Datenschutz und Cybersecurity

BGH: Werbecookies nur mit Einwilligung (Update)

Verfasst von

Dr. Jan-Peter Ohrtmann

Der Bundesgerichtshof hat am 28. Mai 2020 eine Entscheidung in dem vielbeachteten Verfahren „Planet 49“ getroffen (Urteil vom 28.05.2020, Az.: I ZR 7/16). Gegenstand des Rechtsstreits war unter anderem die Frage, ob Werbecookies dem § 15 Abs. 3 Telemediengesetz („TMG“) unterfallen und somit auch ohne Einwilligung gesetzt werden dürfen, oder einer datenschutzrechtlichen Einwilligung bedürfen. Außerdem galt es zu klären, ob die Bestätigung eines bereits vorausgefüllten Ankreuzfeldes im Anschluss an einen Hinweistext eine datenschutzrechtlich zulässige Einwilligung darstellt. Diese Fragen hat der BGH nun beantwortet.

Vorgeschichte

Dem Urteil war eine Entscheidung des Europäischen Gerichtshofs („EuGH“) im Oktober 2019 (Urt. v. 1.10.2019, Rs. C-673/17) vorangegangen. Dieser hatte in Anwendung von Art. 5 Abs. 3 der Richtlinie (EU) 2002/58/EG („ePrivacy-Richtlinie“) entschieden, dass Cookies grundsätzlich der Einwilligung bedürfen, es sei denn, dass sie „unbedingt erforderlich“ sind, um den vom Nutzer gewünschten Dienst zur Verfügung zu stellen.

Abweichend hiervon ist in § 15 Abs. 3 TMG geregelt, dass der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Nach dem reinen Wortlaut der TMG-Norm wäre ein Einsatz von Cookies für Marketingzwecke auch ohne Einwilligung grundsätzlich zulässig. Die Anwendbarkeit der Norm ist seit jeher umstritten: Trotz erheblicher Zweifel an ihrer Europarechtskonformität hielt der deutsche Gesetzgeber an ihr fest. Die Datenschutzaufsichtsbehörden haben nach Geltung der Datenschutz-Grundverordnung („DSGVO“) dagegen erklärt, die §§ 11 ff. TMG könnten nicht mehr angewendet werden.

Cookies bedürfen „grundsätzlich“ der Einwilligung

Der BGH hat nun entschieden, dass Werbecookies nicht „unbedingt erforderlich“ im Sinne der ePrivacy-Richtlinie sind und ihre Verarbeitung regelmäßig eine datenschutzrechtliche Einwilligung voraussetzt: Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handele es sich um ein Pseudonym im Sinne des § 15 Abs. 3 TMG. Im Streitfall sei die Speicherung und der Abruf der Cookies jedoch nicht nach Maßgabe der ePrivacy-Richtlinie notwendig, sondern diene lediglich der Werbung. § 15 Abs. 3 TMG sei mit Blick auf Art. 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform dahin auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich sei.

Der richtlinienkonformen Auslegung des § 15 Abs. 3 TMG stehe nicht entgegen, dass der deutsche Gesetzgeber nach Inkrafttreten der ePrivacy-Richtlinie keinen Umsetzungsakt vorgenommen habe. Der Gesetzgeber habe die bestehende Rechtslage in Deutschland für richtlinienkonform erachtet. Mit dem Wortlaut des § 15 Abs. 3 TMG sei, so das Gericht, eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung könne mit Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, als Widerspruch gegen die Erstellung von Nutzungsprofilen gesehen werden.

Das Gericht hält die datenschutzrechtliche Regelung in § 15 TMG auch nach Geltung der DSGVO weiterhin für anwendbar, da Art. 95 DSGVO die Anwendung nationaler Umsetzungen der ePrivacy-Richtlinie erlaube.

Keine Einwilligung bei vorangekreuztem Kästchen

Weniger überraschend urteilte der BGH, dass die Bestätigung eines Hinweistextes mit einem vorangekreuzten Opt-In-Feld keine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 lit. a, Art. 7 DSGVO darstellt. Bei einem vorangekreuztes Opt-In-Feld fehle es demnach an der eindeutigen und insbesondere aktiven Handlung, aus welcher sich die Zustimmung des Betroffenen mit der Verarbeitung der Daten ergibt. Eine wirksame Einwilligung liegt daher nicht vor, wenn der Nutzer ein Kästchen zur Verweigerung seiner Einwilligung abwählen muss.

Verbot von „dark pattern“?

Zudem ist zur Wirksamkeit der Einwilligung erforderlich, dass sie informiert und für den bestimmten Fall erteilt wird (Art. 4 Nr. 11 DSGVO). Eine Erteilung „in Kenntnis der Sachlage“ und „für den konkreten Fall“ liege nach Ansicht des Gerichts hingegen nicht vor, wenn bei einer Werbeeinwilligung nicht klar werde, welche Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlte es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt sei, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen.

Konsequenzen für die Praxis

Für die Praxis bedeutet das Urteil zunächst, dass Unternehmen die Technologie ihrer Websites anpassen müssen: Cookies, die nicht für den Betrieb des vom Nutzer angefragten Diensts erforderlich sind, dürfen nicht ohne datenschutzkonforme Einwilligung gesetzt werden. Insoweit wird dabei (noch) deutlicher zwischen Werbecookies und solchen Cookies, welche zum Betrieb einer Webseite erforderlich sind, unterschieden werden müssen. Erst wenn der Nutzer eingewilligt hat, dürfen etwa Marketing- oder Targeting-Cookies auf dem Endgerät des Nutzers gespeichert bzw. abgerufen werden. Vor allem für die Verlags- und Werbebranche, die große Umsätze mittels zielgruppenspezifischer Werbung erzielen, tun sich große Herausforderungen auf.

Mit der „Wiederbelebung“ des TMG liefert der BGH ein Husarenstück ab. Das Gericht legt § 15 Abs. 3 TMG richtlinienkonform entgegen des eindeutigen Wortlauts aus. Insofern ist für sämtliche Datenverarbeitungsvorgänge im Zusammenhang mit Websites eine Doppelprüfung vorzunehmen, ob der Anwendungsbereich der §§ 11 ff. TMG eröffnet ist und die Anwendung von der Öffnungsklausel des Art. 95 DSGVO gedeckt ist. Nur außerhalb der Sperrwirkung durch die Vorschriften der ePrivacy-Richtlinie sind die „normalen“ Rechtsgrundlagen in Art. 6 DSGVO heranzuziehen. Darüber hinaus sind Datenschutzerklärungen im Zusammenhang mit Websites zu überarbeiten und die entsprechenden Einträge im Verzeichnis der Verarbeitungstätigkeiten zu aktualisieren.

Schwierigkeiten wirft das vom BGH aufgestellte Verbot auf, Nutzer nicht durch eine bestimmte Gestaltung der Einwilligungsmodalitäten zu einer Einwilligung zu bewegen. Gemeint sind hiermit die in der Verhaltensökonomie vieldiskutierten „dark pattern“. Das insoweit sehr abstrakte Urteil lässt die Grenze zwischen einem zulässigen „nudge“ zur Einwilligung und einem die Freiwilligkeit der Einwilligung ausschließenden Verhaltenszwang verschwimmen.

Zuletzt bedeutet das Urteil für die Aufsichtsbehörden einen Gesichtsverlust: Diese hatten nach Geltung der DSGVO pauschal erklärt, die §§ 11 ff. TMG seien nicht anwendbar. Der von den Aufsichtsbehörden vertretenen Ansicht erteilte der BGH nun eine Absage. Ob der Gesetzgeber das Urteil zum Anlass für eine umfassende Reform der datenschutzrechtlichen Vorschriften des TMG nehmen wird, ist unklar. Ebenso ist ein Abwarten des Inkrafttretens der künftigen ePrivacy-Verordnung denkbar.

Update (7. Juli 2020)

Dr. Jan-Peter Ohrtmann, Partner bei PwC Legal und Leiter unseres globalen Datenschutznetzwerks, und Carl Christoph Möller, Rechtsanwalt bei PwC Legal, haben für die Fachzeitschrift Datenschutz-Berater eine Urteilsanmerkung verfasst. Den Beitrag können Sie unter diesem Link kostenlos im Volltext abrufen.