BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber

Liebe Leser! Das gestrige Urteil kann ein Game-Changer im Marketing werden. Zumindest stärkt es deutlich die Rechte der Besucher von Internetseiten und schützt diese jetzt deutlich besser. Und, liebe Marketer: Wenn Ihr die Internetnutzer nett fragt, dann geben diese auch die Erlaubnis für Marketing – es muss halt eine freie Entscheidung sein. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber

BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber

Der Bundesgerichtshof (BGH) hat das lang erwartete Urteil in der Rechtssache Planet 49 gesprochen. Nicht nur die Datenschutzwelt hat kurz den Atem angehalten, sondern auch das digitale Marketing blickte mit Spannung nach Karlsruhe. Denn ob und vor allem wie Cookies zukünftig eingesetzt werden können, stand auf dem Prüfstand.

Was bisher geschah…

Wie wir bereits berichteten legte der BGH dem EuGH Fragen aus dem Verfahren der Verbraucherzentrale Bundesverband (vzbv) gegen den Adresshändler und Gewinnspielbetreiber Planet 49 im Rahmen eines Vorabentscheidungsverfahrens vor. Im Fokus stand die Wirksamkeit einer Einwilligung in die Speicherung von Informationen auf dem Endgerät, welche durch ein voreingestelltes Ankreuzkästchen abgegeben wurde (Besteht eine opt-in Pflicht?).

Planet 49 wollte sich in Form von Hinweistexten das Recht einräumen lassen, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das Kästchen war bereits vorangekreuzt und erst mit einem zusätzlichen Klick konnten die Nutzer diese Zustimmung widerrufen.

Der EuGH entschied am 1. Oktober 2019 (Rs. C-673/17), dass u.a. die durch Planet 49 eingeholte Einwilligung schon den Anforderungen der Datenschutzrichtlinie nicht genügte.

Seine Entscheidung begründete der EuGH damit, dass in einem Unterlassen, die vorangekreuzte Einwilligung zu widerrufen (opt-out), keine aktive Willenserklärung gesehen werden könne. Das viel zitierte „Cookie-Urteil“ sollte daher eher Einwilligungs-Urteil heißen, da der EuGH klarmachte, unter welchen Umständen die Anforderungen an die Einwilligung nicht erfüllt sind. Zudem arbeitete der EuGH heraus, dass von dieser Pflicht nicht nur personenbezogene Daten im Endgerät des Nutzers betroffen sind.

Alles für die Einwilligung

Seither ist man sich überwiegend einig, dass einfache Cookie-Banner den Anforderungen des EuGHs nicht mehr gerecht werden (können). Gemeint sind dabei diejenigen Cookie-Banner, die voreingestellte Häkchen für jede Art von Tracking vorsehen oder reine Hinweis-Banner, die überhaupt keine Auswahlmöglichkeit anbieten. Seitdem „verschönern“, insbesondere auf Smartphones besonders lesefreundlich, größere und natürlich bessere Banner die Websites. Getreu nach dem Motto: alles für die (datenschutzkonforme) Einwilligung.

Was sagt nun der BGH?

Ließ der BGH jetzt die Cookie-Bombe fallen oder handelt es sich hier eher um ein zu erwartendes „Bömbchen“? Viel Neues bringt das heutige Urteil aus Karlsruhe nicht. Zwar liegt bisher nur die Pressemitteilung vor und die vollständige Urteilsbegründung wird wohl noch etwas auf sich warten lassen, aber wir wissen bereits Folgendes:

„Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 [DSGVO] – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.“

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Eine nationale Norm richtlinienkonform auszulegen heißt, dass bei mehreren möglichen Deutungsmöglichkeiten eines Gesetzestextes diejenige gewählt wird, die dem dahinter stehenden europäischen Recht – in diesem Fall der Art. 5 Abs. 3 der RL 2002/58/EG – zur vollen Wirksamkeit verhilft. Zur Erinnerung dieser fordert von den EU-Mitgliedsstaaten sicherzustellen, dass der Nutzer für das Speichern von und Zugreifen auf Informationen in seinem Endgerät (es geht also nicht nur um Cookies) aufgrund von klaren und umfassenden Informationen seine Einwilligung erteilt hat. Dies ist ausnahmsweise entbehrlich, wenn das Speichern und Zugreifen unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Durch den „Trick“ der richtlinienkonformen Auslegung sind die Vorgaben der europäischen Richtlinie und das eingangs beschriebene EuGH-Urteil nun auch in Deutschland wirksam, ohne das der Gesetzgeber tätig werden muss. Unter Juristen herrschte seit langem Streit darüber, ob dies möglich ist oder der § 15 Abs. 3 Satz 1 TMG nicht vielmehr als europarechtswidrig einzustufen ist, weil er scheinbar dem Art. 5 Abs. 3 der RL 2002/58/EG widerspricht. So heißt es auch weiter in der Pressemitteilung:

„Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.“

Demnach ist § 15 Abs. 3 Satz 1 TMG richtlinienkonform auszulegen und auslegbar. Der BGH positioniert sich hier mit einer Auffassung, die man nur noch als pragmatisch bezeichnen kann. Zu unterstellen, dass der deutsche Gesetzgeber davon ausgegangen ist, § 15 TMG sei richtlinienkonform, wenngleich der Wortlaut der Norm im Vergleich zur Richtlinie kaum in Einklang gebracht werden kann, ist schon sportlich.

„An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.“

Auch wenn das Verfahren gegen Planet 49 bereits 2014 begonnen hat und sich die Rechtslage auch durch die Anwendung der DSGVO seit Mai 2018 verändert hat, seien die rechtlichen Konsequenzen laut BGH unverändert. Diese fast nebenbei gemachte Feststellung könnte zumindest in diesem Bereich zur Rechtssicherheit beitragen.

Ist diese Entscheidung die #cookiecalypse?

Bereits nach dem Urteil des EuGHs proklamierte vor allem die Marketingbranche den Cookie-Tod. Aber scheinbar ist das Cookie resilienter als erwartet und das Online-Marketing ist bisher auch nicht untergegangen. Selbstverständlich erschweren erhöhte Einwilligungserfordernisse die Arbeit von Websitebetreibern, die versuchen ihre Inhalte durch Werbung zu refinanzieren. Erfreulich für die Branche ist, dass das Urteil zur Rechtssicherheit beträgt. Denn einerseits ist klar, wer zu Werbezwecken und zur Profilbildung umfangreich tracken möchte, benötigt nunmehr eine Einwilligung durch opt-in. Anderseits muss für unbedingt zur Erbringung der Dienste erforderliche Cookies keine Einwilligung eingeholt werden. Dies sind nach Ansicht der Aufsichtsbehörden auf jeden Fall: User-Input-Cookies, Authentifizierungscookies, nutzerorientierte Sicherheitscookies, Multimedia-Player-Sitzungscookies, Lastverteilungs-Sitzungscookies und Cookies zur Anpassung der Benutzeroberfläche. Aber bisher gibt es keine abschließende, verbindliche Liste über unbedingt erforderliche Cookies.

Das sich in diesem Bereich auch noch viel Gestaltungsspielraum finden lässt, zeigen die unterschiedlichen Ausformungen von Cookie-Bannern im Netz. Diese Taschenspielertricks beruhen z.T. auch auf der Tatsache, dass notwendige Cookies einwilligungsfrei bleiben und nicht geklärt ist, ob Webanalyse in engen Grenzen nicht als notwendig eingestuft werden kann. Insofern sich ein Verantwortlicher für das Einholen einer Einwilligung entscheidet, sollte er hierbei auf einer wirksame Umsetzung achten, da die Anforderungen der DSGVO hoch sind. Abschließend ist nochmals darauf hinzuweisen, dass obwohl die Pressemitteilung nur von Cookies spricht aufgrund des Wortlauts der Richtlinie, auch andere Technologien (z.B. Fingerprinting, Pixel, Tags oder auch Web-Beacons) von diesem Urteil tangiert sind.

Und auch wenn die Werbeindustrie nicht einfach so weitermachen kann wie zuvor (zumindest, wenn sie keine Konsequenzen befürchten möchten), stehen ihren Interessen nicht weniger als die Grundrechte der Betroffenen auf informationelle Selbstbestimmung gegenüber. Ein Schutzziel das es sich lohnt auch bei unbequemen Folgen zu vertreten, oder?


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber.