Cookies ohne Einwilligung

BGH entschied am 28. Mai 2020 (zu I ZR 7/16 - "Planet49") über die Frage ob nach deutschem Recht Website-Betreiber verpflichtet sind, die Erlaubnis von Besucher für das Setzen von Cookies (opt-in) einzuholen, oder ob eine Zustimmung vorausgesetzt werden darf und der Besucher die Platzierung von Cookies nachträglich verweigern kann (opt-out).

Opt-in Verfahren nun für Cookies auf Webseiten zwingend

Planet49 GmbH

Planet49 GmbH verwendete Auswahlkästchen, wo bereits die Zustimmung mit ihren Online-Cookie-Richtlinien vorausgewählt war, und so die Verwendung von Cookies automatisch ermöglicht worden ist. Im erstinstanzlichen Urteil des LG Frankfurt gab den Anträgen des Bundesverbands der Verbraucherzentralen und Verbraucherverbände, vzbv, statt, dass die Zustimmung als Opt-in erforderlich ist, wenn Cookies gesetzt werden sollen. Diese Entscheidung wurde vom OLG in Frankfurt dahingehend geändert, dass aufgrund des Wortlauts des deutschen Telemediengesetzes die Zustimmung zur Verwendung von Cookies kann auch durch Opt-out erteilt werden kann.

Cookies im Konflikt mit TMG und Datenschutzrichtlinie für elektronische Kommunikation

Der Grund für den gegenwärtigen Rechtsstreit ist der Widerspruch zwischen dem deutschen Telemediengesetz und die europäische Datenschutzrichtlinie für elektronische Kommunikation. Richtlinien sind europäische Rechtsakte, die von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Im Gegensatz zur ePrivacy Richtlinie, erfasst §12 I TMG, als deutsches Umsetzungsgesetz, nur persönliche Daten. Darüber hinaus erlaubt §15 III TMG Diensteanbietern die Erstellung von Nutzerprofilen bei der Verwendung von Pseudonymen für Zwecke der Werbung, Marktforschung oder für die bedarfsgerechte Gestaltung der Dienstleistung, gegen die der Nutzer keine Einwände hat. Ein solcher "Opt-out"-Mechanismus steht weder im Einklang mit der Datenschutzrichtlinie für elektronische Kommunikation noch der DSGVO, da sich aus der Richtlinie ergibt, dass der Benutzer ausdrücklich zur Cookie-Verwendung (durch ein Opt-in) zustimmen muss.

Die deutschen Aufsichtsbehörden hatten bereits eine Position über die Verwendung von Cookies im April 2019 veröffentlicht. Sie sind der Meinung, dass sie weder eine richtlinienkonforme Auslegung zugestimmt haben noch eine direkte Wirkung der Art. 5 III Datenschutzrichtlinie für elektronische Kommunikation angewandt haben. Zusätzlich hat der EDSA kürzlich die Bedingungen für die Zustimmung und wies darauf hin, dass die Zustimmung klar gegeben werden muss für Setzen von Cookies und das weitere Scrollen (mit Opt-Out) auf der jeweiligen Website nicht ausreichend ist. (Bitte beachten Sie die Meinung des EDSA.)

.

Mit dem heutigen Urteil hat der Bundesgerichtshof klargestellt, dass §15 III TMG trotz seiner widersprüchliche Formulierungen, richtlinienkonform interpretiert werden muss und somit der Benutzer der Speicherung von nicht funktionialen Cookies ausdrücklich zustimmen muss (Opt-in).

Webseiten sollen Opt-in für Cookies erlauben

Im Ergebnis können Website-Betreiber sich nicht mehr auf die Tatsache verlassen, dass es in Deutschland möglich wäre, ausschließlich auf der Grundlage ihrer legitimen Interessen Cookies zu setzen. Es ist nunmehr notwendig, die Zustimmung des Website-Benutzers zum Setzen von nicht-funktionalen Cookies (opt-in) einzuholen. Es war zuvor zumindest unter Bezugnahme auf die früheren Erklärungen von den deutschen Aufsichtsbehörden und den Wortlaut der Regelungen in der Telemediengesetz vertretbar.

Nichtbeachtung dieser neuen Anforderungen birgt das Risiko, dass Wettbewerber oder Verbraucherverbände Abmahnungen und Bußgelder gegen Website-Betreiber verhängen, wenn sie weiterhin die ( spätestens jetzt wirklich) illegale Opt-out-Verfahren anwenden. Darüber hinaus werden die Aufsichtsbehörden wahrscheinlich einige Websites, die auf diesem Urteil basieren, genauer unter die Lupe zu nehmen, ob unaufgefordert, oder aufgrund einer Beschwerde einer betroffenen Person. In laufenden Verfahren muss sorgfältig geprüft werden, ob die Argumentation gegenüber der Aufsichtsbehörde möglicherweise angepasst werden muss.

Die Umsetzung dieser neuen Anforderungen sollten auf der Website leicht sichtbar sein (und technisch identifizierbar). Nichteinhaltung birgt ein hohes Risiko von Unterlassungs- und aufsichtsrechtlichen Ermahnungen.

Empfohlene Aktionen

Stellen Sie jetzt sicher, dass eine "aktive" Zustimmung erforderlich ist. Betreiber von Websites sollten prüfen, ob sie immer noch Cookies auf der Grundlage des Opt-out-Verfahrens setzen. Wenn dies der Fall ist, sollten die Betreiber das Setzen von Cookies auf ein Opt-in-Verfahren umstellen. Also die Zustimmung des Website-Nutzers einzuholen, bevor eine nicht-funktionales Cookie gesetzt wird. Diese Zustimmung muss ausdrücklich erfolgen und kann nicht durch Vorabprüfung erteilt werden. Zum Beispiel durch ein Kästchen für die "automatische" Genehmigung, bei dem der Besucher das Kästchen ankreuzen, oder einen Schiebeschalter drücken muss.