Der Bundesgerichtshof hat Ende Mai sein lange erwartetes Urteil zur Einwilligung bei Cookies gefällt (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II). Es ging um die Frage, ob für den Einsatz von Tracking-Cookies ein Opt-in der Nutzer der Website erforderlich ist und wir eine Einwilligung gegebenenfalls eingeholt werden kann. Das Verfahren war zwischenzeitlich beim Europäischen Gerichtshof anhängig und ist nun abgeschlossen.

Im Ergebnis nichts Neues

Das Ergebnis der Entscheidung ist nicht überraschend. Nachdem der EuGH entschieden hatte, dass man eine Einwilligung in das Setzen von Cookies nicht durch eine Erklärung des Nutzers erreichen kann, die eine vorbelegtes Häkchen ausnutzt, war klar, dass dies der BGH auch so sehen würde.

---

Cookie-Sprechstunde bei 121Watt
Weil derzeit gerade in den Marketingabteilungen und bei den E-Commerce-Verantwortlichen viel Unsicherheit besteht, wie die Cookie-Banner richtig auszusehen haben, bieten wir eine Online-Sprechstunde mit der 121Watt an. Nach einer kurzen Einführung zum BGH-Urteil und zur aktuellen Cookie-Rechtslage erhält jeder Teilnehmer eine belastbare Aussage zur Rechtssicherheit, des auf seiner Website eingesetzten Cookie-Layers. Wegen der großen Nachfrage, gibt es nun neue Termine. Hier geht es zur Anmeldung für das Seminar zum Cookie-Banner.

---

Kreative Rechtsauslegung des BGH

Spannend war vor allem, wie der BGH begründen würde, dass es überhaupt einer Einwilligung in das Setzen von Cookies bedurfte.

In der Europäischen ePrivacy-Richtlinie gibt es schon seit dem Jahre 2009 die Regelung in Art. 5 Abs. 3, wonach die Mitgliedstaaten sicherstellen sollen, dass

„die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen … seine Einwilligung gegeben hat.“

EU-Richtlinien sind – anders als Verordnungen (wie die DSGVO) – von den Mitgliedstaaten in nationales Recht zu übertragen. Im deutschen Recht gibt es bis heute keine Vorschrift, die ein Opt-in ausdrücklich fordert. Genau genommen fehlt eine Regelung, die sich mit dem Auslesen von Informationen aus dem Endgerät des Nutzers im Allgemeinen und Cookies im Besonderen befasst.

Wenn man – wie der BGH – lange sucht, findet man § 15 Abs. 3 TMG, der Nutzerprofile anspricht und Folgendes regelt:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“

Hierin heißt es also ausdrücklich, dass man Nutzungsprofile so lange bilden und verwenden darf, wie der Nutzer nicht widerspricht. Normiert ist also ein lupenreines Opt-out. Der BGH liest die Vorschrift – im Lichte der ePrivacy-Richtlinie und mit dem Vorsatz der Rechtsfortbildung – nun aber so, dass sie ein Opt-in-Erfordernis enthält.

Kurz und bündig: Wer Nutzungsprofile bilden möchte, muss also eine vorgängige Einwilligung des Nutzers einholen. Diese Auslegung steht dem Wortlaut der Regelung eindeutig entgegen, der BGH hält das aber für mit einer richtlinienkonformen Auslegung gerade noch vereinbar. Nachdem der BGH schon den EuGH angerufen hatte, blieb ihm nun kaum noch eine andere Möglichkeit, zu dem gewünschten Ergebnis zu kommen. Ehrlicher wäre gewesen, die Klage abzuweisen und dem deutschen Gesetzgeber aufzugeben, für eine gescheite Umsetzung der Richtlinie zu sorgen. Jetzt müssen wir § 15 Abs. 3 TMG also so lesen, dass genau das Gegenteil von dem herauskommt, was im Gesetz steht.

Podcasts zum Thema

Um Cookies geht es sowohl in Folge #5 von HÄRTING.fm als auch in #94 der Sendung mit der Metrik von Maik Bruns.

Mit meinen Kanzlei-Kolleginnen Frederike Kollmar und Maya El-Auwad unterhalte ich mich bei HÄRTING.fm zu den rechtlichen Folgen des BGH-Urteils. Wir erläutern, warum der BGH so entschieden hat und warum der Weg zum gewünschten Ergebnis mindestens fragwürdig ist.

Im Podcast von Metrika unterhalte stehe ich Maik Bruns Rede und Antwort. Wir besprechen, was die Urteile von BGH und EuGH nun konkret für Website-Betreiber bedeuten und welche Varianten rechtlich zulässig sind. Außerdem plaudert Maik aus dem Nähkästchen, was Conversion Rates einzelner Varianten von Cookie-Layern angeht. Hier geht es zu Folge 94 – Ein Urteil zu Cookies mit Folgen – Was sich nach dem Planet49-Urteil in Deutschland ändert.

 

Was heißt das jetzt für die Praxis der Cookie-Banner?

Jenseits der juristischen Überlegungen ist vor allem interessant, was das Urteil nun für die Praxis bedeutet. Mein Kollege Sebastian Schulz hat die wichtigsten Fragen zum Cookie-Urteil des BGH zusammen gestellt – und ausführlich beantwortet. Hier eine kurze Zusammenfassung.

1. Wann ist ein Cookie-Banner erforderlich?

Spoiler: Einen Cookie-Banner braucht es, wenn eine Einwilligung in die Nutzung von Cookies eingeholt werden soll. Dies gilt für alle Cookies, außer solche

• deren Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder
• die unbedingt erforderlich sind, damit der Anbieter des Dienstes diesen Dienst zur Verfügung stellen kann

2.  Was bedeuten „Auswahlmöglichkeit“ und „voreingestellt“?

Spoiler: Wichtig ist, dass der BGH nicht über einen Cookie-Banner entschieden hat, sondern über einen Button, der zur Teilnahme an einem Gewinnspiel führen sollte und dabei en passant auch ein Cookie-Opt-in eingeholt wurde. Das Cookie Management dreht sich dagegen ausschließlich um die Frage, ob mit dem Klick auf einen Button eine datenschutzrechtliche Einwilligung erteilt wird. Die Einwilligung ist nicht bloßes Beiwerk, sondern die einzige Willenserklärung.

Insofern sind vorbelegte Häkchen im Rahmen von Consent Tools nicht generell verboten.

3. Wie stark darf/muss man Cookies bei Einholung einer Einwilligung clustern?

Spoiler: Clustern ist zulässig. Was zusammen gehört, darf auch zusammen abgefragt werden. Es braucht keine (aktive und gesonderte) Zustimmung für jedes einzelne Cookie.

4. Ist bei Gestaltung des Cookie-Buttons „Nudging“ gestattet“?

Spoiler: Ja.

5. Darf die Möglichkeit der Webseitennutzung an die Abgabe einer Einwilligung gekoppelt werden?

Spoiler: Ja.

6. Kann ein „Weitersurfen“ als Einwilligung gelten?

Spoiler: Unter Umständen ja, aber Vorsicht ist geboten.

7.  In welchem Umfang bestehen Informationspflichten bezogen auf Cookies und wie müssen diese bereitgestellt werden?

Spoiler: Es bedarf der Angabe umfangreicher Pflichtinformationen.

8. Wie ist mit Widerrufen vormals erteilter Einwilligungen umzugehen?

Spoiler: Widerrufe vormals erteilter Einwilligungen müssen administriert werden. Dies kann über das Löschen von Matching-Cookies oder das Setzen von Opt-Out-Cookies geschehen.

9. Existieren Widerspruchsrechte gegen technisch erforderliche Cookies?

Spoiler: Ja, das dürfte sich in der Praxis aber nicht auswirken. Darüber informieren muss man dennoch.

10. Wie kann die Nachweispflicht im Sinne von Art. 5 Abs. 2 DSGVO erfüllt werden?

Spoiler: Durch Speicherung der Entscheidung auf dem Endgerät des Nutzers.

Hier geht es zu der Langfassung des Beitrags zu Cookies.

Sanktionen?

Auch die letzten Unternehmen werden nun nach und nach Consent-Management-Tools einsetzen müssen, wenn sie sich im Einklang mit geltendem Recht befinden wollen. Dies wirft die Frage auf, was dem geschieht, der sich – warum auch immer – dagegen entscheidet.

Hier muss man unterscheiden:

• Ein Verstoß gegen die ePrivacy-Richtlinie selbst ist in Deutschland nicht jusiziabel.
• Ein Verstoß gegen den nach Ansicht des BGH gänzlich neu zu lesende Vorschrift des § 15 Abs. 3 S. 1 TMG ist gem. § 16 Abs. 2 Nr. 4 TMG eine Ordnungswidrigkeit, die mit einer Geldbuße bis zu 50.000,- Euro geahndet werden kann.
• Ein DSGVO-Verstoß ist damit nicht zwingend verbunden, insofern ist das Setzen eines Cookies ohne Einwilligung auch nicht mit den horrenden DSGVO-Bußgeldern bedroht.
• Denkbar ist aber, dass der Einsatz des Tracking-Tools, für dessen Betrieb das Cookie gesetzt wird, gegen die DSGVO verstößt. Dafür ist dann gegebenenfalls der Sanktionsrahmen der DSGVO eröffnet.

Fazit

Der BGH hat das gewünschte Ergebnis (Pflicht zum Cookie-Opt-in auch in Deutschland) über eine befremdliche Negierung des Wortlauts des deutschen Gesetzes erreicht. Klar ist nun, Cookies, die nicht technisch notwendig sind, bedürfen einer vorherigen Einwilligung, wenn sie zulässig sein sollen.

Auch wenn die möglichen Sanktionen zunächst überschaubar sind, bleibt der Rat, sich nun eingehend mit den rechtlichen Vorgaben zu befassen und ein sauberes Cookie-Management zu implementieren.