Auf dieser Seite
    Autor

    Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Salary Partner

    Hamburg
    Read More
    Autor

    Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Salary Partner

    Hamburg
    Read More
    • Auf dieser Seite

    28. Mai 2020

    BGH in Sachen Planet49 (I ZR 7/16): Einwilligung für das Setzen von nicht-funktionalen Cookies notwendig

    Opt-out-Verfahren unzulässig

    Der Bundesgerichtshof (BGH) hat am 28. Mai 2020 entschieden, dass die Anwendung des sogenannten Opt-out-Verfahrens für das Setzen von Cookies aufgrund einer richtlinienkonformen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) unzulässig ist (Pressemitteilung des BGH).

    Das Urteil bedeutet, dass Webseitenbetreiber sich jetzt nicht mehr darauf berufen können, dass in Deutschland das Setzen von Cookies allein auf der Grundlage ihrer berechtigten Interessen möglich sei. Dies war bisher unter Verweis auf die früheren Aussagen der deutschen Aufsichtsbehörden und unter Berücksichtigung des Wortlauts der Regelungen im Telemediengesetz (TMG) zumindest vertretbar.

    Mittlerweile haben sich die Datenschutzkonferenz (DSK) in ihrer revidierten Entscheidung, der Europäischen Datenschutzausschuss (EDSA) in seinen Hinweisen zur Einwilligung, der Europäische Gerichtshof (EuGH) in der vorherigen Entscheidung und nun auch der BGH gegen eine solche Sichtweise gewandt. Es ist nunmehr notwendig, für das Setzen nicht-funktionaler Cookies eine Einwilligung des Webseiten-Nutzers einzuholen (Opt-in).

    Bei Nichtbeachtung dieser Vorgaben besteht das Risiko, dass Wettbewerber oder Verbraucherverbände Webseitenbetreiber abmahnen, wenn diese weiterhin auf das nun nicht mehr rechtmäßige Opt-out-Verfahren zurückgreifen und keine Einwilligung einholen. Zudem dürften insbesondere die Aufsichtsbehörden auf der Grundlage dieses Urteils einige Webseiten genauer unter die Lupe nehmen, sei es anlasslos oder aufgrund einer Beschwerde einer betroffenen Person. In laufenden Verfahren muss sorgfältig geprüft werden, ob die Argumentation gegenüber der Aufsichtsbehörde eventuell angepasst werden muss.

    Weil sich die jeweilige Implementierung auf der Webseite (auch) technisch leicht erkennen lässt, stellt sowohl die mögliche wettbewerbsrechtliche Abmahnung als auch die aufsichtsbehördliche Prüfung ein hohes Risiko dar.

    Hintergrund der Entscheidung

    Das Urteil des BGH folgt der Entscheidung des EuGH in dieser Sache. Der EuGH hatte am 1. Oktober 2019 entschieden, dass keine wirksame Einwilligung im Sinne der Art. 2 lit. f und Art. 5 Abs. 3 ePrivacy-Richtlinie sowie der Art. 4 Nr. 11 und Art. 6 Abs. 1 lit. a DSGVO vorliegt, wenn die Speicherung von nicht-funktionalen Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, welches durch den Nutzer aktiv abgewählt werden muss, um eine Einwilligung zu vermeiden. Hier finden Sie den vorherigen TW-Newsflash zu dem Urteil.

    Der BGH hatte dem EuGH die Fragen zur Zulässigkeit des Opt-out-Verfahrens vorgelegt, nachdem die Vorinstanzen jeweils zu unterschiedlichen Ergebnissen gekommen sind.

    In der ersten Instanz hatte das Landgericht Frankfurt noch den Anträgen des hier klagenden Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) entsprochen und entschieden, dass bei dem Setzen von Cookies eine Einwilligung im Opt-in-Verfahren notwendig ist.

    Dieses Urteil wurde von dem OLG Frankfurt dahingehend aufgehoben, dass die Einwilligung in die Cookie-Nutzung aufgrund des Wortlauts des Telemediengesetzes auch durch ein Opt-out-Verfahren erteilt werden kann.

    Richtlinienkonforme Auslegung von § 15 Abs. 3 TMG

    Der Grund für den vorliegenden Rechtsstreit sind Widersprüche zwischen dem TMG und der ePrivacy-Richtlinie.

    Anders als die ePrivacy-Richtlinie umfasst § 12 Abs. 1 TMG als das deutsche Umsetzungsgesetz nur personenbezogene Daten. Hinzu kommt, dass Dienstanbieter gemäß § 15 Abs. 3 TMG für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht. Eine solche Widerspruchslösung steht nicht im Einklang mit Art. 2 lit. f und Art. 5 Abs. 3 ePrivacy-Richtlinie sowie der Art. 4 Nr. 11 und Art. 6 Abs. 1 lit. a DSGVO, da sich aus diesen Vorschriften ergibt, dass der Nutzer einer Cookie-Nutzung ausdrücklich zustimmen muss.

    Die deutschen Aufsichtsbehörden hatten im April 2019 bereits Stellung zur Verwendung von Cookies bezogen und die Auffassung vertreten, dass weder eine richtlinienkonforme Auslegung noch eine unmittelbare Wirkung des Art. 5 Abs. 3 ePrivacy-Richtlinie in Betracht komme. Zudem hat der EDSA kürzlich die Bedingungen einer Einwilligung präzisiert und darauf hingewiesen, dass die Einwilligung für das Setzen von Cookies eindeutig erfolgen muss und ein Weiterscrollen (mit Opt-out) auf der jeweiligen Webseite gerade nicht ausreiche. (Diese Stellungnahme ist leider nur auf Englisch verfügbar.)

    Mit seinem heutigen Urteil hat der BGH klargestellt, dass § 15 Abs. 3 TMG trotz seines entgegenstehenden Wortlauts richtlinienkonform auszulegen ist, mit der Folge, dass der Nutzer in eine Speicherung nicht-funktionaler Cookies ausdrücklich einwilligen muss (Opt-in).

    Handlungsempfehlungen

    Das heutige BGH-Urteil legt nunmehr fest, dass eine Einwilligung notwendig ist. Webseitenbetreiber sollten nun überprüfen, ob sie Cookies noch im Opt-out-Verfahren speichern. Ist dies der Fall, sollten die Bertreiber ihre Cookie-Speicherung auf das Opt-in-Verfahren umstellen, also eine Einwilligung des Webseiten-Nutzers einholen, bevor ein nicht-funktionaler Cookie gesetzt wird. Diese Einwilligung muss eindeutig sein und kann etwa durch das Setzen eines Hakens oder die Betätigung eines Schiebeschalters erfolgen.

    Zudem muss der Webseiten-Nutzer ausreichend und transparent informiert werden über die Umstände der Verarbeitung. Der Nutzer muss also erklärt bekommen, welcher Cookie zu welchem Zweck gesetzt wird, damit die Einwilligung wirksam ist.

    Rechtsgebiete und Gruppen InformationstechnologieDatenschutz & Cyber-Sicherheit
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    Related Insights

    Technology, Media & Communications

    IAB Transparency and Consent Framework muss nachgebessert werden

    8. März 2024

    von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Klicken Sie hier für Details
    Healthtech & Digital Health

    EuGH-Vorlage zur Verfolgung von Verstößen gegen das Datenschutzrecht auf der Grundlage des Wettbewerbsrechts und zur Auslegung des Begriffs der Gesundheitsdaten

    27. Januar 2023
    Briefing

    von Dr. Daniel Tietjen und Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Klicken Sie hier für Details
    Datenschutz & Cyber-Sicherheit

    Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

    Zusammenfassung der wesentlichen Regelungen

    18. Juli 2022
    Briefing

    von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Klicken Sie hier für Details

    © Taylor Wessing