Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Eine erste Einordnung des BGH-Urteils „Cookie II“ (I ZR 7/16): Voreingestellte „Einwilligungen“ (Opt-Outs) sind unwirksam und das gilt grundsätzlich auch für Cookies

Mitautorin: Ulrike Berger*

Sie ist da. Die stark herbeigesehnte Entscheidung des Bundesgerichtshof zur Frage, wie mit der Speicherung von Cookies und etwaigen Einwilligungen umzugehen sei (BGH, Urteil vom 28.05.2020, Az. I ZR 7/16, „Cookie-Einwilligung II“). Bislang liegt allerdings nur die diesbezügliche Pressemitteilung des BGH vor. Auf die Urteilsgründe werden wir noch warten müssen.

Auf Basis dessen jedoch in aller Kürze eine erste Einordnung des Urteils:

Das Urteil des BHG geht auf einen Fall aus dem Jahr 2013 zurück. Dort ging es (unter anderem) um die Frage der Einwilligung für ein Analyse-Cookie, das die Auswertung des Surf- und Nutzungsverhaltens ermöglicht. Es musste darüber befunden werden, ob ein Opt-Out (das digitale Häkchen für die Einwilligung war bereits gesetzt und hätte vom Nutzer rausgenommen werden können) für eine Einwilligung ausreichend sei. Der BGH legte hier dem EuGH die Frage vor, ob diese Opt-Out-Einwilligungen nach diversen EU-Richtlinien und Verordnungen zulässig sei. Der EuGH beschied, dass ein Opt-Out keine wirksame Einwilligung im Sinne der EU-Vorgaben darstelle. Mit der Entscheidung des EuGH, dem zu Grunde liegenden Sachverhalt sowie der entscheidenen sog. „Cookie-Richtlinie„, auch ePrivacy-Richtlinie genannt, hatte ich mich im Rahmen des Artikels Zum EuGH Urteil „Planet49“, Az. C-673/17 – Benötigen Cookies ab jetzt immer einer Einwilligung? (Spoiler: Nein) bereits im Oktober 2019 ausführlich auseinandergesetzt.

Wenig überraschend hat der BGH nun, basierend auf eben dieser Entscheidung des EuGH, entschieden, dass im konkreten Fall keine wirksame Einwilligung in das Analyse-Cookie zur Auswertung des Surf-Verhaltens vorlag. Obwohl der Fall vor Inkrafttreten der DSGVO spielt, sagt der BGH, dass auch nach aktueller Rechtslage keine wirksame Einwilligung vorliegt, wenn das Kreuzchen gesetzt ist und der Nutzer es abwählen müsste. All dies hatten wir bereits in dem oben genannten Artikel auch so erläutert.

Viel interessanter ist die eben herbeigesehnte Beurteilung bzw. Auslegung des noch geltenden § 15 Abs. 3 TMG, wonach eine Opt-Out-Lösung bei pseudonymen Profilen für die Marktforschung (aka Nutzungs-Analysen) ausreicht. Dies stand und steht in Widerspruch zu der Anforderung der Cookie-Richtlinie sowie – soweit personenbezogene Daten betroffen sind – zur DSGVO, der der Gesetzgeber wurde hier jedoch dennoch seit 2009 nicht tätig. (siehe dazu im Einzelnen der o.g. Artikel zum EuGH Urteil Planet 49).

Der BGH hat nun – laut Pressemitteilung – entschieden, dass § 15 Abs. 3 TMG richtlinien entsprechend konform auszulegen sei:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“ (Pressemitteilung des BGH vom 28.05.2020 zur Entscheidung I ZR 7/16).

Genau  diese Auslegung hatte ich zwar im Ergebnis** erwartet, da eine andere Auslegung EU-rechtswidrig wäre (siehe die Ausführungen hier), allerdings ist sie doch, nun ja, „interessant“. Schließlich steht in § 15 Abs. 3 TMG exakt das Gegenteil. Laut § 15 Abs. 3 TMG genügt ein Opt-Out. Der BGH sagt aber nun, dass § 15 Abs. 3 TMG einer Einwilligung nach Art. 5 Abs. 3 S.1 der Cookie-Richtline bedürfe. Und da eine Einwilligung, siehe die vorgehenden Ausführungen, eben nicht per Opt-Out eingeholt werden könne, bedarf es nun mehr auch hier eines Opt-Ins. Aber der BGH sagt, mit dem Wortlaut des § 15 Abs. 3 TMG sei eine solche richtlinien-konforme Auslegung noch vereinbar. Na, und wenn der BGH das sagt, dann können wir nur „We serve and obey“ sagen. (Sollten Sie JurastudentIn sein, dann sehen Sie bitte in den Klausuren eher davon ab, derartige Auslegungen vorzunehmen, es sei denn, Sie können den BGH gleich dazu zitieren. 😉 )

Dieser leichte Spott nur am Rande. Das Ergebnis halte ich für richtig (auch wenn es absolut egal ist, ob ich das Urteil des BGH für richtig oder falsch halte, aber man freut sich doch immer ein kleines bißchen, wenn die eigene Prädiktion zutreffend ist. 🙂 )

Ein Disclaimer aber an dieser Stelle: Bis jetzt liegt nur die Pressemitteilung des BGH vor. Allein auf diese stützen sich die vorstehnenden Ausführungen. Es bleibt abzuwarten, ob sich nicht aus den Urteilsgründen noch etwas anderes ergibt. Das ist leider auch schon vorgekommen. Sollte dies so sein, werden Sie hier an dieser Stelle weitere Informationen finden.

Und last but not least: Nur Cookies im Sinne von Art. 5 Abs. 3 S. 1 „Cookie-Richtlinie“ bedürfen einer Einwilligung. Eine Einwilligung ist hingegen nicht erforderlich, wenn es sich sich gemäß Art. 5 Abs. 3 S. 2 „Cookie-Richtlinie“ um Cookies handelt, die unbedingt erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann (siehe dazu ausführlich hier.)

Ok, doch noch einen weiteren Satz: Damit werden sich die Vermarkter jetzt auf den Hosenboden setzen und endlich rechtskonforme Angebote schaffen müssen. Denn der Verweis auf § 15 Abs. 3 TMG taugt nun endgültig nicht mehr.

Ergänzung vom 29.05.2020 für Unternehmen:

Für Unternehmen, insbesondere auch solche, die mit verschiedenen Werbenetzwerken zusammenarbeiten, bedeutet dies auch, dass sie genau prüfen müssen, ob die von Ihnen verwendeten Tracking-Technologien (Art. 5 Abs. 3 „Cookie-Richtlinie“ spricht von „Speicherung von Informationen oder Zugiff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“) Art. 5 Abs. 3 S. 1 oder Art. 5 Abs. 3 S. 2 Cookie-Richtlinie unterfallen – und damit, ob Einwilligungen von den Nutzern einzuholen sind. (Spoiler: In den meisten Fällen schon.)

Ergänzung vom 29.05.2020 zur Frage, ob § 15 Abs. 3 TMG in Auslegung nach Art. 5 Abs. 3 „Cookie“-Richtlinie den Einsatz von Cookies abschließend regelt.

Die vorgenannte Prüfung ist unabhängig davon vorzunehmen, ob personenbezogene Daten verarbeitet werden oder nicht. Wenn aber auch noch personenbezogene Daten verarbeitet werden, dann ist nicht nur der jeweilige Anwendungsbereich von Art. 5 Abs. 3 S.2 der EU-Richtlinie, sondern auch noch zu prüfen, ob eine Rechtsgrundlage zur Datenverarbeitung im Sinne von Art. 6 DSGVO vorliegt. Des Weiteren muss über eine solche Verarbeitung von personenbezogenen Daten natürlich in den Informationen zur Datenverarbeitung nach Art. 12, 13 DSGVO aufgeklärt werden.  Zwar wird zuweilen von Kommentatoren aus dem Satz in der Pressemitteilung des BGH „An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.„, dass bei der Verarbeitung von Cookies, gleich ob diese personenbezogene Daten verarbeiten oder nicht, die DSGVO keine Anwendung fände. Das ist – meines Erachtens – nicht richtig. Art. 5 Abs. 3 der EU-Richtlinie regelt nur die Frage, ob die „die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ einer Einwilligung bedürfen. Wenn personenbezogene Daten betroffen sind, dann sind weiter die Voraussetzungen der DSGVO zu prüfen. Hieran ändert auch der Wortlaut des § 15 Abs. 3 TMG nichts, der von „pseudonymen Nutzungsprofilen“ spricht. Denn Art. 5 Abs. 3 EU-Richtlinie regelt gerade nicht die Verarbeitung von personenbezogenen Daten, so dass hier ergänzend die DSGVO Anwendung findet. Dass dies vom EuGH genauso gesehen wird, zeigt bspw. die Entscheidung Planet49, die in den Entscheidungsgründen überhaupt nicht auf § 15 Abs. 3 TMG abstellt.

In diesem Sinne,

auf bald!

*Ulrike Berger ist Rechtsanwältin bei MÖHRLE HAPP LUTHER und blickt auf mehr als zehn Berufsjahre im IT- und Datenschutzrecht zurück.

** Ich hätte an sich erwartet, dass § 15 Abs. 3 TMG für unvereinbar mit der EU-Richtlinie erklärt und damit § 15 Abs. 3 TMG für nicht anwendbar durch den BGH erklärt wird, so dass ePrivacy-Richtlinie („Cookie“-Richtlinie) unmittelbare Anwendung findet. Zu dem „Ergebnis“ kommt der BGH praktisch auch dadurch, dass er sagt, der Wortlaut müsse im Sinne von Art. 5 Abs. 3 S.1 Cookie-Richtlinie ausgelegt werden. Wie oben dargestellt hinterlässt diese Auslegung allerdings dogmatisches Stirnrunzeln und man fragt sich, warum der BGH diesen Weg gegangen ist.

9 Responses
  1. Hallo Nina,
    vielen Dank für Deine so zeitnahen Ausführungen dieser so bedeutenden Entscheidung – die letztlich eher eine Klarstellung war!
    Ich habe ja die Hoffnung, dass die „wilde Trackerei“ tatsächlich ein wenig eingeschränkt wird und damit auch die große Stunde der „Spezial-Portale“ kommt, bei denen die Zielgruppe nicht mehr per Algorithmus identifiziert werden muss, sondern auch ohne Tracking recht klar auf der Hand liegt. Bleiben wir gespannt. 🙂
    Viele Grüße und #bleibtgesund
    Stefan

  2. Michael

    Sehr geehrte Frau Diercks,

    vielen Dank für den interessanten Artikel.

    > die unbedingt erforderlich sind
    Also werde ich weiterhin den privaten Modus, diverse Datenschutz-Addons und meine Firewall nutzten müssen, um mich vor Cookies und anderen Trackern zu schützen.

    Und wann wird endlich verhindert, daß FB (und WA, IG) Daten von Nicht-Nutzern sammelt und Schattenprofile anlegt?

  3. Lara

    Hallo Frau Diercks,

    vielen Dank für diesen Artikel.

    Könnten Sie noch für Laien ergänzen wo man „Art. 5 Abs. 3 S. 1 „Cookie-Richtlinie““ findet? Auf diversen Behörden Seiten habe ich unter der „Cookie Richtlinie“ nicht viel finden können.

    1. Ich habe die Cookie-Richtlinie doch verlinkt. Sie steht nicht grundlos in Anführungsstrichen, es handelt sich genau genommen um die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der Fassung vom 25. November 2009 (https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32009L0136&from=DE). Wenn Sie den ebenfalls mehrfach verlinkten Artikel zur EuGH Entscheidung „Planet 49“ lesen, finden Sie dort auch die Norm zitiert und weiter eingeordnet.

  4. Liebe Frau Diercks,

    besten Dank für die Ausführung. Scheinbar verstehen Sie etwas vom Stoff und gehen auf die Nuancen ein, was manche Kollegen eben nicht tun.

    Eine Zusammenfassung mit ein paar To-Dos für Firmeninhaber, würde mich dennoch freuen. Nicht jeder kann auf die ganze Gesetzen zugehen und sie auch verstehen. 😉

    So verstehe ich es:

    wenn eine Firma eine Webseite für seine Firma betreibt und bestimmte Tools wie Google Analytics einsetzt, dann muss er immer, bevor die Skripte geladen werden, eine Zustimmung einholen.

    Die Zustimmung darf nicht vorausgewählt sein.

    Geht es hier nur um die 3rd Party Cookies oder bei allen?

    Die Unterscheidung zwischen Google Analytics Statistics und Google Analytics Advertising wird nicht thematisiert. Google Analytics in dem üblichen Set-Up verwendet nur 1st Party Cookies. Bei Google Analytics mit dem Advertising Feature aktiviert, werden andere persönliche Daten erhoben.

    Der Tool Usercentrics unterscheidet zwischen den beiden und bezeichnet die eine Version als Funktional und die andere nicht.

    Wie gesagt eine praktische Auslegung des Gesetzes für Laien bzw. Firmen wäre interessant.

    1. Sehr geehrter Herr Rüsch,

      vielen Dank für Ihr Feedback. Bitte haben Sie aber Verständnis dafür, dass ich hier keine konkreten Rechtsfragen beantworte. Einige Ihrer Fragen werden im Blog in verschiedenen Artikeln beantwortet. Gerne beantworte ich Ihnen ansonsten Ihre Fragen im Rahmen eines Mandats.

      Herzliche Grüße
      ND

      Herzliche Grüße
      ND

  5. GP

    Sehr geehrte Frau Diercks,

    mein IT’ler wies mich auf besagtes Urteil hin. Laut seiner Einschätzung habe das Auswirkungen auf das direkte Einbetten der eigenen Social-Media-Profile (Facebook etc.) auf der eigenen Webseite, da diese Drittanbieter Cookies setzen, was der vorherigen Zustimmung des Besuchers bedürfe. Können Sie diese doch sehr drastischen Auswirkungen bestätigen?

    Sollte dies tatsächlich der Fall sein, wie könnte darauf rechtskonform reagiert werden, ohne die direkte Verlinkung der besagten Profile von der Webseite zu entfernen?

    Vielen herzlichen Dank im Voraus für Ihre Hilfe.

    Mit freundlichen Grüßen,
    (Herr) GP

    1. Sehr geehrter Herr GP,

      vielen Dank für Ihr Feedback. Bitte haben Sie aber Verständnis dafür, dass ich hier keine konkreten Rechtsfragen beantworte. Einige Ihrer Fragen werden im Blog in verschiedenen Artikeln beantwortet. Gerne beantworte ich Ihnen ansonsten Ihre Fragen im Rahmen eines Mandats.

      Herzliche Grüße
      ND

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Rechtsanwältin Nina Diercks – Partnerin bei MÖHRLE HAPP LUTHER

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin bei MÖHRLE HAPP LUTHER und verantwortet dort den Bereich IT- und Datenschutzrecht. Dem entsprechend ist sie ausschließlich in den Bereichen  IT- | Medien-| Datenschutz- und dem angrenzenden Arbeitsrecht tätig. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

MÖHRLE HAPP LUTHER

MÖHRLE HAPP LUTHER ist eine führende Wirtschaftskanzlei aus Norddeutschland, in der Wirtschaftsprüfer, Steuerberater und Rechtsanwälte Hand in Hand arbeiten. Diese multidisziplinäre Aufstellung zeichnet uns aus. Verbunden mit langjähriger Erfahrung führt sie zu kurzen Wegen und schneller Bearbeitung. So bieten wir unseren Mandanten eine hochqualifizierte Beratung und persönliche Betreuung in allen Rechts-, Wirtschafts- und Steuerfragen. Mit mehr als 350 Mitarbeitern beraten wir Unternehmen sowie Unternehmer zielorientiert und engagiert – im Tagesgeschäft und bei komplexen Fragestellungen.

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @MHL_ITDS.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.