanalysedienst. Dabei wurde im ersten Fall ein Link bereitgestellt, der zu einer Liste von 57 Sponsoren und Kooperationspartnern mit eingeschränkten Auswahlmöglichkeiten führte, während im zweiten Fall über einen Link nähere Informationen zum Einsatz der Cookies abgerufen werden konnten. Nachdem das Landgericht Frankfurt am Main der Klage grundsätzlich stattgegeben hatte, sah das Oberlandesgericht Frankfurt am Main die Klage im Berufungsverfahren als unbegründet an, da (i) Nutzern ausreichend bewusst sei, dass Häkchen in Checkboxen entfernt werden können und (ii) ausreichende und hinreichend deutliche Informationen erteilt wurden.

Für den BGH als Revisionsgericht war die Entscheidung unter anderem von der Auslegung des Art 5 Abs 3 ePrivacy-RL iVm Art 6 Abs 1 lit a DSGVO (bzw den Bestimmungen zur Einwilligung der Richtlinie 95/46/EG als Vorgängerregelung der DSGVO) abhängig. Art 5 Abs 3 ePrivacy-RL verlangt für die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind (also insb den Einsatz von Cookies), eine Einwilligung auf Basis klarer und umfassender Informationen. Dementsprechend entschied der BGH, den EuGH mit mehreren Vorlagefragen zu betrauen[3], die sich inhaltlich im Wesentlichen wie folgt darstellen (gekürzt): (i) Ist eine Einwilligung in die Verwendung von Cookies & Co wie im Ausgangsfall wirksam, wenn zu ihrer Verweigerung eine bereits angekreuzte Checkbox abgewählt werden muss? (ii) Macht es einen Unterschied, ob es sich bei den Informationen im Endgerät eines Nutzers um personenbezogene Daten handelt? (iii) Welche Informationen sind dem Nutzer konkret zu erteilen – sind davon auch die Funktionsdauer der Cookies sowie die Frage umfasst, ob Dritte Zugriff auf die Cookies erhalten?

In seiner gewohnt strengen Auslegung kam der EuGH zu folgendem Ergebnis: (i) Eine wirksame Einwilligung liegt nicht vor, wenn Einwilligungs-Checkboxen vorangekreuzt sind (siehe dazu ähnliche Rechtsprechung hinsichtlich „pre-ticked boxes“); (ii) im Hinblick auf Art 5 Abs 3 ePrivacy-RL macht es keinen Unterschied, ob Informationen im Endgerät eines Nutzers personenbezogen sind; (iii) die Funktionsdauer der Cookies sowie ob Dritte darauf Zugriff erhalten können, sind notwendige Informationen, die der Websitebetreiber seinen Nutzern zu erteilen hat.

Nach Abschluss des Vorabentscheidungsverfahrens durch die Entscheidung des EuGH vom 1. Oktober 2019, hatte der BGH nunmehr den Ausgang des Ursprungsverfahrens final zu entscheiden. Dabei vertritt er die Ansicht, dass der im Zusammenhang mit Cookies heranzuziehende § 15 Abs 3 S 1 des deutschen Telemediengesetzes („TMG„) – entgegen des ausdrücklichen Wortlauts – richtlinienkonform auszulegen ist (fraglich ist dabei allerdings, ob sich diese Auslegung noch innerhalb der Grenze des Auslegungsspielraums der innerstaatlichen Norm bewegt; nach Ansicht des BGH steht der richtlinienkonformen Auslegung nicht einmal die Tatsache entgegen, dass faktisch gar kein Umsetzungsakt durch den deutschen Gesetzgeber gesetzt wurde). Praktisch wurden die Bestimmungen des Art 5 Abs 3 ePrivacy-RL durch die Mitgliedstaaten der Europäischen Union sehr unterschiedlich umgesetzt. In Deutschland wäre nach dem Wortlaut des Art 15 Abs 3 S 1 TMG lediglich ein Cookie-Opt-out erforderlich (§ 96 Abs 3 des österreichischen Telekommunikationsgesetzes 2003 sieht dagegen etwa ein Opt-in vor, stellt jedoch nur auf personenbezogene Daten ab).

Auch der Begriff „Einwilligung“ generell ist laut dem BGH richtlinienkonform bzw DSGVO-konform auszulegen; die Einwilligung in die Übermittlung von Werbung durch Sponsoren und Kooperationspartner der Planet49 GmbH sei damit weder „in Kenntnis der Sachlage“ (der Nutzer muss konkret wissen, dass seine Erklärung eine Einwilligung darstellt und worauf sie sich bezieht) noch für den „bestimmten Fall“ iSv Art 4 Z 11 DSGVO erfolgt, als Nutzer mit einem aufwendigen Verfahren konfrontiert werden, das sie veranlassen soll, die Auswahl von Partnerunternehmen für die Übermittlung von Werbung dem Gewinnspielanbieter selbst zu überlassen (der Nutzer muss vom Inhalt der Liste der Partnerunternehmen und seinem Wahlrecht Kenntnis nehmen). Im Ergebnis wurde die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

3.            Anmerkung

Da die Anforderungen an eine richtlinienkonforme Cookie-Nutzung innerhalb der Europäischen Union bereits durch die Vorabentscheidung des EuGH[4] klargestellt wurde, hat das Folgeurteil des BGH keine unmittelbaren praktischen Implikationen. Dennoch lässt es den für einen Cookie-Einsatz ohne aktive Einwilligung verbleibenden Argumentationsspielraum weiter schrumpfen – eine (erfolgsversprechende) Berufung auf eine von der Richtlinienvorgabe abweichende nationale Umsetzung in diesem Bereich ist mittlerweile fast ausgeschlossen; dies ist vor allem auch deswegen der Fall, weil mit Deutschland einer jener Mitgliedstaaten die Vorgaben des EuGH für an- und durchsetzbar erklärt, dessen nationale Bestimmung besonders stark vom Wortlaut des Art 5 Abs 3 ePrivacy-RL abweicht.

Generell kommt die Einwilligungspflicht hinsichtlich des Einsatzes von Cookies allmählich in der internationalen Praxis an – immer mehr Websites warten mit Einwilligungsmasken auf. Im Detail sind jedoch diverse Unterschiede zwischen den einzelnen Lösungen zu erkennen. Vielfach ist ein einziger Button ersichtlich, der zur Akzeptanz sämtlicher Cookies führt; möchte man die Cookie-Setzung unterbinden, muss man auf eine Detailansicht wechseln, in deren Rahmen Cookies bzw Anbieter mühsam abgewählt werden müssen, was wiederum den zuvor erläuterten Vorgaben widerspricht.

Um möglichst rechtssicher vorzugehen, empfiehlt es sich, nur die Setzung technisch notwendiger Cookies – die ohne Einwilligung möglich ist – als Standardfall oder zumindest einen zweiten Button vorzusehen, durch dessen Betätigung automatisch nur notwendige Cookies verwendet werden. Neben der grundsätzlichen Einholung der Einwilligung müssen auch zahlreiche Informationen erteilt werden, was sich gerade bei der Implementierung von Drittanbieter-Software (zB Webanalysetools) schwierig gestalten kann, da der Websitebetreiber diese Informationen oft nicht hat. Letztlich hat der Nutzer die Möglichkeit, datenschutzrechtliche Einwilligungen jederzeit zu widerrufen, was technisch sichergestellt werden sollte; im Fall eines solchen Widerrufs können die Cookies mit einer negativen Gültigkeitsdauer versehen werden, wodurch es zu einer Löschung auf dem Endgerät des Nutzers kommt.

Damit auch der einzelne Websitebetreiber durch diese Vorgaben nicht überfordert wird, gibt es mittlerweile zahlreiche Unternehmen, die (teils auch kostenlose) Cookie-Einwilligungslösungen (sowie ggf weitere Funktionen) anbieten. Diese können relativ einfach in die eigene Website integriert werden. Ein österreichisches Unternehmen, das mit einem besonders umfassenden Funktionsumfang in diesem Bereich glänzt, ist etwa die in Wels beheimatete DataReporter GmbH. Durch das Produkt „WebCare“ können die Anforderungen an einen konformen Einsatz von Cookies (und mehr) praktisch vollautomatisiert umgesetzt werden; nähere Informationen dazu finden sich unter https://cookiebanner.at/.

Tamino Chochola

*    *    *

[1] Europäischer Datenschutzausschuss, Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities, https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf (Stand 12.3.2019).

[2] EuGH C-673/17, Planet49, ECLI:EU:C:2019:801.

[3] EuGH C-673/17, Planet49, ECLI:EU:C:2019:801.

[4] EuGH C-673/17, Planet49, ECLI:EU:C:2019:801.