© Sergiy Tryapitsyn, 123RF
Das Setzen von Werbe-Cookies erfordert die ausdrückliche Zustimmung von Nutzern, entschied der BGH Ende Mai. Die Reaktionen darauf fallen überwiegend zustimmend aus, nur der Branchenverband Bitkom mault.
Für das Setzen von Werbe-Cookies müssen Webseitenbetreiber die ausdrückliche Zustimmung von Nutzern einholen. Das entschied der deutsche Bundesgerichtshof (BGH) Ende Mai. Hintergrund des Urteils war eine Klage des Verbraucherzentrale Bundesverbands (VZBV) gegen die Planet49 GmbH, die bei Online-Gewinnspielen zu Werbezwecken die entsprechenden Cookie-Banner schon so konfiguriert hatte, dass die Benutzer lediglich mit einem Mausklick ihre Einwilligung geben konnten.
Mit Cookies erheben Website-Anbieter Informationen über die Besucher. Dazu gehören Login-Daten, aber auch Verhaltensweisen und Präferenzen, die die Betreiber oft an Partnerunternehmen weiterreichen. Der Prozess ging über mehrere Instanzen vom Landgericht über die Berufung am Oberlandesgericht und schließlich in Revisionsverfahren an den BGH.
Benachteiligung
Eine Einwilligung mittels eines voreingestellten Ankreuzkästchens stelle eine unangemessene Benachteiligung des Nutzers dar, heißt es in der Mitteilung [1] des BGH. Der hatte die Frage zuvor dem Europäischen Gerichtshof (EuGH) vorgelegt, der im vergangenen Oktober entsprechend entschieden hatte.
Der EuGH gelangte dabei zur Auffassung, dass ein sogenanntes Opt-out keine wirksame Einwilligung im Sinne dieser Bestimmungen darstellt. Eine solche liegt vor, wenn ein Ankreuzkästchen voreingestellt das Speichern von oder den Zugriff auf nutzerseitige Informationen erlaubt und der Nutzer diese Checkbox zur Verweigerung seiner Einwilligung abwählen muss. Dabei kommt es nach der Entscheidung des EU-Gerichtshofs nicht darauf an, ob es sich bei den Informationen um personenbezogene Daten handelt.
Nach Einschätzung des BGH gilt die unangemessene Benachteiligung der Nutzer durch die voreingestellten Cookies sowohl nach früheren EU-Richtlinien als auch nach der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO). Allerdings heißt es im entsprechenden Paragrafen 15 des Telemediengesetzes (TMG), dass ein Diensteanbieter Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht.
Dem Urteil zufolge steht es der richtlinienkonformen Auslegung des Paragrafen nicht entgegen, dass der deutsche Gesetzgeber die EU-Vorgaben bislang nicht umgesetzt hat. “Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete”, heißt es in der Mitteilung. Daher sei mit dem Wortlaut des Paragrafen 15 eine richtlinienkonforme Auslegung noch vereinbar. Die im TMG eigentlich formulierte Widerspruchslösung kann man laut BGH also so auslegen, dass eine ausdrückliche Zustimmung gemeint ist.
Ausnahmen
Nicht Gegenstand des Verfahrens waren Techniken und Verfahren, die allein dem Zweck des Übertragens einer Nachricht über ein elektronisches Kommunikationsnetz dienen oder die der Anbieter für einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zwingend benötigt. Derartige Speicherungen erlaubt Artikel 5 Absatz 3 der sogenannten Cookie-Richtlinie auch ohne Einwilligung.
Sieg für Verbraucher
Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (Abbildung 1), wertet den von seinem Haus gewonnenen Prozess als Sieg [2] für die Verbraucher: “Für Verbraucherinnen und Verbraucher und ihre Privatsphäre ist das ein gutes Urteil. Es gibt Internet-Nutzern wieder mehr Entscheidungshoheit und Transparenz. Bisher war es hierzulande leider gängige Praxis, dass Webseitenanbieter die Interessen und Verhaltensweisen der Nutzer so lange nachverfolgen, analysieren und für ihre Gewinnabsichten vermarkten, bis diese aktiv widersprechen. Das ist nun nicht mehr möglich. Will ein Webseitenbetreiber seine Nutzer durchleuchten, muss er sie zuvor nun zumindest um Erlaubnis bitten. Diese Klarstellung war lange überfällig.”
Abbildung 1: Klaus Müller vom VZBV hat mit dem Urteil des BGH einen Sieg davongetragen. Quelle: VZBV, Gert-Baumbach.
Der Geschäftsführer des Verbands der Internet-Wirtschaft Eco, Alexander Rabe, begrüßt das Urteil ebenfalls [3], weil es für die Unternehmen nun Klarheit gibt: “In Deutschland wurde für das Setzen von Werbe-Cookies lange das Opt-out-Modell angewendet – Nutzer mussten informiert werden und konnten dem dann aktiv widersprechen. Die EU-Gesetzgebung sieht jedoch bereits seit 2009 eine Einwilligung vor. Mit dem Inkrafttreten der DSGVO haben sich die Anforderungen an eine Einwilligung nochmals verändert, die nun ‘ausdrücklich’ lautet. Es muss also eine eindeutige, bestätigende Handlung seitens der Nutzer geben. Somit gibt das heutige Urteil Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies.”
Tiefschlag für Anbieter
Bitkom-Hauptgeschäftsführer Bernhard Rohleder dagegen ist mit dem Urteil nicht einverstanden [4] und sieht darin weder Klarheit noch Rechtssicherheit für sein Klientel: “Das Urteil des Bundesgerichtshofs trifft die Webseitenbetreiber schwer, und es nervt viele Internet-Nutzer”, wettert er in seinem Statement. “Neben den hohen Auflagen der Datenschutz-Grundverordnung müssen die Betreiber von Webseiten jetzt zusätzliche Prozesse und Formulare für ihre Webangebote einführen, um Cookies auch künftig nutzen zu dürfen”, bemängelt er.
“Alle Cookies, die als nicht unbedingt erforderlich gelten, dürfen jetzt nur noch mit aktiver Einwilligung gesetzt werden. Welche Cookies damit gemeint sind, bleibt jedoch unklar. Dieser Unsicherheit wird für alle Seiten zu höheren Aufwänden führen. In der derzeitigen Krisensituation bräuchten aber gerade Webseitenbetreiber dringend Rechtssicherheit, um nicht noch zusätzlich Datenschutzverstöße zu riskieren”, moniert der Bitkom-Hauptgeschäftsführer.
Rohleder weiter: “Die Rechtslage ist auch nach dem BGH-Urteil undurchsichtig. Eine mögliche Klärung durch die geplante E-Privacy-Verordnung der EU ist nicht absehbar. Noch dazu soll das deutsche Recht zu Cookies zwischenzeitlich erneut angepasst werden. Für Anbieter heißt das im Zweifel, dass sie ihre Prozesse in den kommenden Monaten mehrfach überarbeiten müssen. Für Internetnutzer entsteht mit dem BGH-Urteil ein weiterer Komfortverlust: Sie müssen häufiger Banner wegklicken oder Häkchen setzen, bevor sie die gewünschten Inhalte sehen.”
E-Privacy verzögert
Der Streit über die sogenannten Cookie-Banner und die Einwilligungspflichten beim Nutzer-Tracking beschäftigt Politik, Datenschützer und Webseitenbetreiber schon seit Jahren. Die sogenannte E-Privacy-Verordnung, die eigentlich parallel zur DSGVO verabschiedet werden sollte, hatte daher zum Ziel, einheitliche Vorgaben für den Einsatz von Cookies innerhalb der EU zu machen.
Allerdings fehlt dafür in der Praxis eine gemeinsame, supranationale Basis. Eine solche dürfte auch nicht so schnell zustande kommen, nachdem eine Einigung der EU-Mitgliedsstaaten Ende 2019 scheiterte. Selbst das Vorliegen einer derartigen Übereinkunft würde noch lange keine unmittelbare Umsetzung bedeuten: Die dürfte im Anschluss erneut viel Zeit in Anspruch nehmen. (uba/jlu)
Infos
- BGH-Mitteilung: https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868
- VZBV-Stellungnahme: https://www.vzbv.de/pressemitteilung/bgh-staerkt-digitale-privatsphaere-und-setzt-enge-grenzen-fuer-cookie-einsatz
- Eco-Stellungnahme: https://www.eco.de/presse/eco-zum-bgh-urteil-mehr-rechtssicherheit-im-umgang-mit-cookies/
- Bitkom-Stellungnahme: https://bitkom.org/Presse/Presseinformation/Bitkom-zum-BGH-Urteil
