Bundesgerichtshof: Werbecookies nur mit Einwilligung

05 August, 2020

Von Dr. Jan Peter Ohrtmann und Dr. Alexander Golland. Der Bundesgerichtshof (BGH) hat eine Entscheidung in dem vielbeachteten Verfahren „Planet 49“ getroffen (Urteil vom 28. Mai 2020, Az. I ZR 7/16). Gegenstand des Rechtsstreits war unter anderem die Frage, ob Werbecookies unter § 15 Abs. 3 Telemediengesetz (TMG) fallen und somit auch ohne Einwilligung gesetzt werden dürfen oder einer datenschutzrechtlichen Einwilligung bedürfen.

Außerdem galt es zu klären, ob die Bestätigung eines bereits vorausgefüllten Ankreuzfeldes im Anschluss an einen Hinweistext eine datenschutzrechtlich zulässige Einwilligung darstellt. Diese Fragen hat der BGH nun beantwortet.

Vorgeschichte

Dem Urteil war eine Entscheidung des Europäischen Gerichtshofs (EuGH) im Oktober 2019 (Urteil vom 1. Oktober 2019, Rs. C-673/17) vorangegangen. Dieser hatte in Anwendung von Art. 5 Abs. 3 der Richtlinie (EU) 2002/58/EG (ePrivacy-Richtlinie) entschieden, dass Cookies grundsätzlich der Einwilligung bedürfen, es sei denn, dass sie „unbedingt erforderlich“ sind, um den vom Nutzer gewünschten Dienst zur Verfügung zu stellen.

Abweichend hiervon ist in § 15 Abs. 3 TMG geregelt, dass der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Nach dem reinen Wortlaut der TMG-Norm wäre ein Einsatz von Cookies für Marketingzwecke auch ohne Einwilligung grundsätzlich zulässig. Die Anwendbarkeit der Norm ist seit jeher umstritten: Trotz erheblicher Zweifel an ihrer Europarechtskonformität hielt der deutsche Gesetzgeber an ihr fest. Die Datenschutzaufsichtsbehörden haben nach Geltung der Datenschutz-Grundverordnung (DSGVO) dagegen erklärt, die §§ 11 ff. TMG könnten nicht mehr angewendet werden.

Cookies bedürfen „grundsätzlich“ der Einwilligung

Der BGH hat nun entschieden, dass Werbecookies nicht „unbedingt erforderlich“ im Sinne der ePrivacy-Richtlinie sind und ihre Verarbeitung regelmäßig eine datenschutzrechtliche Einwilligung voraussetzt: Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handle es sich um ein Pseudonym im Sinne des § 15 Abs. 3 TMG. Im Streitfall seien die Speicherung und der Abruf der Cookies jedoch nicht nach Maßgabe der ePrivacy-Richtlinie notwendig, sondern dienten lediglich der Werbung. § 15 Abs. 3 TMG sei mit Blick auf Art. 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform dahin auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich sei.

Der richtlinienkonformen Auslegung des § 15 Abs. 3 TMG stehe nicht entgegen, dass der deutsche Gesetzgeber nach Inkrafttreten der ePrivacy-Richtlinie keinen Umsetzungsakt vorgenommen habe. Der Gesetzgeber habe die bestehende Rechtslage in Deutschland für richtlinienkonform erachtet. Mit dem Wortlaut des § 15 Abs. 3 TMG sei, so das Gericht, eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung könne mit Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, ein Widerspruch gegen die Erstellung von Nutzungsprofilen gesehen werden.

Das Gericht hält die datenschutzrechtliche Regelung in § 15 TMG auch nach Geltung der DSGVO weiterhin für anwendbar, da Art. 95 DSGVO die Anwendung nationaler Umsetzungen der ePrivacy-Richtlinie erlaube.

Keine Einwilligung bei vorangekreuztem Kästchen

Weniger überraschend urteilte der BGH, dass die Bestätigung eines Hinweistextes mit einem vorangekreuzten Opt-in-Feld keine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 lit. a, Art. 7 DSGVO darstellt. Bei einem vorangekreuzten Opt-in-Feld fehle es demnach an der eindeutigen und insbesondere aktiven Handlung, aus der sich die Zustimmung des Betroffenen mit der Verarbeitung der Daten ergibt. Eine wirksame Einwilligung liege daher nicht vor, wenn der Nutzer ein Kästchen zur Verweigerung seiner Einwilligung abwählen muss.

Verbot von Dark Patterns?

Zudem ist zur Wirksamkeit der Einwilligung erforderlich, dass sie informiert und für den bestimmten Fall erteilt wird (Art. 4 Nr. 11 DSGVO). Eine Erteilung „in Kenntnis der Sachlage“ und „für den konkreten Fall“ liege nach Ansicht des Gerichts hingegen nicht vor, wenn bei einer Werbeeinwilligung nicht klar werde, welche Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlte es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt sei, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen.

Konsequenzen für die Praxis

Für die Praxis bedeutet das Urteil zunächst, dass Unternehmen die Technologie ihrer Websites anpassen müssen: Cookies, die nicht für den Betrieb des vom Nutzer angefragten Diensts erforderlich sind, dürfen nicht ohne datenschutzkonforme Einwilligung gesetzt werden. Insoweit wird dabei (noch) deutlicher zwischen Werbecookies und solchen Cookies, die zum Betrieb einer Webseite erforderlich sind, unterschieden werden müssen. Erst wenn der Nutzer eingewilligt hat, dürfen etwa Marketing- oder Targeting-Cookies auf dem Endgerät des Nutzers gespeichert bzw. abgerufen werden. Vor allem für die Verlags- und Werbebranche, die große Umsätze mittels zielgruppenspezifischer Werbung erzielen, tun sich große Herausforderungen auf.

Mit der „Wiederbelebung“ des TMG liefert der BGH ein Husarenstück ab. Das Gericht legt § 15 Abs. 3 TMG richtlinienkonform entgegen dem eindeutigen Wortlaut aus. Insofern ist für sämtliche Datenverarbeitungsvorgänge im Zusammenhang mit Websites eine Doppelprüfung vorzunehmen, ob der Anwendungsbereich der §§ 11 ff. TMG eröffnet ist und die Anwendung von der Öffnungsklausel des Art. 95 DSGVO gedeckt ist. Nur außerhalb der Sperrwirkung durch die Vorschriften der ePrivacy-Richtlinie sind die „normalen“ Rechtsgrundlagen in Art. 6 DSGVO heranzuziehen. Darüber hinaus sind Datenschutzerklärungen im Zusammenhang mit Websites zu überarbeiten und die entsprechenden Einträge im Verzeichnis der Verarbeitungstätigkeiten zu aktualisieren.

Schwierigkeiten wirft das vom BGH aufgestellte Verbot auf, Nutzer nicht durch eine bestimmte Gestaltung der Einwilligungsmodalitäten zu einer Einwilligung zu bewegen. Gemeint sind hiermit die in der Verhaltensökonomie viel diskutierten Dark Patterns. Das insoweit sehr abstrakte Urteil lässt die Grenze zwischen einem zulässigen Nudge zur Einwilligung und einem die Freiwilligkeit der Einwilligung ausschließenden Verhaltenszwang verschwimmen.

Zuletzt bedeutet das Urteil für die Aufsichtsbehörden einen Gesichtsverlust: Diese hatten nach Geltung der DSGVO pauschal erklärt, die §§ 11 ff. TMG seien nicht anwendbar. Der von den Aufsichtsbehörden vertretenen Ansicht erteilte der BGH nun eine Absage. Ob der Gesetzgeber das Urteil zum Anlass für eine umfassende Reform der datenschutzrechtlichen Vorschriften des TMG nehmen wird, ist unklar. Ebenso ist ein Abwarten des Inkrafttretens der künftigen ePrivacy-Verordnung denkbar.

IT Security & Data Protection News

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Die IT Security & Data Protection News informieren regelmäßig über aktuelle Änderungen und Entwicklungen im Bereich IT-Sicherheit und Datenschutz.

Weitere Inhalte und Artikel

Contact us

Dr. Jan-Peter Ohrtmann

Dr. Jan-Peter Ohrtmann

Partner, PwC Germany

Tel.: +49 211 981-2572

Dr. Alexander Golland

Dr. Alexander Golland

Senior Associate, PwC Germany

Tel.: +49 211 981-2007

Follow us