(Foto: Kirchberger) Der Bundesgerichtshof (BGH) hat am 28.05.2020 geurteilt, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen zu Zwecken der Werbung eine Einwilligung des jeweils betroffenen Nutzers erforderlich ist. Ein „voreingestelltes Ankreuzkästchen“ reicht für eine Einwilligung nicht.
Bisher liegt eine Pressemitteilung des BGH vor. Die reicht aus um festzustellen, dass Handlungsbedarf gegeben ist: Ein Großteil der Mechanismen, die Webseitenbetreiber verwenden, um Cookies und andere Tracking- Werkzeuge einzusetzen, erfüllt die Anforderungen an das geltende Recht nicht.
1. Sachverhalt
Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte planet49 veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.
Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.
Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
In der mit dem Wort „hier“ verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.
Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.
Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. …
2. Entscheidung des BGH
Der BGH hat entschieden, dass der Webseitenbetreiber planet49 nicht frei darin gewesen sei, die von ihm vorformulierte Einverständniserklärung für den Einsatz des Webanalysedienstes Remintrex bereits mit einem voreingestellten Häkchen zu versehen. Er habe sich damit zu weit von der Gesetzeslage entfernt. In Anwendung von § 307 Abs.2 Nr.1 BGB habe sein Einwilligungskonstrukt daher gegen AGB-Recht verstoßen und sei, weil mit wesentlichen Grundgedanken des Telemediengesetzes (TMG) nicht vereinbar, unwirksam.
Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist. Das AGB-Recht der §§ 305 ff BGB gilt für Formulierungen, die entworfen sind, um auf eine beliebige Vielzahl von Fällen angewendet zu werden. Dabei ist unerheblich, ob die jeweilige Formulierung als „Allgemeine Geschäftsbedingung“ bezeichnet ist oder nicht. So sind z.B. die „Nutzungsbedingungen“ einer Internetplattform Allgemeine Geschäftsbedingungen. Im vorliegenden Fall hatte planet49 seine Einverständniserklärung für eine möglichst große Anzahl von Nutzern vorformuliert. Die Formulierung und die Voreinstellung waren im Sinne des AGB-Rechts also vom Verwender „gestellt“. Solche Klauseln unterliegen der Inhaltskontrolle der §§ 307 ff BGB.
Das TMG (konkret geht es um § 15 Abs.3 S.1 TMG) sei so zu verstehen, dass es (1) wegen Art. 5 Abs. 3 Satz 1 der – gegenüber dem TMG höherrangigen – europäischen ePrivacy-Richtlinie (2002/58/EU) anordne, für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung sei die Einwilligung des Nutzers erforderlich und (2) wegen einer Entscheidung des Europäischen Gerichtshofs (dazu unten Nr.3) liege keine wirksame Einwilligung im Sinne dieser Bestimmungen vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung erst abwählen müsste.
Das Verbot der Voreinstellung sei nach Auffassung des BGH so wesentlich, dass gegen AGB-Recht verstoße, wer ein Verfahren wählt, dass nicht auf die aktive Einwilligung des Internetnutzers setzt (insbesondere aktives Anklicken). Das Einwilligungskonstrukt sei dann unwirksam, § 307 Abs.2 S.1, Abs.1 S.1 BGB. Die Nutzer der Webseite konnten mit dem von planet49 vorgegebenen Verfahren in die Verwendung der Cookies nicht wirksam einwilligen.
3. Vorabentscheidung des EuGH
Die wesentliche Entscheidung hatte der EuGH bereits getroffen. Er entschied bereits im Oktober 2019, dass europäisches Recht (genauer: Art. 2 Buchst. f und Art. 5 Abs. 3 der ePrivacy-Richtlinie 2002/58 ) „dahin auszulegen sei, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“ Kurz: Ein Opt-Out reicht nicht für den Zugriff auf z.B. durch Cookies erlangte Daten auf dem Endgerät des Nutzers.
Das gilt nach Art. 5 Abs. 3 ePrivacy-Richtlinie für sämtliche Daten auf dem Endgerät, unabhängig davon, ob diese für Marketing-Zwecke verwendet werden sollen oder ob es sich um personenbezogene Daten handelt oder nicht (Urteil RN 71). Anders aber dann, wenn der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft (z.B. planet49 als Online-Anbieter von Glücksspielen), der vom Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann, Art.5 Abs.3 ePrivacy-Richtlinie.
Außerdem erinnert der EuGH daran, dass der Nutzer klare und umfassende Informationen über die Datenverarbeitung, u.a. über die Zwecke, erhalten muss, bevor er entscheidet, ob er einwilligt oder nicht, Art 5 Abs.3 ePrivacy-Richtlinie.
Der EuGH entschied nicht in der Sache Bundesverband der Verbraucherzentralen ./. planet49 selbst. Er entschied über die Bedeutung europäischer Rechtsvorschriften (der ePrivacy-Richtlinie), von denen der BGH meinte, er müsse sie für seine Entscheidung heranziehen. Daher hatte der BGH dem EuGH Rechtsfragen zum europäischen Recht zur Erläuterung vorgelegt hatte. Für die verbindliche Auslegung europäischen Rechts ist der EuGH zuständig.
Der BGH musste dann noch in der Sache unter Beachtung des EuGH-Urteils entscheiden. Die Herausforderung lag darin, die Entscheidung des EuGH zu europäischem Recht (der ePrivacy-Richtlinie) auf deutsches Recht zu übertragen. Denn die vom EuGH zur Entscheidung herangezogenen europäischen Rechtsvorschriften sind Richtlinien. Und Richtlinien gelten (anders als Verordnungen wie z.B. die DSGVO) in den EU-Mitgliedsstaaten nicht unmittelbar. Vielmehr geben sie einen Normenrahmen vor, den die EU-Mitgliedsstaaten erst in nationale Gesetze transformieren müssen. Sie gelten nicht direkt. Deutschland hat das aber mit der ePrivacy-Richtlinie nie vollständig getan. Daher wird die Rechtsauffassung vertreten, es gebe kein deutsches Gesetz, das die Inhalte des Art. 5 Abs.3 der ePrivacy-Richtlinie übernommen habe und unter Beachtung der Auslegung durch den EuGH anzuwenden wäre. Der BGH sieht das anders. Er vertritt die Auffassung, § 15 Abs. 3 S.1 TMG sei heranzuziehen:
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nichtwiderspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“
15 Abs.3 TMG sei im Sinne des EuGH-Urteils gegen seinen ausdrücklichen Wortlaut (Opt-Out reicht) so auszulegen, dass ein Diensteanbieter für Zwecke der Werbung Nutzungsprofile bei Verwendung von Pseudonymen erstellen dürfe, wenn der Nutzer einwilligt. (die in den Cookies gespeicherten IDs – zufallsgenerierte Nummern der vom Nutzer verwendeten Browser, die den Registrierungsdaten der Nutzer – Name und Adresse zugeordnet sind, sind Pseudonyme. Jeder Browser erhält eine singuläre ID.)
4. Auswirkungen der Entscheidung
Das Urteil des BGH betrifft alle Webseitenbetreiber, die Cookies für Werbezwecke verwenden.
a) Nicht ausreichend sind insbesondere folgende Einwilligungskonstrukte
- Der Webseitenbetreiber weist auf die Verwendung von Cookies hin und formuliert, der Nutzer sei mit ihrer Verwendung einverstanden, wenn er die Webseite weiter nutzt.
- Der Webseitenbetreiber formuliert das Einverständnis eher unverbindlich z.B. mit „verstanden“.
- Der Webseitenbetreiber klärt den Nutzer vor Einwilligung nicht über den Einsatz, die Funktionsweise und Einsatzzweck sämtlicher Cookies mit einfachen Worten auf.
b) 15 Abs.3 S.1 TMG betrifft die Verwendung von Pseudonymen (in der Praxis die ID des Browsers im Endgerät des Nutzers) zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien. Soweit solche Pseudonyme durch Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung eingesetzt werden – und nur dann – ist eine aktive Einwilligung erforderlich. Das Urteil des BGH bezieht sich nicht auf den Einsatz von Cookies zu anderen Zwecken (denn um andere Zwecke ging es im zu entscheidenden Streitfall nicht). Dass der Einsatz von Cookies zum Zweck der bedarfsgerechten Gestaltung von Telemedien eine aktive Einwilligung voraussetzt, sagt der BGH nicht.
Die für den Betrieb einer Webseite nützlichen oder notwendigen Cookies sind vom Urteil des BGH nicht unmittelbar betroffen. Solche Cookies sind z.B. Warenkorb-Cookies, die verwendet werden, damit sich die vom Nutzer in einem Online-Shop angeklickten Folgeseiten merken, welche Güter der Nutzer bereits in den Warenkorb geladen hat; Cookies, die die Sprachauswahl des Nutzers für die Dauer seines Besuchs auf den Webseiten registrieren und Cookies, die die Einwilligung in die Verwendung anderer Cookies speichern.
c) Das Urteil betrifft andere Vorgehensweisen zur Gewinnung von Nutzerprofilen bei Verwendung von Pseudonymen zum Zweck der Werbung (§ 15 Abs. 3 S.1 TMG) – wie z.B. das Browser-Fingerprinting. Beim Browser-Fingerprinting greift kein Werkzeug aktiv im Browser des Nutzers Informationen ab. Das Verfahren wertet vielmehr die Informationen aus, die jeder Browser beim Aufruf von Webseiten automatisch übermittelt. Das sind neben der übermittelten IP-Adresse Informationen über Art und Version des Browsers selbst, das Betriebssystem, installierte Plug-Ins, Sprachen, Header-Einstellungen, die Bildschirmauflösung, die Zeitzone und die Cookie-Einstellungen. Wegen der Vielzahl der übermittelten Informationen und wegen der Quasi-Singularität, die sie infolge ihrer Kombination erhalten, ist es möglich, innerhalb einer Vergleichsgruppe von mehreren hunderttausend Nutzern den einen Nutzer von sämtlichen anderen zu unterscheiden. Soweit an diese Konstruktion zur Informationsgewinnung die Erstellung von Nutzerprofilen knüpft, wird hierfür ebenfalls eine aktive Einwilligung des Nutzers erforderlich sein.
d) Die „Orientierungshilfe für Anbieter von Telemedien“ der deutschen Datenschutzkonferenz – DSK (dem Gremium der deutschen Datenschutzaufsichtsbehörden) ist weitgehend obsolet. Die DSK legt in der Orientierungshilfe ihre Rechtsauffassung zum Einsatz von Tracking-Werkzeugen dar und erteilt umfangreiche Auskünfte über deren erlaubte Einsatzzwecke, die Voraussetzungen für deren Einsatz und die heranzuziehenden Rechtsvorschriften. Die DSK setzt dabei auf Art 6 DSGVO, der allgemeinen Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Die DSK hält in ihrem Dokument fest, dass § 15 Abs. 3 TMG nicht angewendet werden könne. Diese – unverbindliche aber praxisrelevante – Rechtsauffassung ist angesichts des BGH-Urteils nicht mehr aktuell: Für Tracking-Mechanismen ist vorrangig § 15 Abs.3 TMG zu prüfen. Das gelte für die Rechtslage vor dem 25.Mai 2018, dem Tag, seit dem die DSGVO anzuwenden ist (der zu entscheidende Fall trug sich 2013 zu, also vor der DSGVO). Und das gelte auch für die Zeit ab dem 25. Mai 2018.
Datenschutzrecht | Telemedienrecht | Zivilrecht
15 Abs.3 TMG, Art. 5 Abs. 3 Satz 1 der ePrivacy-Richtlinie (2002/58/EG), § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB