Heute hat der Bundesgerichtshof sein Urteil zu einer Verhandlung verkündet, auf das nicht nur Datenschützer lange warten mussten. Auch die Betreiber von Webseiten werden am heutigen Tag aufmerksam nach Karlsruhe schauen. Das Urteil setzt einen Schlusspunkt unter ein Verfahren, dass nicht nur für die Bundesrepublik Deutschland Auswirkungen hat, sondern in der gesamten Europäischen Union zu bemerken ist.
Verfahrenshergang
Landgericht Frankfurt (2-06 O 030/14)
Das Landgericht Frankfurt musste sich bereits 2014 mit der Frage beschäftigen, ob eine Einwilligung durch vorausgewählte Antwortkästchen eine wirksame Einwilligung darstellt. Konkret ging es um einen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv) und der Planet49 GmbH, einer Gesellschaft, die unter anderem Online-Gewinnspiele anbietet. Das Landgericht hatte in seinem Urteil (2-06 O 030/14) vom 10.12.2004 entschieden, dass die Einwilligung in spätere Telefonwerbung mittels eines bereits angekreuzten Auswahlkästchens ohne aktive Wahlmöglichkeit des Nutzers nicht den Anforderungen an eine Einwilligung genügt. Das Gericht hatte angenommen, dass hier ein Wettbewerbsverstoß vorliegt.
Oberlandesgericht Frankfurt (6 U 30/15)
Das Oberlandesgericht Frankfurt hat nach Berufung der Beklagten („Planet 49“) am 17.12.2015 in seinem Urteil (6 U 30/15) entschieden, dass die erforderliche Einwilligung in die Cookie-Nutzung auch durch eine vorformulierte Erklärung, der der Nutzer durch Entfernen eines voreingestellten Häkchens widersprechen kann („opt-out“), erteilt werden kann. Der Wirksamkeit einer Einwilligung würde nicht entgegenstehen, wenn sämtliche erforderliche Informationen über Cookies nicht bereits in der Erklärung, sondern in einem verlinkten Text gegeben würden. Weiter hat das OLG Frankfurt die Auffassung vertreten, dass die Identität der Dritten, die auf Grund der Einwilligung auf Cookies zugreifen können, nicht zu den transparenten Informationen gehören würde.
Bundesgerichthof (I ZR 7/16)
Diese Entscheidung hat nun scheinbar beiden Parteien nicht gefallen, denn beide haben die vom Oberlandesgericht zugelassene Revision eingelegt und sich an den Bundesgerichtshof gewandt. Der Kläger („vzbv“) will die Stattgabe seines Antrags bezogen auf die Einwilligungserklärung in die Setzung und Nutzung von Cookies erreichen. Die Beklagte („Planet49“) fordert in ihrem Antrag die vollständige Klageabweisung. Der Bundesgerichtshof hat am 05.10.2017 beschlossen dem Europäischen Gerichtshof verschiedene Fragen vorzulegen, die sich aus den vorherigen Urteilen ergeben haben. Um eine einheitliche Anwendung des Europarechts sicherzustellen, sieht der „Vertrag über die Arbeitsweise der Europäischen Union“ (EGV) in Art. 234 vor, dass Fragen der Gültigkeit und Auslegung des Europäischen Gemeinschaftsrechts von den Gerichten der Mitgliedsstaaten dem EuGH vorgelegt werden können bzw. müssen. Der EuGH hat dabei nicht die Kompetenz, über die Gültigkeit des mitgliedsstaatlichen Rechts zu entscheiden oder das Europäische Gemeinschaftsrecht auf den konkreten Fall anzuwenden. Er legt das Recht lediglich aus bzw. entscheidet über die Gültigkeit einer Norm des Europäischen Gemeinschaftsrechts. Dabei legt der EuGH jedoch die ihm vorgelegten Fragen stets in diesem richtigen Sinne aus. Die Anwendung auf den konkreten Fall obliegt dem vorlegenden nationalen Gericht.
Der EuGH sollte sich unter anderem mit der Frage beschäftigen, ob es sich nach europäischem Recht um eine wirksame Einwilligung handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Da sich die (Datenschutz-) Welt seit Dezember 2014 bereits gewaltig weitergedreht hatte und die Europäische Datenschutzgrundverordnung seit dem 25. Mai 2018 in Kraft getreten war, war für den BGH die Frage wichtig, ob und wann die Einwilligung durch ein „Opt-Out-Verfahren“ auch im Licht der DS-GVO rechtmäßig sei. Das Oberlandesgericht Frankfurt hatte bei den Transparenzpflichten eine interessante Haltung eingenommen. Daher wollte der BGH vom EuGH wissen, ob zu den klaren und umfassenden Informationen, die die Richtlinie 2002/58/EG im Art.5 Abs. 3 vorsieht auch die Information gehört, durch welche Dritte auf die Cookies Zugriff erhalten. Nebenbei wurde dann auch noch die Frage gestellt, ob die Speicherdauer eines Cookies dem Nutzer mitzuteilen sei.
Generalanwalt (C-673/17)
Der Generalanwalt Maciej Szpunar hat sich in seinem Schlussantrag vom 21. März 2019 zu diesem Sachverhalt geäußert. Der Generalanwalt hat die Aufgabe, in völliger Unparteilichkeit und Unabhängigkeit, dem EuGH einen Vorschlag für ein Urteil in der Form von begründeten Schlussanträgen zu stellen. Dazu fasst er die bisherige Rechtsprechung des EuGH in ähnlichen Fällen zusammen und nutzt diese, um seine Vorstellungen hinsichtlich der Beurteilung des vorliegenden Falls zu begründen. Der Generalanwalt ist dabei nicht Vertreter einer der beiden Parteien, sondern soll seinen Vorschlag unabhängig und neutral entwickeln. Seine Aufgabe ist also nicht mit der eines Staatsanwaltes vergleichbar. Der EuGH ist an die Vorschläge des Generalanwalts nicht gebunden, faktisch folgt er jedoch in etwa dreiviertel aller Fälle den Vorschlägen.
Der Generalanwalt hat argumentiert, dass keine wirksame Einwilligung vorliegt, wenn durch ein voreingestelltes Ankreuzkästchen erlaubt wird, Informationen auf dem Gerät des Nutzers zu speichern oder Zugriff auf Informationen zu nehmen, die bereits auf dem Gerät des Nutzers gespeichert sind. Auch zu der Frage des BGH zur Speicherdauer oder von Zugriffen durch Dritte hat sich der Generalanwalt konkret geäußert. Demnach gehören zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
Europäischer Gerichtshof (C-673/17)
Der Europäische Gerichtshof hat sich in seinem Urteil vom 01.10.2019 erwartungsgemäß den Auffassungen des Generalanwaltes angeschlossen.
In der abschließenden Begründung heißt es, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Webseite gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Der EuGH bezieht sich in Randnummer 62 dabei ausdrücklich auf die DS-GVO, die in Erwägungsgrund 32 Satz 3 formuliert, dass Stillschweigen, bereits angekreuzte Kästchen, oder Untätigkeit der betroffenen Person keine Einwilligung darstellen.
Auch die Angaben von Drittzugriffen auf und die Funktionsdauer von Cookies gehören nach Auffassung des EuGH zu den Angaben, die dem Nutzer einer Webseite mitzuteilen sind.
Abschluss
Wir hatten in unserem Blog-Artikel zum datenschutzkonformen Einsatz von Cookies bereits unsere Empfehlung für die Praxis abgegeben. Nach dem heutigen Urteil gibt es also mehr Klarheit, auch für deutsche Webseitenbetreiber. Seit dem Urteil des EuGH hat es viele verschiedene Umsetzungsversuche gegeben. Besonders die Ansätze, Nutzer durch „sanftes Anstupsen“ in Englisch „Nudging“ zu beeinflussen Ihre „Einwilligung“ zu erteilen haben eine starke Verbreitung erfahren. Digitales Nudging soll durch Gestaltungselemente das Nutzerverhalten lenken. Diese Elemente können zum Beispiel durch Farbgestaltung, unterschiedliche Größen oder Bezeichnungen das Verhalten des Nutzers beeinflussen. Die Stiftung Datenschutz hat sich in einem Artikel mit der Frage beschäftigt, ob Nudging für den Datenschutz nicht auch positiv verwendet werden kann.
Allerdings hat die Dänische Aufsichtsbehörde im Februar 2020 das „Dänische Meteorologische Institut“ (DMI) für die Gestaltung ihrer Webseite gerügt. Die Aufsichtsbehörde macht ihre Auffassung deutlich, dass die Anforderungen der DS-GVO nicht umgesetzt sind, da es einem Besucher der Webseite nicht möglich sei, die Verarbeitung personenbezogener Daten durch den ersten Besuch bei dmi.dk abzulehnen. Der Besucher muss „Details anzeigen“ und dann „Zustimmung aktualisieren“ auswählen. Cookies akzeptieren kann der Nutzer allerdings, indem der den Button „Ok“ drückt. Ein solcher Ansatz ist nach Ansicht der Datenschutzbehörde nicht ausreichend transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Zustimmung zur Verarbeitung personenbezogener Daten verweigern kann.
Diese Auffassung wurde auch von der Datenschutzkonferenz (DSK) im Positionspapier „zur Anwendbarkeit des Telemediengesetzes (TMG) für nichtöffentliche Stellen ab dem 25. Mai 2018“ formuliert. Dort heißt es unter Ziffer 9, dass beim Einsatz von Tracking-Mechanismen eine vorherige Einwilligung einzuholen ist.
Der Bundesgerichtshof hat die Revision der Beklagten zurückgewiesen und die Entscheidung des Landgerichts Frankfurt wiederhergestellt. Das Urteil hat insoweit keine Überraschungen geliefert, sondern nur eine Klarstellung, die für die Praxis extrem wichtig ist.
In der Pressemitteilung zum Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II heißt es, dass eine Einwilligung für den „konkreten Fall“ erteilt wird. In dem vorliegenden Fall mangelt es ausdrücklich an der Konkretisierung. Vielmehr war die Gestaltung der Einwilligungserklärung darauf angelegt, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen.
Daneben stellt der BGH klar, dass die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens bereits nach alter Rechtslage nicht mit den Grundgedanken der Gesetze vereinbar war. Dass auch nach heutiger Rechtslage ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt, bestätigt der BGH mit Hinweis auf die Entscheidung des EuGH.
Zum Autor:
Markus Zechel ist seit 2004 Berater für Datenschutz und Informationssicherheit. Nach seiner Tätigkeit als selbstständiger Berater ist er seit 2011 Managing Consultant der Firma migosens GmbH. Zu den Aufgaben von Herrn Zechel gehören u.a. die Beratung, Betreuung und Schulung zu den Themen Datenschutz und Informationssicherheit, sowie die Übernahme der Funktion des externen Datenschutzbeauftragten oder des externen Informationssicherheitsbeauftragten.