Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

ePrivacy-Richtlinie

Mitautorin: Ulrike Berger*

Sie ist da. Die stark herbeigesehnte Entscheidung des Bundesgerichtshof zur Frage, wie mit der Speicherung von Cookies und etwaigen Einwilligungen umzugehen sei (BGH, Urteil vom 28.05.2020, Az. I ZR 7/16, „Cookie-Einwilligung II“). Bislang liegt allerdings nur die diesbezügliche Pressemitteilung des BGH vor. Auf die Urteilsgründe werden wir noch warten müssen.

Auf Basis dessen jedoch in aller Kürze eine erste Einordnung des Urteils:

Das Urteil des BHG geht auf einen Fall aus dem Jahr 2013 zurück. Dort ging es (unter anderem) um die Frage der Einwilligung für ein Analyse-Cookie, das die Auswertung des Surf- und Nutzungsverhaltens ermöglicht. Es musste darüber befunden werden, ob ein Opt-Out (das digitale Häkchen für die Einwilligung war bereits gesetzt und hätte vom Nutzer rausgenommen werden können) für eine Einwilligung ausreichend sei. Der BGH legte hier dem EuGH die Frage vor, ob diese Opt-Out-Einwilligungen nach diversen EU-Richtlinien und Verordnungen zulässig sei. Der EuGH beschied, dass ein Opt-Out keine wirksame Einwilligung im Sinne der EU-Vorgaben darstelle. Mit der Entscheidung des EuGH, dem zu Grunde liegenden Sachverhalt sowie der entscheidenen sog. „Cookie-Richtlinie„, auch ePrivacy-Richtlinie genannt, hatte ich mich im Rahmen des Artikels Zum EuGH Urteil „Planet49“, Az. C-673/17 – Benötigen Cookies ab jetzt immer einer Einwilligung? (Spoiler: Nein) bereits im Oktober 2019 ausführlich auseinandergesetzt.

Wenig überraschend hat der BGH nun, basierend auf eben dieser Entscheidung des EuGH, entschieden, dass im konkreten Fall keine wirksame Einwilligung in das Analyse-Cookie zur Auswertung des Surf-Verhaltens vorlag. Obwohl der Fall vor Inkrafttreten der DSGVO spielt, sagt der BGH, dass auch nach aktueller Rechtslage keine wirksame Einwilligung vorliegt, wenn das Kreuzchen gesetzt ist und der Nutzer es abwählen müsste. All dies hatten wir bereits in dem oben genannten Artikel auch so erläutert.

Viel interessanter ist die eben herbeigesehnte Beurteilung bzw. Auslegung des noch geltenden § 15 Abs. 3 TMG, wonach eine Opt-Out-Lösung bei pseudonymen Profilen für die Marktforschung (aka Nutzungs-Analysen) ausreicht. Dies stand und steht in Widerspruch zu der Anforderung der Cookie-Richtlinie sowie – soweit personenbezogene Daten betroffen sind – zur DSGVO, der der Gesetzgeber wurde hier jedoch dennoch seit 2009 nicht tätig. (siehe dazu im Einzelnen der o.g. Artikel zum EuGH Urteil Planet 49).

Der BGH hat nun – laut Pressemitteilung – entschieden, dass § 15 Abs. 3 TMG richtlinien entsprechend konform auszulegen sei:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“ (Pressemitteilung des BGH vom 28.05.2020 zur Entscheidung I ZR 7/16).

Genau  diese Auslegung hatte ich zwar im Ergebnis** erwartet, da eine andere Auslegung EU-rechtswidrig wäre (siehe die Ausführungen hier), allerdings ist sie doch, nun ja, „interessant“. Schließlich steht in § 15 Abs. 3 TMG exakt das Gegenteil. Laut § 15 Abs. 3 TMG genügt ein Opt-Out. Der BGH sagt aber nun, dass § 15 Abs. 3 TMG einer Einwilligung nach Art. 5 Abs. 3 S.1 der Cookie-Richtline bedürfe. Und da eine Einwilligung, siehe die vorgehenden Ausführungen, eben nicht per Opt-Out eingeholt werden könne, bedarf es nun mehr auch hier eines Opt-Ins. Aber der BGH sagt, mit dem Wortlaut des § 15 Abs. 3 TMG sei eine solche richtlinien-konforme Auslegung noch vereinbar. Na, und wenn der BGH das sagt, dann können wir nur „We serve and obey“ sagen. (Sollten Sie JurastudentIn sein, dann sehen Sie bitte in den Klausuren eher davon ab, derartige Auslegungen vorzunehmen, es sei denn, Sie können den BGH gleich dazu zitieren. 😉 )

Dieser leichte Spott nur am Rande. Das Ergebnis halte ich für richtig (auch wenn es absolut egal ist, ob ich das Urteil des BGH für richtig oder falsch halte, aber man freut sich doch immer ein kleines bißchen, wenn die eigene Prädiktion zutreffend ist. 🙂 )

Ein Disclaimer aber an dieser Stelle: Bis jetzt liegt nur die Pressemitteilung des BGH vor. Allein auf diese stützen sich die vorstehnenden Ausführungen. Es bleibt abzuwarten, ob sich nicht aus den Urteilsgründen noch etwas anderes ergibt. Das ist leider auch schon vorgekommen. Sollte dies so sein, werden Sie hier an dieser Stelle weitere Informationen finden.

Und last but not least: Nur Cookies im Sinne von Art. 5 Abs. 3 S. 1 „Cookie-Richtlinie“ bedürfen einer Einwilligung. Eine Einwilligung ist hingegen nicht erforderlich, wenn es sich sich gemäß Art. 5 Abs. 3 S. 2 „Cookie-Richtlinie“ um Cookies handelt, die unbedingt erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann (siehe dazu ausführlich hier.)

Ok, doch noch einen weiteren Satz: Damit werden sich die Vermarkter jetzt auf den Hosenboden setzen und endlich rechtskonforme Angebote schaffen müssen. Denn der Verweis auf § 15 Abs. 3 TMG taugt nun endgültig nicht mehr.

Ergänzung vom 29.05.2020 für Unternehmen:

Für Unternehmen, insbesondere auch solche, die mit verschiedenen Werbenetzwerken zusammenarbeiten, bedeutet dies auch, dass sie genau prüfen müssen, ob die von Ihnen verwendeten Tracking-Technologien (Art. 5 Abs. 3 „Cookie-Richtlinie“ spricht von „Speicherung von Informationen oder Zugiff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“) Art. 5 Abs. 3 S. 1 oder Art. 5 Abs. 3 S. 2 Cookie-Richtlinie unterfallen – und damit, ob Einwilligungen von den Nutzern einzuholen sind. (Spoiler: In den meisten Fällen schon.)

Ergänzung vom 29.05.2020 zur Frage, ob § 15 Abs. 3 TMG in Auslegung nach Art. 5 Abs. 3 „Cookie“-Richtlinie den Einsatz von Cookies abschließend regelt.

Die vorgenannte Prüfung ist unabhängig davon vorzunehmen, ob personenbezogene Daten verarbeitet werden oder nicht. Wenn aber auch noch personenbezogene Daten verarbeitet werden, dann ist nicht nur der jeweilige Anwendungsbereich von Art. 5 Abs. 3 S.2 der EU-Richtlinie, sondern auch noch zu prüfen, ob eine Rechtsgrundlage zur Datenverarbeitung im Sinne von Art. 6 DSGVO vorliegt. Des Weiteren muss über eine solche Verarbeitung von personenbezogenen Daten natürlich in den Informationen zur Datenverarbeitung nach Art. 12, 13 DSGVO aufgeklärt werden.  Zwar wird zuweilen von Kommentatoren aus dem Satz in der Pressemitteilung des BGH „An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.„, dass bei der Verarbeitung von Cookies, gleich ob diese personenbezogene Daten verarbeiten oder nicht, die DSGVO keine Anwendung fände. Das ist – meines Erachtens – nicht richtig. Art. 5 Abs. 3 der EU-Richtlinie regelt nur die Frage, ob die „die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ einer Einwilligung bedürfen. Wenn personenbezogene Daten betroffen sind, dann sind weiter die Voraussetzungen der DSGVO zu prüfen. Hieran ändert auch der Wortlaut des § 15 Abs. 3 TMG nichts, der von „pseudonymen Nutzungsprofilen“ spricht. Denn Art. 5 Abs. 3 EU-Richtlinie regelt gerade nicht die Verarbeitung von personenbezogenen Daten, so dass hier ergänzend die DSGVO Anwendung findet. Dass dies vom EuGH genauso gesehen wird, zeigt bspw. die Entscheidung Planet49, die in den Entscheidungsgründen überhaupt nicht auf § 15 Abs. 3 TMG abstellt.

In diesem Sinne,

auf bald!

*Ulrike Berger ist Rechtsanwältin bei MÖHRLE HAPP LUTHER und blickt auf mehr als zehn Berufsjahre im IT- und Datenschutzrecht zurück.

** Ich hätte an sich erwartet, dass § 15 Abs. 3 TMG für unvereinbar mit der EU-Richtlinie erklärt und damit § 15 Abs. 3 TMG für nicht anwendbar durch den BGH erklärt wird, so dass ePrivacy-Richtlinie („Cookie“-Richtlinie) unmittelbare Anwendung findet. Zu dem „Ergebnis“ kommt der BGH praktisch auch dadurch, dass er sagt, der Wortlaut müsse im Sinne von Art. 5 Abs. 3 S.1 Cookie-Richtlinie ausgelegt werden. Wie oben dargestellt hinterlässt diese Auslegung allerdings dogmatisches Stirnrunzeln und man fragt sich, warum der BGH diesen Weg gegangen ist.

Vor gut sechs Wochen hatten die Aufsichtsbehörden von Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, NRW, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Bayern und der Bundesbeauftragte für Datenschutz und Informationsfreiheit eine inhaltlich übereinstimmende Presseerklärung zum Einsatz von Tracking Tools, insbesondere zu Google Analytics herausgegeben (die einzelnen Pressemitteilungen finden Sie hinter den Links).

In den Presserklärungen, wie der Presserklärung aus Hamburg, heißt es sinngemäß

  • Google Analytics dürfe nicht mehr ohne Einwilligung verwendet werden
  • Google habe das Produkt derart weiterentwickelt, dass alte Hinweise wie „Hinweise des HmbBfDI zum Einsatz von Google Analytics“ inzwischen veraltet seien und sich darauf nicht mehr gestützt werden könne
  • Google habe sich einräumen lassen, die Daten auch zu eigenen Zwecken zu verwenden, d.h. Daten zum Surfverhalten würden auch an Dritte weitergegeben werden, die sei ohne Einwilligung unzulässig
  • in Folge der Übermittlung der Daten an Dritte zu eigenen Zwecken und damit außerhalb einer Auftragsverarbeitung, so das BayLDA, reiche auch die von Google angebotene IP-Maskierung nicht aus, um den Dienst rechtskonform zu betreiben.

An den Presserklärungen der vorgenannten Aufsichtsbehörden ist zweierlei bemerkenswert.

Zum einen scheint es so, dass sich unter den deutschen Aufsichtsbehörden offensichtlich kein Konsens zum Thema „Google Analytics nur mit Einwilligung“ finden ließ. Denn wäre dies der Fall gewesen, hätte es wohl eine gemeinsame Veröffentlichung zum Thema über die Datenschutzkonferenz gegeben.

Zum anderen negieren die mit den Presseerklärungen verbreiteten Auffassungen der Behörden, die Tatsachen, dass es unterschiedliche, datenschutzrelevante, Formen der Analyse und des Trackings gibt sowie dass insbesondere Google in seinem Produkt Universal Analytics (wie es seit knapp 2 Jahren eigentlich heißt) zahlreiche Einstellungsmöglichkeiten im Hinblick auf datenschutzrelevante Tracking- bzw. Analyseformen vorsieht. Ein Defizit, dass diese Presseerklärungen mit den bisherigen Positionsbestimmungen und sonstigen Papieren der Datenschutzkonferenz – leider – teilen (dazu so gleich noch mehr).

Diese mangelnde Differenzierung führt dazu, dass die mit dem Titel dieses Beitrags aufgeworfene Frage „Warnen die Aufsichtsbehörden zu Recht vor dem Einsatz von Google Analytics ohne Einwilligung?“ in aller Kürze nur mit der klassischen Juristenantwort: „Es kommt darauf an!“ beantwortet werden kann. Auch wenn diese Juristen-Antwort sehr verhasst ist, trifft sie im Hinblick auf die Frage, ob Google Analytics nur noch mit einer Einwilligung der Nutzer oder aber doch noch aufgrund von berechtigter Interessen im Sinne von Art. 6 I f) DSGVO verwendet werden kann, den Kern der Sache.

Um leichter verstehen zu können, warum die Antwort „Es kommt darauf an“ lautet und warum (fast) überall zu lesen ist, dass Google Analytics nur noch mit einer Einwilligung zu verwenden sei, begeben wir uns zunächst noch einmal in die jüngere Vergangenheit. Im Anschluss wenden wir uns dem aktuellen Diskussionsstand zu und lösen auf, worauf es denn nun bei der Implementierung von Google Analytics ankommt. Last but not least, sehen wir uns einmal die Entscheidung der belgischen Aufsichtsbehörde an, die ein Bußgeld in Höhe von 15.000 EUR wegen der Nutzung von Google Analytics verhängt hat.

Den ganzen Artikel lesen.

Rechtsanwältin Nina Diercks – Partnerin bei MÖHRLE HAPP LUTHER

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin bei MÖHRLE HAPP LUTHER und verantwortet dort den Bereich IT- und Datenschutzrecht. Dem entsprechend ist sie ausschließlich in den Bereichen  IT- | Medien-| Datenschutz- und dem angrenzenden Arbeitsrecht tätig. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

MÖHRLE HAPP LUTHER

MÖHRLE HAPP LUTHER ist eine führende Wirtschaftskanzlei aus Norddeutschland, in der Wirtschaftsprüfer, Steuerberater und Rechtsanwälte Hand in Hand arbeiten. Diese multidisziplinäre Aufstellung zeichnet uns aus. Verbunden mit langjähriger Erfahrung führt sie zu kurzen Wegen und schneller Bearbeitung. So bieten wir unseren Mandanten eine hochqualifizierte Beratung und persönliche Betreuung in allen Rechts-, Wirtschafts- und Steuerfragen. Mit mehr als 350 Mitarbeitern beraten wir Unternehmen sowie Unternehmer zielorientiert und engagiert – im Tagesgeschäft und bei komplexen Fragestellungen.

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @MHL_ITDS.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.