BGH Urteil: Einwilligung in die Speicherung von Cookies
Die Internetbranche lebt von einer „gewissen Dynamik“, somit haben Unternehmen aktuell nicht nur dafür zu sorgen, dass die Warenwirtschafts- und/oder Shopsysteme ab kommenden Juli die richtigen Mehrwertsteuersätze berechnen, sondern mit dem BGH Cookie-Urteil I ZR 7/16 (Einwilligung in die Speicherung von Cookies) vom 28. Mai 2020, kommt auch ein neues Hausaufgabenpaket auf viele Webseitenbesitzer und Online-Marketer zu.
Im Online-Marketing stützte man sich bisher vor allem auf zwei Argumentationslinien, wonach eine Einwilligung in pseudonymisierte Cookie-Daten z.B. für den Einsatz von Retargeting Ads nicht erforderlich war: Zum einen ist dies § 15 Abs. 3 TMG:
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Weiter bezog man sich in Wirkung der EU-DSGVO darauf, dass Nutzer mit Profiling zu Werbezwecken heutzutage vernünftigerweise rechnen müssten (EU-DSGVO Erwägungsgrund 47). Die Datenschutzbehörden sahen dies seither anders. Der BGH folgte nun weder der Argumentation der Datenschutzbehörden noch den Argumenten der Werbewirtschaft und fällte seine Entscheidung im Lichte der EuGH-Rechtsprechung.
Cookie-Urteil: Was ist eigentlich geschehen?
Ausgangspunkt für das BGH Urteil war eine Klage des Bundesverbands der Verbraucherzentralen gegen die Planet49 GmbH. Die Beklagte veranstaltete im September 2013 ein Gewinnspiel, wo u.a. der Webanalysedienst Remintrex eingesetzt wurde. Neben einer nicht angehakten Checkbox bei dem Teilnahmeformular für Post, Telefon, E-Mail oder SMS Werbung durch die Kooperationspartner (die zu Teilen jedoch nicht hinreichend spezifiziert waren und die Einwilligung damit ebenso als ungültig erachtet wurde), war eine weitere Checkbox vorausgewählt, wo es um die Setzung des Retargeting-Cookies ging. Die vorausgewählte Checkbox konnte entfernt werden, eine Teilnahme war jedoch nur möglich, wenn eine der beiden Checkboxen ausgewählt war. Im Voraus des BGH Urteils gab es folgende Historie: LG Frankfurt am Main (Urteil vom 10. Dezember 2014 - 2/6 O 30/1), OLG Frankfurt am Main (Urteil vom 17. Dezember 2015 - 6 U 30/15), BGH (Beschluss vom 5. Oktober 2017 - I ZR 7/16, Cookie-Einwilligung I) und EuGH (Urteil vom 1. Oktober 2019, C-673/17, PLANET49).
Was hat der BGH nach dem EuGH Urteil nun genau entschieden?
Der BGH entschied, dass auch schon nach geltender Rechtslage bis zum 24. Mai 2018, also vor Inkrafttreten der EU-DSGVO Verordnung (2016/679), die vorausgewählte Checkbox im Sinne von § 307 Abs. 2 Nr. 1 BGB und dem wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar sei. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 die ePrivacy-Richtlinie (2002/58/EG) in der durch Art. 2 Nr. 5 der Cookie-Richtline (2009/136/EG) novellierten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen zum Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hatte zuvor entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der ePrivacy-Richtlinie in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG (Aufhebung & Ablösung mit Art. 94 EU-DSGVO) dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn eine vorausgewählte Checkbox zum Einsatz kommt. Ob es dabei relevant ist, ob es sich hierbei um personenbezogene Daten handelt, wurde seitens des Gerichtshofs in diesem Zusammenhang verneint. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es wird angenommen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete.
BGH macht aus „sofern der Nutzer nicht widerspricht“ ein „sofern der Nutzer einwilligt“
Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
Dies ist schon verwunderlich, da vorab eine Studie der Europäischen Kommission für Deutschland zu einem anderen Ergebnis kam. Auch der Düsseldorfer Kreis sah in dem TMG keine Umsetzung der Richtlinie und rief die Bundesregierung bereits 2010 zum Handeln auf. Somit wird der Wortlaut des Gesetzes in einer logischen Umkehr weitläufig ausgelegt, die rechtlich grenzwertig eingestuft werden kann. Der BGH nimmt sich als letztinstanzliches Gericht diese Freiheit jedoch heraus.
Was bedeutet die BGH Entscheidung nun konkret?
Für Internetseitenbetreiber bedeutet das Urteil des BGH in Einklang mit der EuGH Auslegung, dass die bis dato häufig verwendeten Cookie-Hinweisbanner nicht ausreichend sind. Dies entspricht auch unserer schon am 25.05.2018 in der EU-DSGVO Artikelserie geteilten Einschätzung „EU-DSGVO: Cookie-Hinweis Pflicht? Abmahnung droht!“, wonach es entweder für nicht essenzielle Cookies zu einer harten Einwilligung kommen wird oder dieser Hinweis in Gänze entfallen kann. Mit Spannung erwartet werden jedoch auch die detaillierten Entscheidungsgründe zum Urteil, da es auch um die Frage geht, welche Aussagen man generell künftig zum Verhältnis vom TMG und der EU-DSGVO wird ziehen können.
Häufige Fragen zum BGH Cookie-Urteil:
Was sind essenzielle Cookie und was nicht?
Eine genaue Definition davon gibt es nach Art. 5 Abs. 3 Satz 2 der ePrivacy-Richtlinie nicht.
Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Die Ansichten sind daher auch bisher vielfältig. Einige sagen nachvollziehbar, dass Dienste wie Google Analytics zur Reichweitenmessung benötigt werden, um eine Website überhaupt wirtschaftlich betreiben zu können und andere, dass Cookies nie erforderlich seien. Wohl hinreichend sicher wird man jedoch sagen können, dass Login- und Warenkorb-Cookies sowie weiter solche, die technisch erforderlich sind (Sprachwahl, Load-Balancing usw.), zu den essenziellen Cookies zählen.
Was bedeutet dies für Google Analytics, Matomo (vormals Piwik) usw.?
Hier gibt es auch nach dem BGH Urteil unterschiedliche Ansichten von Fachanwälten, wie zuvor schon skizziert, wenn es um die Fragestellung geht, was für den Betrieb einer Internetseite heutzutage notwendig ist. In Verknüpfung zu Werbediensten wie z.B. Google Ads, wo Nutzerprofile gebildet werden, dem Einsatz des E-Commerce Trackings oder vergleichbaren Verfahren, geht man jedoch inzwischen überwiegend davon aus, dass es einer Einwilligung bedarf. Dies gilt, wie weiter unten beschrieben, wohl auch dann, falls man im Einsatzszenarium von Matomo Geräte-Fingerprints anstatt Cookies einsetzt.
Was bedeutet dies für das Conversion- & Remarketing-Tracking von Google Ads, bing Ads, Facebook Ads und Co.?
Hier wird man künftig ohne Einwilligung wohl nicht mehr auskommen, was neben der Besucheranalyse für viele Unternehmen zum echten Problem werden dürfte.
Was ist mit Google Maps oder YouTube Video Integrationen?
Da auch bei der Integration von Google Maps ein Cookie gesetzt wird (NID-Cookie) und dies laut Google auch in Verbindung zur Ausspielung von Werbung herangezogen wird, besteht auch hier unserer Ansicht nach die Erfordernis einer Einwilligung. Für YouTube-Videointegrationen gibt es einen erweiterten Datenschutzmodus, der ohne Cookies zur Analyse des Nutzungsverhaltens auskommt. Wer auf Nummer sicher gehen will, verlässt sich darauf nicht und bindet die externen Inhalte erst nach Bestätigung des Nutzers ein. Allen anderen bleibt wohl nur übrig, auf die künftige Rechtsprechung zu oder auf ein Reagieren der Inhaltsanbieter zu warten.
Was ist mit Zahlungsanbietern wie Paypal Express oder Amazon Pay?
Insoweit Zahlungsanbieter z.B. Paypal-Expresskauf oder Amazon Pay in Zusammenhang mit Widgets und Plug-ins Cookies verarbeiten, die auf der Plattform wiederrum zur Nutzerprofilbildung eingesetzt werden, wird es problematisch. Sollte man sich jedoch auf die rein funktionale technische Zahlungsabwicklung konzentrieren, wird man ohne Einwilligung auskommen. Beim Paypal-Smartbutton wurde in unserem heutigen Test zwar nicht selbst ein Cookie X-PP-ADS gesetzt. In Verbindung mit dem Ladevorgang des Widgets auf Seiten Dritter steht dies jedoch auslesbar, beim Ladevorgang des Smartbuttons, für Paypal bereit. Damit verbunden können wir uns einige Detailfragen vorstellen, die künftig die Rechtsprechung beschäftigen dürften, wenn es bei der sehr abstrakten und im Detail universell auslegbaren Gesetzeslage verbleibt.
Dürfen Webmaster den Zugang zur Website ohne Cookie-Einwilligung blockieren (Cookie-Walls)?
Aktuell kommt es noch immer mal wieder vor, dass Verlage und News-Seiten Inhalte erst mit Zustimmung zur Setzung von Cookies vollständig sichtbar machten (sog. Cookie-Walls). Das European Data Protection Board (EDPB), ein Lenkungsgremium für die nationalen Datenschutzbehörden, hat dazu Anfang Mai gesagt, dass Website-Betreiber den Zugriff auf Inhalte nicht davon abhängig machen dürfen, ob ein Besucher zustimmt, dass man seine Daten verarbeiten darf. Wenn jedoch als Alternative die Bezahlung bzw. Abschluss eines Abonnements angeboten wird, vergleichbar zur Spiegel-Umsetzung, dürfte dies hingegen zulässig sein.
Ist die Zusammenfassung von Cookies in Gruppen erlaubt?
Hier scheinen sich die europäischen Datenschutzbehörden einig zu sein und es reicht die Einwilligung in funktional zusammengefasste Gruppen wie "Wesentlich", "Funktionell" & "Marketing". Auch die Datenschutzkonferenz (DSK), dem Gremium der deutschen Datenschutzaufsichtsbehörden, lässt sich mit deren Orientierungshilfe entsprechend verstehen.
Gilt die Rechtslage nur für Cookies oder auch für Sessions, Local Storage usw.?
Wenn wir auf Art. 5 Abs. 3 Satz 1 der ePrivacy-Richtlinie abstellen und der Herleitung des Urteils des BGH aus der Pressemitteilung folgen, wonach diese Richtlinie durch das TMG als umgesetzt anzusehen ist, wird man künftig wohl Cookies nicht mehr in seiner technischen Definition verstehen können, sondern als Synonym für Sessions, Local Storage, Fingerprinting usw.:
Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.
Hilft das Urteil Unternehmen & dem Datenschutz von Verbrauchern?
Auf die Unternehmen kommen mit diesem Urteil größere Herausforderungen zu. Akzeptiert ein größerer Anteil der Nutzer nur die essenziellen Cookies, kann dies erhebliche Auswirkungen haben, wenn es darum geht Investitionen in das eigene Marketing rentabel zu gestalten oder unternehmerische Entscheidungen auf Basis validen Datenmaterials zu treffen. Die auf schwerem Stand stehenden Verlage und Publisher wird es noch einmal erschwert, ihr Angebot künftig zu monetarisieren z.B. durch Google AdSense.
Große Mehrheit der Deutschen von Cookie-Hinweisen genervt
Aber auch die Mehrheit der Deutschen sind die Cookie-Hinweise leid. So ergab kürzlich eine Umfrage aus Mai 2020 beauftragt von Deutschlands größten E-Mail-Anbietern WEB.DE und GMX unter 2.045 deutschen Internetnutzern, deren Feedback repräsentativ gewichtet wurde, dass eine große Mehrheit (63 %) sich von den Cookie-Hinweisen auf Websites genervt fühlen und 41 % lesen sich die Hinweise nicht durch und klicken einfach auf "Okay". Deren Anteil dürfte wohl noch höher ausfallen, wenn man hinterfragen würde, wie viele den dahinter liegenden Datenschutztexten Aufmerksamkeit schenken.
Einwilligung wird der neue Standard
Die Einwilligung ist eine starke rechtliche Legitimation, es ist jedoch nur zu verständlich, dass niemand beim Surfen immer wieder ewig lange Rechtstextwüsten studieren mag. Es wäre auch im Sinne des Datenschutzes von Verbrauchern, aber auch der Unternehmen wohl nur zu wünschen, dass die rechtliche Situation eine angemessene Abwägung hergibt, sodass die Einwilligung nur im Ausnahmefall (zum Zwecke der praktikablen Beschäftigung mit den Details) die rechtliche Legitimation bildet und diese nicht der Standard wird.
Browserhersteller haben längst Tatsachen geschaffen
Dabei sollte auch berücksichtigt werden, dass die Browserhersteller bereits technologische Maßnahmen rund um die Blockierung von Third Party Cookies ergreifen und mit der Intelligent Tracking Prevention (Safari) bzw. Enhanced Tracking Protection (Firefox) auch darüber hinaus gehen. Ein weiteres Stichwort dazu ist die Privacy Sandbox (Google), welche bis spätestens 2022 realisiert werden soll.
Kritik vom BVDW und Bitkom am BGH Urteil
Der Bundesverband Digitale Wirtschaft (BVDW) e.V. fordert nun ein Moratorium von mindestens sechs Monaten, das allen die Möglichkeit bereithält, die Debatte zu führen und eine praktikable Lösungen zu finden.
Das Urteil kann zur Folge haben, dass Nutzer nun noch mehr und noch umfangreichere Einwilligungstexte lesen werden müssen als bereits heutzutage und Inhalte vollständig hinter Cookie- und/oder Pay-Walls verschwinden. Das ist nicht im Sinne der Nutzer und auch nicht im Sinne der Digitalwirtschaft.
Auch der Branchenverband Bitkom kritisiert das Urteil scharf:
Das Urteil des Bundesgerichtshofs trifft die Webseitenbetreiber schwer und es nervt viele Internetnutzer. Neben den hohen Auflagen der Datenschutz-Grundverordnung müssen die Betreiber von Webseiten jetzt zusätzliche Prozesse und Formulare für ihre Web-Angebote einführen, um Cookies auch künftig nutzen zu dürfen.
Fazit & Ausblick:
Wir vermuten, dass vielen Unternehmen und auch Abgeordneten im deutschen Bundestag die Tragweite dieses Urteils noch nicht bewusst ist und die Zukunft wird zeigen, was daraus entsteht.
Aus meiner Wahrnehmung, wo in Zeiten von Corona hunderttausende, teils öffentlich ausgelegte, Zettel voll mit persönlichen Daten gefüllt werden oder sensible Krankenhausakten über lange Zeit öffentlich zugänglich sind, man sich dann jedoch der europäischen Initiative PEPP-PT mit einem vollkommen anonymen Nachverfolgungsmodell übermäßig kritisch gegenüberstellt, ist etwas aus den Fugen geraten. Online-Händler, Betreiber von Corporate Websites und Publisher leiden unter immer neuen Verordnungen und Gesetzen, die teils in deutlichem Widerspruch zueinanderstehen und selbst spezialisierte Fachanwälte zum Verzweifeln bringen. Sei es nun die SEPA Verordnung (924/2009) in Kombination mit der Geoblocking Verordnung (2018/302), wonach in diesem Fall die SEPA Verordnung die neuere Geoblocking Verordnung sticht (C-28/18) oder aber nun das Telemediengesetz, wo aus einem Opt-Out "sofern der Nutzer nicht widerspricht" über eine europäische Richtlinie ein "sofern der Nutzer einwilligt" wird und zwischen einem Prozess (Nutzerprofilbildung, wie es das TMG richtigerweise behandelt) und einer dazu nicht zum Einzelzweck dienenden Technologie (Cookies) wild umhergesprungen wird. Wie will man da kleinen Unternehmen oder Vereinen die volle Einhaltung all dieser Vorgaben abverlangen?
Messen wir noch mit dem rechten Maß, um künftig europäisch erfolgreiche und innovative Digitalunternehmen zu sehen oder nutzen wir lieber soziale Netzwerke aus China (TikTok) und vertrauen auf Ihre öffentlichen Datenschutzbestimmungen? Wenn es jedenfalls um die großen Datengiganten der Internetwelt geht, greifen einige dieser Regelungen doch eher ins Leere. Denn diese behalten die Oberhand, wenn es darum geht ihren Millionen Nutzern Einwilligungen abzuverlangen. Derweil ist die nächste Verordnung in der Warteschleife - die ePrivacy-Verordnung (nicht zu verwechseln mit der gleichnamigen Richtlinie) und auch nach drei Jahren Verhandlung bleibt in weiten Teilen unklar, was damit auf die Digitalwirtschaft zukommt.
Es wäre wohl der richtige Zeitpunkt diese Verordnung zu nutzen, um europaweit einheitliche Regularien zu schaffen, die nicht nur auf die für Nutzer wie Unternehmen unpraktikable und zeitraubende, wie nervige Einwilligung als Standardinstrument abzielen. Wir überlassen es schließlich auch nicht dem Individuum vor jeder Autofahrt zu entscheiden, ob man den Sicherheitsgurt anlegt oder nicht und so liberal meine Grundansichten auch sind: Für Unternehmen sowie den Datenschutz der Verbraucher wären konkreter ausfallende und miteinander harmonisierte Gesetze allemal besser, als sich weiter diesem immer unüberschaubar werdendem Flickenteppich einzelner Willenserklärungen hinzugeben. In drei Jahren hätte man jedenfalls ziemlich detailliert die Spielregeln des Werbemarktes und damit einhergehender Datenverarbeitungsvorgänge definieren können. Wir geben die Hoffnung nicht auf, Sie sollten es auch nicht! 😊
Update 09.06.2020: Ein Austausch unsererseits hierzu mit Carsten Linnemann, Mitglied des Deutschen Bundestages und Bundesvorsitzender der Mittelstands- und Wirtschaftsunion (MIT), stieß auf offene Ohren und man möchte insbesondere in Zeiten von Corona nicht das Standbein des Online-Handels gefährden. Die Thematik steht nun auf der politischen Agenda.
Panik nach dem BGH Urteil? Wir helfen Ihnen!
Sie brauchen Hilfe bei der Implementierung und Validierung eines Consent Tools und wollen mehr über die EU-DSGVO erfahren? Die Internetagentur Webcellent bietet einen kostenlosen EU-DSGVO Leitfaden an, der Ihnen kompakt auf 22 Seiten an Hand von praktischen Beispielen aufzeigt, was es für die Einhaltung der EU-DSGVO zu beachten gilt. Unter anderem erfahren Sie auch darin, warum Sie auf Internetseiten mit Kontaktformularen auf eine SSL-Verschlüsselung (HTTPS-Einsatz) achten sollten. Alternativ wird auch ein kostenpflichtiger DSGVO-Website- und Onlineshop-Check angeboten, falls Sie sich nicht selbst zum DSGVO-Experten weiterbilden wollen. Sie sind bereits Kunde der Webcellent? Ihr Projektmanager wird Sie in Kürze, wenn nicht schon geschehen, kontaktieren und mit Ihnen die notwendigen Maßnahmen besprechen. Wir haben bereits eine technologische Lösung für unsere Kunden entwickelt.
Disclaimer: Die hier bereitgestellten Informationen stellen keine individuelle Rechtsberatung dar. Auch wenn sie umfassend recherchiert und abgesichert wurden, können wir für Schlussfolgerungen, die Sie aus diesen Informationen ziehen, keine Haftung übernehmen. Wir raten dazu, sich mit den der Interpretation zu Grunde gelegten Rechtsgrundlagen und Erwägungsgründen zu beschäftigen, um zu bewerten, ob die jeweiligen exemplarischen Aussagen für Ihren individuellen Anwendungsfall greifbar sind. Sollten Sie hier offene Fragen haben, schildern Sie uns Ihr Anliegen über das Kontaktformular und unser geschultes Team hilft Ihnen gerne weiter.