Die „Planet49“-Entscheidung des Bundesgerichtshofs – warum die Frage nach den Cookies immer noch nicht geklärt ist

Mit dem heutigen Urteil des Bundesgerichtshofs ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH, einer Anbieterin von Online-Gewinnspielen, zu Ende. Der Prozess hatte insbesondere die Frage nach der rechtlichen Wirksamkeit der Einwilligung von Website-Besuchern in die Speicherung von Marketing-Cookies zum Gegenstand. Diese Frage wurde dadurch aufgeworfen, dass die Beklagte im Jahre 2013 ein Gewinnspiel auf ihrer Website veranstaltet hatte. Hierfür gelangte der Nutzer auf eine Seite mit einem Webformular, auf dem er Namen und Anschrift angeben musste, wobei sich unter den Eingabefeldern für die Anschrift zwei Einverständniserklärungen mit Ankreuzfeldern befanden. Das erste Ankreuzfeld war nicht mit einem voreingestellten Häkchen versehen. Das hier zu erteilende Einverständnis bezog sich auf Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS. Die Nutzer konnten die Sponsoren und Kooperationspartner selbst auswählen und ihr Einverständnis jederzeit widerrufen.

Das weitere Ankreuzfeld war bereits mit einem voreingestellten Häkchen versehen. Dieser voreingestellte Haken konnte zwar entfernt werden, eine Teilnahme am Gewinnspiel war allerdings nur möglich, wenn der Nutzer mindestens eines der beiden Felder mit einem Haken versah. Der Nutzer sollte im Rahmen dieser Erklärung dahin gehend einwilligen, dass ein mit einer Tracking-ID versehenes Cookie auf dem Endgerät gespeichert werden sollte:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier [Link zur Datenschutzerklärung].“

Der Nutzer wurde ferner darauf hingewiesen, dass mittels der gespeicherten ID jeder Besuch auf den Websites eines für Remintrex registrierten Werbepartners festgehalten würde und darüber hinaus erfasst würde, für welche Produkte sich der Nutzer interessiert und welche er kauft.

Während das Landgericht Frankfurt am Main die Beklagte zur Unterlassung beider Einverständniserklärungen verurteilte, erzielte der Kläger im Rahmen der Berufung lediglich mit dem Antrag bezüglich der Nutzung von Cookies bei voreingestellten Einwilligungserklärungen Erfolg. Nachdem das OLG Frankfurt die Revision zum Bundesgerichtshof zuließ, strengte der BGH ein Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof an, um insbesondere die Frage nach der Wirksamkeit von Einwilligungen in die Setzung von Cookies unionsrechtlich klären zu lassen. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Am 1. Oktober 2019 verkündete der EuGH das so genannte Planet49-Urteil und stellte fest, dass für eine wirksame Einwilligung eine aktive Handlung des Einwilligenden zu verlangen ist wofür vorausgewählte Checkboxen nicht ausreichen (siehe unseren Beitrag im Blog). Der EuGH begründete dies damit, dass eine voraktivierte Checkbox keine Aktivität des Nutzers darstelle. Vielmehr bestünde die Handlung des Nutzers bei voreingestellten Kästchen lediglich darin, die Voreinstellung abzuwählen.

Der BGH übernahm mit seinem heutigen Urteil diese Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Bislang ist lediglich die Pressemitteilung öffentlich, die ausführlichen Entscheidungsgründe werden erst in den nächsten Tagen veröffentlicht. Der wichtigste Satz in der Pressemitteilung lautet wie folgt:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Die ersten Reaktionen auf das Urteil und insbesondere auf diesen Kernsatz sind sehr unterschiedlich – und der Teufel liegt im Detail. Korrekt formuliert es aus unserer Sicht zum Beispiel der ARD-Rechtsexperte Frank Bräutigam:

Die Betonung liegt hier auf dem Wort Wenn. Denn die grundsätzliche Frage, Ob eine Einwilligung für das Setzen von Marketing-Cookies erforderlich ist, hatte der BGH (ebensowenig wie der EuGH im Vorabentscheidungsverfahren) nicht zu entscheiden. Anders ausgedrückt: Die eigentlich spannende, in der Onlinemarketing-Branche seit Jahren diskutierte Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – keine Silbe. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Marschroute, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. (Damit widerspricht das Urteil übrigens der im März 2019 veröffentlichten Auffassung der deutschen Datenschutzaufsichtsbehörden, die deutsche Vorschrift sei als europarechtswidrig anzusehen und daher überhaupt nicht mehr anwendbar.) Bereits in den letzten Wochen war zu beobachten, dass große Online-Medien wie Spiegel Online auf Einwilligungsmodelle umstiegen.

Dabei bringt die Einwilligung als Rechtsgrundlage für das Onlinemarketing einen Strauß neuer Probleme mit sich: Wie können Online-Publisher Einwilligungen wirksam einholen, auf die sich alle am Onlinemarketing beteiligten Unternehmen stützen können, ohne ihren Nutzern völlig überfrachtete Popups anzeigen zu müssen? Wie kann die nach der DSGVO jederzeitige Widerrufbarkeit der Einwilligung in dieser Kette praktisch umgesetzt werden? Was geschieht, wenn Nutzer die Einwilligung massenhaft verweigern und so das Geschäftsmodell werbefinanzierter Online-Angebote unterlaufen? Viele Branchenmitglieder setzen ihre Hoffnungen derzeit in das Transparency and Consent Framework 2.0 des Branchenverbands IAB, dass die Verarbeitung von Nutzerdaten auf der Grundlage von Einwilligungen standardisieren soll.

Eigentlich liegt das Problem aber ganz woanders: Denn der europäische Gesetzgeber hatte ursprünglich beabsichtigt, die Frage des Onlinemarketings in der geplanten ePrivacy-Verordnung – als Nachfolgerin der alten ePrivacy-Richtlinie und Schwestergesetz zur Datenschutzgrundverordnung – neu zu regeln. Weil jedoch im Europäischen Rat keine Einigkeit über die Frage erzielt werden konnte, wie der Schutz der Privatsphäre der betroffenen Nutzer mit dem bestehenden Geschäftsmodell werbefinanzierter Onlineangebote zu vereinbaren ist, liegt der Plan seit Jahren auf Eis. Vielleicht gibt das heutige Urteil des Bundesgerichtshof der deutschen Ratspräsidentschaft in der zweiten Jahreshälfte 2020 jetzt den entscheidenden Impuls. Zumindest auf nationaler Ebene hat die deutsche Bundesregierung bereits eine Anpassung des Telemediengesetzes angekündigt.

Europäischer Datenschutzausschuss: Richtlinie zu den Anforderungen an die Einwilligung unter der DSGVO

Auch wenn der europäische Datenschutzausschuss (EDSA) die vielen geläufige Art. 29 Datenschutzgruppe bereits mit Einführung der Datenschutzgrundverordnung im Mai 2018 abgelöst hat, ist er bislang in der Öffentlichkeit noch nicht besonders in Erscheinung getreten. Das hat sich Anfang Mai geändert, denn die aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) bestehende Organisation hat am 4. Mai eine Richtlinie zum Umgang mit Einwilligungen nach der DSGVO veröffentlicht, mit der sie die Anforderungen an eine wirksame Einwilligung insbesondere im Zusammenhang mit dem Betrieb von Webseiten weiter konkretisiert.

In weiten Teilen entspricht die neue Richtlinie dabei dem früheren Arbeitspapier der Artikel-29-Datenschutzgruppe WP 259.01. Aufgrund aktueller Entwicklungen in der Onlinewelt sah sich der Ausschuss aber offensichtlich veranlasst, zwei Themen im Zusammenhang mit der Einwilligung genauer zu beleuchten: Zum einen die Zulässigkeit von so genannten „Cookie-Walls“, zum anderen die Frage, ob die bloße Weiternutzung einer Webseite zum Beispiel durch Scrollen eine Einwilligung darstellen kann.

1. „Cookie-Walls“

Neu sind die Ausführungen des EDSA zu so genannten „Cookie-Walls“ in den Rz. 38-41 der Richtlinie. In diesem Abschnitt geht es grundsätzlich um die Frage der Freiwilligkeit der Einwilligung und das Kopplungsverbot in Art. 7 Abs. 4 DSGVO.

Art. 7 Abs. 4 DSGVO sieht vor:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Der EDSA argumentiert zunächst, dass eine Einwilligung nicht freiwillig sein kann, wenn sie zur Voraussetzung für die Durchführung eines Vertrages oder die Erbringung einer Dienstleistung gemacht wird und die Daten nicht erforderlich für diesen Dienst sind. Anders sieht es hingegen aus, wenn der von der Datenverarbeitung Betroffene eine Auswahlmöglichkeit hat: Lässt der Verantwortliche ihn entscheiden, ob er (a) in eine Datenverarbeitung einwilligen möchte, die für die Erbringung des Dienstes nicht erforderlich ist, oder (b) er einen gleichwertigen Dienst ohne Einwilligung in die Datenverarbeitung nutzen kann, so ist von einer Freiwilligkeit auszugehen. Dies setzt jedoch voraus, dass die vom selben Verantwortlichen angebotenen Dienste wirklich gleichwertig sind.

Anders sieht es nach Ansicht des EDSA hingegen aus, wenn der Verantwortliche den Nutzer vor folgende Wahl stellt: (a) „Sie nutzen meinen Dienst und willigen in eine Datenverarbeitung ein, die für die Erbringung des Dienstes nicht erforderlich ist“, oder (b) „Sie nutzen einen vergleichbaren Dienst eines anderen Anbieters, der ohne Einwilligung in die Datenverarbeitung funktioniert“. Ein solches „Aussperren“ der Nutzer mit Verweis auf Fremdangebote stellt in den Augen des Ausschusses keine echte gleichwertige Wahlmöglichkeit für Nutzer da, weshalb die auf eine solche Auswahlmöglichkeit erteilte Einwilligung als unwirksam, weil nicht freiwillig, eingestuft wird.

Als Beispiel führt der EDSA folgenden Fall an (von uns frei übersetzt):

„Beispiel 6a: Ein Website-Anbieter setzt ein Skript ein, das die Sichtbarkeit von Inhalten blockiert, mit Ausnahme einer Aufforderung zur Annahme von Cookies und der Information, welche Cookies gesetzt werden und zu welchen Zwecken Daten verarbeitet werden. Es gibt keine Möglichkeit, auf den Inhalt zuzugreifen, ohne auf die Schaltfläche „Cookies akzeptieren“ zu klicken.

Da der betroffenen Person keine echte Wahlmöglichkeit geboten wird, wird ihre Zustimmung nicht frei gegeben. Dies stellt keine gültige Einwilligung dar, da die Bereitstellung des Dienstes davon abhängt, dass die betroffene Person auf die Schaltfläche „Cookies akzeptieren“. Es wird keine echte Wahlmöglichkeit angeboten.“

Für „Cookie-Walls“ bedeutet dies zukünftig:

  • Die Einwilligung des Nutzers ist nur freiwillig, wenn es eine Möglichkeit gibt, das Webangebot eines Webseitenbetreibers auch ohne Einwilligung in eine nicht für den Betrieb der Webseite erforderliche Datenverarbeitung (beispielsweise der Einsatz von Marketing-Cookies) zu nutzen.
  • Der Webseitenbetreiber darf dabei nicht auf ein Drittangebot als Alternative verweisen.
  • Erlaubt bleibt demnach ein „Abo-oder-Tracking-Modell“, wie es ursprünglich derstandard.at in Österreich entwickelte und das nun auch auf deutschen Nachrichtenwebseiten anzutreffen ist, unter anderem bei spiegel.de oder zeit.de. Hier wird dem Nutzer vom selben Anbieter eine echte Wahlmöglichkeit gegeben, das Webseitenangebot entweder mit der (nicht erforderlichen) Datenverarbeitung zu nutzen, oder aber ein Abo abzuschließen und die (nicht erforderlichen) Datenverarbeitung zu vermeiden. Wichtig ist in diesem Zusammenhang jedoch, dass die angebotenen Dienste gleichwertig sein müssen. Wann von einer Gleichwertigkeit ausgegangen werden kann, wird vom EDSA leider nicht erwähnt. Aus unserer Sicht ist dieser Punkt alles andere als unproblematisch, insbesondere im Zusammenhang mit Presse-Webseiten: Wie der Fall derstandard.at zeigt, in dem sich ein Nutzer über das Abo-Modell bei der zuständigen Datenschutzbehörde beschwert hatte, werden die Aufsichtsbehörden die Gleichwertigkeit der Dienste im Wesentlichen danach bewerten, wie hoch der Preis für das Abo-Modell ist. So entschied auch die österreichische Datenschutzbehörde im Fall derstandard.at (den Beschluss gibt es hier zum Nachlesen): „Das O**-Abo ist mit einem Preis von 6 Euro monatlich ab dem zweiten Monat auch keine unverhältnismäßig teure Alternative.“ Dass sich nun Datenschutzaufsichtsbehörden dazu aufschwingen, ohne explizite gesetzliche Grundlage über die Preiskalkulation von Presseorganen zu entscheiden, muss rechtlich – insbesondere vor dem Hintergrund, dass die Pressefreiheit nach dem Grundgesetz auch eine „Pressefinanzierungsfreiheit“ beinhaltet – als zweifelhaft bewertet werden.

2. Weiterscrollen ist keine Einwilligung

Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung unmissverständlich zum Ausdruck gebracht werden. Es bedarf also einer ausdrücklichen Erklärung oder einer anderen, eindeutig bestätigenden Handlung. In diesem Zusammenhang stellt sich die Frage, ob nicht auch dann von einer eindeutig bestätigenden Handlung ausgegangen werden kann, wenn der Webseitenbetreiber den Nutzer darauf hinweist Durch weiterscrollen/weitersurfen willigen Sie in die Datenverarbeitung ein“ und der Nutzer anschließend genau solche Handlungen vornimmt.

Diesem Ansatz schiebt der EDSA einen deutlichen Riegel vor (Beispiel 16 der Richtlinie):

„Aktionen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten genügen unter keinen Umständen dem Erfordernis einer eindeutigen und bestätigenden Handlung“ (Rz. 86 der Richtlinie)

Als Begründung führt der Ausschuss an, dass solche Aktionen sich nur schwer von anderen Aktivitäten oder Interaktionen eines Benutzers unterscheiden ließen. Auch könne nicht davon ausgegangen werden, dass Nutzer den Hinweis auf die Einwilligung durch Weiterscrollen wirklich vor der Interaktion zur Kenntnis nehmen würden, weil die Vielzahl von Cookie- und Consent-Bannern mittlerweile dazu führe, dass eine gewisse Müdigkeit der Nutzer entstehe und Hinweise nicht mehr wirklich gelesen würden. Darüber hinaus sei es in einem solchen Fall für den Nutzer kaum möglich, die Einwilligung auf eine Art und Weise zu widerrufen, die so einfach ist wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO).

Dass das bloße Weitersurfen keine aktive Einwilligung mehr darstellt, hatten wir bereits in unserer Besprechung des EuGH-Planet-49-Urteils hier im Blog dargestellt (Link). Insofern ist diese Klarstellung des europäischen Datenschutzausschusses für Eingeweihte nichts Neues – insbesondere in Italien und Spanien wurde diese Rechtsauffassung aber noch vertreten.

Trotzdem können Verantwortliche in anderen Zusammenhängen weiterhin auf einen Consent-Flow setzen, bei dem auch physische Bewegungen als eindeutige bestätigende Handlungen akzeptiert werden. Die für die Verarbeitung Verantwortlichen müssen dafür Mehrdeutigkeiten vermeiden und sicherstellen, dass die Handlung, durch die die Einwilligung erteilt wird, von anderen Handlungen klar unterschieden werden kann.

Als Beispiel nennt der EDSA (frei übersetzt):

„Beispiel 15: Streichen eines Balkens auf einem Bildschirm, Winken vor einer smarten Kamera oder Drehen eines Smartphones etwa im Uhrzeigersinn oder in einem Achter-Bewegung können Optionen sein, um eine Einwilligung wirksam zu erteilen, solange vorab eindeutige Informationen zur Verfügung gestellt werden, dass mit dieser Bewegung die Zustimmung zu einer bestimmten Anfrage erteilt wird (zum Beispiel „wenn Sie diesen Balken nach links streichen, erklären Sie sich mit der Verwendung von Information X für den Zweck Y einverstanden. Wiederholen Sie die Bewegung zur Bestätigung.“).“

Praktische Folgen kurz zusammengefasst:

  • Sofern Sie bislang auf das Einholen einer Einwilligung durch bloßes Weitersurfen des Nutzers gesetzt haben, sollten Sie dies spätestens jetzt dringend umstellen. Entsprechende Texte sind aus Consent-Bannern zu löschen.
  • Abseits von Webseiten können physische Bewegungen auch weiterhin zur Einholung einer Einwilligung (bspw. in Apps durch Swipen eines Balkens) eingesetzt werden, sofern sich die Bewegung klar von üblichen Bewegungen bei der Nutzung des Dienstes unterscheidet und der Nutzer vorab informiert wird.

Insgesamt ist abschließend darauf hinzuweisen, dass es sich bei den Vorgaben in den Richtlinie des EDSA nicht um verbindliche rechtliche Vorgaben handelt, sondern nur um die bloße Auffassung der nationalen europäischen Aufsichtsbehörden. Insofern haben die Ausführungen keinen bindenden Charakter und deuten nur an, in welche Richtung sich die Aufsichtsbehörden in ihrer Aufsichtspraxis wohl entwickeln werden. Letztlich werden die Gerichte entscheiden.