Die „Planet49“-Entscheidung des Bundesgerichtshofs – warum die Frage nach den Cookies immer noch nicht geklärt ist

Mit dem heutigen Urteil des Bundesgerichtshofs ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH, einer Anbieterin von Online-Gewinnspielen, zu Ende. Der Prozess hatte insbesondere die Frage nach der rechtlichen Wirksamkeit der Einwilligung von Website-Besuchern in die Speicherung von Marketing-Cookies zum Gegenstand. Diese Frage wurde dadurch aufgeworfen, dass die Beklagte im Jahre 2013 ein Gewinnspiel auf ihrer Website veranstaltet hatte. Hierfür gelangte der Nutzer auf eine Seite mit einem Webformular, auf dem er Namen und Anschrift angeben musste, wobei sich unter den Eingabefeldern für die Anschrift zwei Einverständniserklärungen mit Ankreuzfeldern befanden. Das erste Ankreuzfeld war nicht mit einem voreingestellten Häkchen versehen. Das hier zu erteilende Einverständnis bezog sich auf Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS. Die Nutzer konnten die Sponsoren und Kooperationspartner selbst auswählen und ihr Einverständnis jederzeit widerrufen.

Das weitere Ankreuzfeld war bereits mit einem voreingestellten Häkchen versehen. Dieser voreingestellte Haken konnte zwar entfernt werden, eine Teilnahme am Gewinnspiel war allerdings nur möglich, wenn der Nutzer mindestens eines der beiden Felder mit einem Haken versah. Der Nutzer sollte im Rahmen dieser Erklärung dahin gehend einwilligen, dass ein mit einer Tracking-ID versehenes Cookie auf dem Endgerät gespeichert werden sollte:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier [Link zur Datenschutzerklärung].“

Der Nutzer wurde ferner darauf hingewiesen, dass mittels der gespeicherten ID jeder Besuch auf den Websites eines für Remintrex registrierten Werbepartners festgehalten würde und darüber hinaus erfasst würde, für welche Produkte sich der Nutzer interessiert und welche er kauft.

Während das Landgericht Frankfurt am Main die Beklagte zur Unterlassung beider Einverständniserklärungen verurteilte, erzielte der Kläger im Rahmen der Berufung lediglich mit dem Antrag bezüglich der Nutzung von Cookies bei voreingestellten Einwilligungserklärungen Erfolg. Nachdem das OLG Frankfurt die Revision zum Bundesgerichtshof zuließ, strengte der BGH ein Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof an, um insbesondere die Frage nach der Wirksamkeit von Einwilligungen in die Setzung von Cookies unionsrechtlich klären zu lassen. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Am 1. Oktober 2019 verkündete der EuGH das so genannte Planet49-Urteil und stellte fest, dass für eine wirksame Einwilligung eine aktive Handlung des Einwilligenden zu verlangen ist wofür vorausgewählte Checkboxen nicht ausreichen (siehe unseren Beitrag im Blog). Der EuGH begründete dies damit, dass eine voraktivierte Checkbox keine Aktivität des Nutzers darstelle. Vielmehr bestünde die Handlung des Nutzers bei voreingestellten Kästchen lediglich darin, die Voreinstellung abzuwählen.

Der BGH übernahm mit seinem heutigen Urteil diese Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Bislang ist lediglich die Pressemitteilung öffentlich, die ausführlichen Entscheidungsgründe werden erst in den nächsten Tagen veröffentlicht. Der wichtigste Satz in der Pressemitteilung lautet wie folgt:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Die ersten Reaktionen auf das Urteil und insbesondere auf diesen Kernsatz sind sehr unterschiedlich – und der Teufel liegt im Detail. Korrekt formuliert es aus unserer Sicht zum Beispiel der ARD-Rechtsexperte Frank Bräutigam:

Die Betonung liegt hier auf dem Wort Wenn. Denn die grundsätzliche Frage, Ob eine Einwilligung für das Setzen von Marketing-Cookies erforderlich ist, hatte der BGH (ebensowenig wie der EuGH im Vorabentscheidungsverfahren) nicht zu entscheiden. Anders ausgedrückt: Die eigentlich spannende, in der Onlinemarketing-Branche seit Jahren diskutierte Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – keine Silbe. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Marschroute, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. (Damit widerspricht das Urteil übrigens der im März 2019 veröffentlichten Auffassung der deutschen Datenschutzaufsichtsbehörden, die deutsche Vorschrift sei als europarechtswidrig anzusehen und daher überhaupt nicht mehr anwendbar.) Bereits in den letzten Wochen war zu beobachten, dass große Online-Medien wie Spiegel Online auf Einwilligungsmodelle umstiegen.

Dabei bringt die Einwilligung als Rechtsgrundlage für das Onlinemarketing einen Strauß neuer Probleme mit sich: Wie können Online-Publisher Einwilligungen wirksam einholen, auf die sich alle am Onlinemarketing beteiligten Unternehmen stützen können, ohne ihren Nutzern völlig überfrachtete Popups anzeigen zu müssen? Wie kann die nach der DSGVO jederzeitige Widerrufbarkeit der Einwilligung in dieser Kette praktisch umgesetzt werden? Was geschieht, wenn Nutzer die Einwilligung massenhaft verweigern und so das Geschäftsmodell werbefinanzierter Online-Angebote unterlaufen? Viele Branchenmitglieder setzen ihre Hoffnungen derzeit in das Transparency and Consent Framework 2.0 des Branchenverbands IAB, dass die Verarbeitung von Nutzerdaten auf der Grundlage von Einwilligungen standardisieren soll.

Eigentlich liegt das Problem aber ganz woanders: Denn der europäische Gesetzgeber hatte ursprünglich beabsichtigt, die Frage des Onlinemarketings in der geplanten ePrivacy-Verordnung – als Nachfolgerin der alten ePrivacy-Richtlinie und Schwestergesetz zur Datenschutzgrundverordnung – neu zu regeln. Weil jedoch im Europäischen Rat keine Einigkeit über die Frage erzielt werden konnte, wie der Schutz der Privatsphäre der betroffenen Nutzer mit dem bestehenden Geschäftsmodell werbefinanzierter Onlineangebote zu vereinbaren ist, liegt der Plan seit Jahren auf Eis. Vielleicht gibt das heutige Urteil des Bundesgerichtshof der deutschen Ratspräsidentschaft in der zweiten Jahreshälfte 2020 jetzt den entscheidenden Impuls. Zumindest auf nationaler Ebene hat die deutsche Bundesregierung bereits eine Anpassung des Telemediengesetzes angekündigt.

Einwilligung gegen Gewinnchance? Aktuelles zum Kopplungsverbot

Eine Frage, die im eCommerce häufiger auftaucht: Darf man die Anmeldung zu einem Werbe-Newsletter nach der Datenschutzgrundverordnung (DSGVO) zur Teilnahmevoraussetzung für ein ansonsten kostenloses Gewinnspiel machen?

Die Antwort findet sich in Artikel 7 Absatz 4 DSGVO, der das so genannte Kopplungsverbot EU-weit einheitlich regelt. Diese Vorschrift hat den folgenden Wortlaut:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“.

Der Anknüpfungspunkt für das Verbot der „Kopplung “ von Einwilligung (in unserem Beispiel die Anmeldung für den Newsletter) und Vertragsschluss (hier die Teilnahme am Gewinnspiel) ist also die „Freiwilligkeit“ der Einwilligung, die eine der gesetzlichen Voraussetzungen für die Wirksamkeit der Einwilligung ist. Freiwilligkeit ist dabei gleichzusetzen mit „ohne Zwang“.

Wann das Kopplungsverbot genau greift und wann nicht, ist nach wie vor rechtlich ungeklärt. Um ein wenig Licht in dieses Dunkel zu bringen, haben wir die aktuell verfügbare Rechtsprechung zum Kopplungsverbot aus drei EU-Mitgliedstaaten einmal zusammengestellt.

Österreich: Werbe-Einwilligung in kostenpflichtigem Vertrag unzulässig

Bezüglich eines möglichen Kopplungsverbots hatte der Oberste Gerichtshof in Österreich bereits 2018 unter Verweis auf Erwägungsgrund 43 der DSGVO entschieden (Az.  6Ob140/18h):

„Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

An die Beurteilung der „Freiwilligkeit“ der Einwilligung seien hohe Anforderungen zu stellen. Daher ist bei einer Kopplung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Im konkreten Fall entschied das Gericht, dass ein Pay-TV-Anbieter den Vertragsschluss nicht mit einer Einwilligung in den Erhalt von Werbung von Partnerunternehmen verknüpfen durfte. Hierbei ist jedoch zu beachten, dass es hier um einen kostenpflichtigen Vertrag ging, dessen Erfüllung in keinem Zusammenhang mit der Werbeeinwilligung stand.

Deutschland: Newsletter-Anmeldung darf Teilnahmevoraussetzung für Gewinnspiel sein

Das Oberlandesgericht (OLG) Frankfurt am Main hat in einer Entscheidung aus dem Juni 2019 (Az. 6 U 6/19) festgestellt, dass eine Einwilligung auch dann als freiwillig anzusehen ist, wenn die Einwilligungserklärung Voraussetzung für die Teilnahme an einem Gewinnspiel ist. Nach Ansicht des Gerichts kann und muss der Verbraucher selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.

Auch wenn sich das OLG Frankfurt in seiner Entscheidung nicht explizit auf das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO bezieht, so ergibt sich aus der Entscheidung, dass es eine Kopplung von Einwilligung an Dienstleistung dann für zulässig hält, wenn die Einwilligung sozusagen als „Gegenleistung“ für die Teilnahme an einem an sonsten kostenlosen Gewinnspiel gesehen werden kann.

Das bloße „Anlocken“ von Newsletter-Empfängern durch das Versprechen einer Vergünstigung, wie hier die Teilnahme an einem Gewinnspiel, reicht also nicht aus, um die Wirksamkeit der Einwilligung auszuschließen.

Die übrigen Voraussetzungen für eine wirksame Einwilligung gelten natürlich ebenso, insbesondere der so genannte „Double Opt-in“. Eine weitere Voraussetzung ist nach Art. 4 Nr. 11 DSGVO, dass die Einwilligung „für einen bestimmten Fall“ erteilt werden muss. Diese Bedingung ist nach einer Entscheidung des Bundesgerichtshofs aus dem Jahr 2012 nur dann erfüllt, wenn sich aus der Einwilligungserklärung ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden, also von wem genau der Betroffene auf welche Weise Werbung erhalten wird. Andernfalls ist die Einwilligung ebenfalls unwirksam.

Italien: Werbe-Einwilligung als zulässige Gegenleistung für ansonsten kostenlose Dienstleistung

Der italienische Kassationsgerichtshof hatte bereits 2018 über einen ähnlich gelagerten Fall zu entscheiden, in dem ein Newsletter zu Finanz- und Steuerthemen nur abonniert werden konnte, wenn der Empfänger in die Verarbeitung personenbezogener Daten zu Werbezwecken einwilligte (Az. 17278).

Nach der Entscheidung des Gerichts ist für die Beurteilung der Freiwilligkeit entscheidend, wie „unersetzlich“ oder „unverzichtbar“ der angebotene Dienst für die Betroffenen ist. Sind die Nutzer nicht auf den konkreten Dienst angewiesen, sondern können sie die angebotene Leistung auch auf anderem Weg erlangen, soll eine Kopplung von Einwilligung und Nutzung des Dienstes erlaubt sein. DIe Nutzer können in einem solchen Fall auf den Dienst verzichten, ohne ein „ernsthaftes Opfer“ erbringen zu müssen.

Ähnlich wie das OLG Frankfurt führt der Kassationsgerichtshof aus, dass dabei jedoch eine informierte Einwilligung erforderlich ist, damit diese als wirksam angesehen werden kann. So muss aus der Einwilligung hervorgehen, für welche Produkte oder Dienstleistungen der Betroffene Werbung erhalten wird.

Fazit

Das Kopplungsverbot ist im Marketing von großer Bedeutung. Seine Kontur muss wegen der komplexen Regelung in Art. 7 Abs. 4 DSGVO erst noch durch die Gerichte weiter ausgeformt werden.

Bereits jetzt ist jedoch zu sagen, dass es in erster Linie darauf ankommt, dass der Betroffene seine Einwilligung „freiwillig“ abgibt. Er muss sich also in einer Lage befinden, in der er eine Wahlmöglichkeit zwischen Preisgabe und Einbehaltung seiner personenbezogenen Daten hat. Das bedeutet insbesondere, dass bei der Entscheidungsfindgung keine „Drucksituation“ bestehen darf. Zumindest in Fällen von ansonsten kostenlosen Angeboten kann die freiwillige Einwilligung als „Gegenleistung“ angesehen werden.

Die ePrivacyVO durch die Hintertür: Tracking nur noch mit Einwilligung?

ePrivacy-Verordnung: weiterhin keine Einigung in Sicht

Auch am Ende des ersten Quartals 2019 ist auf europäischer Ebene keine Einigung bezüglich der ePrivacy-Verordnung in Sicht: Auf der Suche nach einem Kompromiss hat der Europäische Rat lediglich neue Diskussionspapiere vorgelegt. Mittlerweile ist von einem Inkrafttreten nicht vor 2020 und einer Umsetzungsfrist von weiteren zwei Jahren auszugehen. Somit wird sich die ursprünglich als „Schwestergesetz“ zur DSGVO geplante ePrivacy-Verordnung um mindestens dreieinhalb Jahre verzögern.

Damit bleibt die Frage weiterhin offen, ob die ePrivacy-Verordnung für Cookies und andere zu Werbezwecken genutzte Tracking-Mechanismen eine Einwilligung (also ein echtes Opt-in) der Nutzer erfordern wird.

Der letzte Beitrag widmete sich bereits der Frage, welche Position die deutschen Aufsichtsbehörden derweil auf der Grundlage des bestehenden Rechts (also der DSGVO und des deutschen Telemediengesetzes) in Fällen des Trackings zu Werbezwecken einnehmen. Jetzt verdichten sich die Zeichen für eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung durch die (deutschen) Aufsichtsbehörden mit den Mitteln der DSGVO.

Das Positionspapier der DSK

Die deutsche Datenschutzkonferenz (DSK), die sich aus den Datenschutzbehörden des Bundes und der Länder zusammensetzt, hat im April 2018 in einem Positionspapier verlauten lassen, dass nach ihrer Auffassung als Rechtsgrundlage für den Einsatz von Tracking-Mechanismen zu Werbezwecken kein berechtigtes Interesse des Werbetreibenden, sondern lediglich die Einwilligung (Opt-in) der Nutzer in Frage kommt.

Natürlich handelt es sich bei so einem Positionspapier lediglich um eine Behörden-„Meinung“. Von ihr gehen keine echten Rechtswirkungen wie etwa von einem Gerichtsurteil oder einem Gesetz aus. Trotzdem verdeutlicht sie den Standpunkt der Datenschutzbehörden in Bezug auf die Interpretation des bestehenden Rechts. Ein für Ende 2018 angekündigtes Folgepapier lässt jedoch weiterhin auf sich warten.

Das BayLDA kündigt jetzt „Konsequenzen“ an

Anfang Februar kündigte jetzt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) an, tatsächlich auf der Grundlage der DSGVO gegen Tracking zu Werbezwecken vorgehen zu wollen, sofern es ohne Einwilligung der Nutzer geschieht.

Anlässlich des „Safer Internet Day“ veröffentlichte das BayLDA das Ergebnis einer Untersuchung von 40 „bayerischen“ Websites auf ihre DSGVO-Konformität. Dabei ging das BayLDA ohne weitere Erläuterung von der Prämisse aus, dass die Verwendung von Tracking-Tools nicht nur eine Information in einer Datenschutzerklärung, sondern auch eine Einwilligung der Besucher erfordere:

BayLDA1

Abbildung 1: Nach Ansicht des BayLDA benötigt man für das Tracking zu Werbezwecken eine Einwilligung der User – und offenbar hält sich niemand an diese angebliche Regel (Quelle: BayLDA).

In einem weiteren Schritt verdeutlichte das BayLDA, dass die geforderte Einwilligung nicht in Form eines heute bereits vielfach verwendeten informatorischen „Cookie-Banners“ (nach ursprünglich britischem Vorbild), sondern in Form eines „Einwilligungs-Popups“ erfolgen muss, der eine echte Einwilligung im Sinne von Art. 7 DSGVO abfragt. (Ähnlich sehen das übrigens offenbar die Aufsichtsbehörden in Österreich und in den Niederlanden.)

BayLDA2

Abbildung 2: Nach Ansicht des BayLDA sind die bisher häufig verwendeten „Cookie-Banner“ für die angeblich erforderliche Einwilligung nicht ausreichend (Quelle: BayLDA).

Das BayLDA kündigte an, die Verhängung von Bußgeldern wegen Verletzung dieses angenommenen DSGVO-Verstoßes zu „prüfen“. Von der niedersächsischen Datenschutzbehörde ist Ähnliches zu hören; aus Hessen dagegen wird verlautbart, dass erst eine einheitliche Position gefunden werden müsse. Diesbezügliche Entscheidungen liegen bislang nicht vor.

Unsere Einschätzung

Wie bereits angedeutet ist diese unerwartet deutliche Position der bayerischen Aufsichtsbehörde nach wie vor verwunderlich, wo doch erstens die DSGVO in Erwägungsgrund 47 a.E. berechtigte Interessen als Rechtsgrundlage für das Online-Marketing ausdrücklich anerkennt und zweitens die Diskussion um eine Änderung dieses rechtlichen Zustands durch die ePrivacy-Verordnung wie dargestellt weiterhin andauert. Wir empfehlen daher, sich weiterhin auf die „herkömmliche“ Lösung mit einem einfachen Opt-out-Hinweis in der Datenschutzerklärung zu verlassen.

In Bezug auf die Position des BayLDA, das empört feststellt, dass 40 von 40 geprüften Websites die angeblichen Vorgaben der DSGVO zum Tracking nicht einhalten, sei der bekannte Witz vom Geisterfahrer auf der Autobahn erwähnt, der im Radio hört, wie vor ihm gewarnt wird und sich mit Blick auf die ihm entgegenkommenden Autos fragt: „Ein Geisterfahrer? Hunderte!“ Es bleibt insofern zu hoffen, dass sich das BayLDA an die eigene Stirn fasst und die eigene Position noch einmal überdenkt, bis für die ePrivacy-Verordnung eine Einigung gefunden ist.

Zur Verdeutlichung des aufgeworfenen Problems sei der aktuelle Stand der Diskussion noch einmal in einer Übersicht  zusammengefasst:

verwendete
Cookie-Lösung

Opt-out-Hinweis
in der Datenschutz-
erklärung

„Cookie-Banner“
(reiner Hinweis)

„Einwilligungs-
Popup“

User wird über das Tracking zu Werbe­zwecken informiert

User kann ein Opt-out erklären oder die Ein­willigung widerrufen

Cookie wird erst nach dem Einwilligungs-Klick gesetzt

X

X

User muss die Web­site auch ohne Einwilligungs-Klick verwenden können

*

aktuell
TMG-konform?

aktuell
DSGVO-konform?
unsere Ansicht:
Ansicht BayLDA: X
unsere Ansicht:
Ansicht BayLDA: X
unsere Ansicht:
Ansicht BayLDA:
zukünftig
ePrivacy-konform?

?

?

?

* Nach Ansicht der österreichischen Datenschutzbehörde sei es auch zulässig, für die Nutzung der Website ohne Tracking von den Usern eine Gebühr zu verlangen. Anderer Ansicht ist möglicherweise die niederländische Aufsichtsbehörde.

Neues von der ePrivacy-Verordnung

Während fünf Monate nach Inkrafttreten der Datenschutzgrundverordnung zumindest vorerst wieder etwas Ruhe in der Onlinemarketing-Branche einkehrt, dauern die Verhandlungen zur ePrivacy-Verordnung im Europäischen Rat an. Nach dem ursprünglichen Plan der Europäischen Kommission hätte die ePrivacy-VO als „Schwestergesetz“ der DSGVO bereits im Mai in Kraft treten sollen – nach Druck insbesondere der deutschen Branchenverbände waren die Regierungen aber erst einmal wieder in die Beratungen eingetreten. Währenddessen machte sich Ungewissheit breit, insbesondere zu der wichtigen Frage, ob für das Online-Tracking zukünftig tatsächlich eine (vorherige und freiwillige) Einwilligung der betroffenen Nutzer eingeholt werden muss.

Seit vergangenen Freitag liegt nun ein neuer Entwurf der österreichischen Ratspräsidentschaft für die ePrivacy-Verordnung vor – wir haben uns aus diesem Anlass die Frage gestellt: Was ist eigentlich der Stand der Verhandlungen?

  • Der aktuelle Zeitplan: Eine Entscheidung zum weiteren Vorgehen – also eine Verabschiedung der Verordnung noch 2018 oder eine Vertagung bis nach der Europawahl im Mai 2019 – fällt in der zuständigen Arbeitsgruppe des Rats schon in den nächsten Tagen. Wir gehen derzeit eher vom zweiten Szenario aus. Zu bemerken ist dabei auch, dass der aktuell vorliegende Entwurf der österreichischen Ratspräsidentschaft eine zweijährige Übergangsfrist vorsieht, was die deutsche Bundesregierung auch unterstützt.
  • Der Stand der Verhandlungen: Bei einem Teil der Verhandlungspunkte wurde im Europäischen Rat bereits Einigung erzielt, viele Punkte sind jedoch nach wie vor offen. Insbesondere stellt sich die Frage, bei wie vielen Themen noch gar keine echte Diskussion stattgefunden hat und wo sich hier noch unsicheres Terrain auftun könnte.
  • Der geplante Regelungsansatz: Die Grundregel der ePrivacy-Verordnung ist nach wie vor, dass die dort geregelten Verarbeitungstatbestände der Einwilligung des Betroffenen bedürfen (es gibt also nicht sechs Rechtsgrundlagen wie in Art. 6 Abs. 1 DSGVO) – die Musik spielt dann aber im gesetzlichen Ausnahmekatalog.
  • Standortdaten: Aus unserer Sicht relevant ist zunächst, dass das Thema „Standortdaten“ und deren Nutzung noch vollkommen offen ist. Die deutsche Bundesregierung setzt sich dafür ein, eine – wie auch immer geartete – „pseudonymisierte“ Nutzung zu erlauben.
  • Cookies und Tracking: Vollkommen offen ist auch noch das Thema „Cookies“ (mit diesem Sammelbegriff meinen wir an dieser Stelle auch alle anderen Identifikations- und Trackingmechanismen) in Artikel 8 des ursprünglichen Entwurfs der Europäischen Kommission. Die deutsche Bundesregierung fordert, dass das Kopplungsverbot im Kommissionsentwurf dahingehend abgeschwächt werden soll, dass also werbefinanzierte Dienste nicht ohne Einwilligung nutzbar sein müssen. Spannend ist insbesondere vor diesem Hintergrund, dass der am vergangenen Freitag veröffentlichte neue Diskussionsentwurf der österreichischen Ratspräsidentschaft dazu vorsieht, Tracking in werbefinanzierten Diensten unter die Definition der Ausnahme „zur Erbringung eines Dienstes erforderlich“ zu fassen. Das wäre ein großer Erfolg für die Onlinemarketing-Branche, da dann die ePrivacy-Verordnung das bestehende Tracking im Wesentlichen nicht tangieren würde.
  • Browser-Lösung: Vollkommen offen ist der Vorschlag zur so genannten Browser-Lösung, dem Nutzer die Entscheidung über Tracking zu Marketing-Zwecken über seine Browser-Einstellungen zu überlassen (Artikel 10 des Kommissionsentwurfs). Die Bundesregierung und auch die französische Regierung unterstützen diese Idee, sie ist aber nach wie vor umstritten.
  • Keine Ausnahmen für KMU: Nicht geplant sind Ausnahmen für kleine und mittelständische Unternehmen. Das heißt, dass das Gesetz für alle Unternehmen gleichermaßen gelten wird. Im Wesentlichen werden aber von den neuen Regeln ohnehin nur spezialisierte Dienstleister unmittelbar betroffen sein.
  • Die Position der Aufsichtsbehörden: Bis zum Inkrafttreten der ePrivacy-Verordung stellt sich die Frage, inwieweit die Aufsichtsbehörden auf der Grundlage der DSGVO gegen das Tracking zu Werbezwecken vorgehen wollen, sofern es ohne Einwilligung der Nutzer geschieht. Aus unserer Sicht wäre das eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung mit den Mitteln der DSGVO. Die deutschen Aufsichtsbehörden haben in einer gemeinsamen Positionsbestimmung Anfang des Jahres verlautbart, dass sie an ihrer Auffassung festhalten, dass das deutsche Telemediengesetz (genauer: § 15 Abs. 3) die ePrivacy-Richtlinie unvollständig (das heißt falsch) umsetzt. Für November ist offenbar eine Entscheidung über das weitere Vorgehen der Aufsichtsbehörden geplant. Dies hängt möglicherweise im Wesentlichen davon ab, wie der weitere Zeitplan zur ePrivacy-Verordnung aussieht. Völlig ignoriert wird dabei aus unserer Sicht nach wie vor die Existenz des Artikel 6 Abs. 1 lit. f DSGVO (Verarbeitung personenbezogener Daten auf der Grundlagen berechtigter Interessen) und des Erwägungsgrunds 47 a.E. („Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“).
  • Unser Fazit: Die derzeitigen Entwicklungen im europäischen Rat sind aus Sicht der Onlinemarketing-Branche äußerst positiv zu bewerten. Es wird also keine Rückkehr zum reinen contextual advertising geben, wie ursprünglich zu befürchten war. Zu diskutieren bleibt, ob werbefinanzierte Inhalte das Modell der Zukunft bleiben, oder ob der Trend nicht doch hin zu registrierungsbasierten Diensten geht.

Brand Safety als rechtliche Pflicht? Zur Störerhaftung werbender Unternehmen

Werbung auf Websites mit redaktionellem Inhalt zu schalten oder schalten zu lassen, ist mit gutem Grund einer der beliebtesten Wege, auf sich als Unternehmen aufmerksam zu machen. Man erreicht den potenziellen Kunden quasi beiläufig. Um die eigene Marke im Netz zu schützen, greifen viele Unternehmen zu so genannten Brand Safety-Maßnahmen, das heißt, dass Werbung nur in markenkonformen Umfeldern im Internet ausgespielt wird.

Doch was passiert, wenn – unter Umständen unbewusst  Werbung auf einer Internetseite geschaltet wird, die durch ihr Angebot rechtsverletzend handelt? Kann der Werbende dafür haftbar gemacht werden?

Das Landgericht Frankfurt am Main entschied in diesem Zusammenhang schon vor einigen Jahren über einen Fall, in dem ein Interessenverband gegen ein bekanntes Telekommunikationsunternehmen auf Unterlassung klagte. Dieses warb auf einer Filesharing-Website für seine DSL-Flatrates. Die Website, auf der geworben wurde, bot fast ausschließlich Raubkopien sowie jugendgefährdende Medien an.Auch nach ersten einer (kostenfreien) Abmahnung durch den Interessenverband hatte das Telekommunikationsunternehmen die Werbung nicht offline genommen.

Klar ist dabei: Wer Raubkopien oder für jedermann zugängliche jugendgefährdende Filme auf seiner Website anbietet, macht sich strafbar und begeht nach § 3a UWG selbst einen Wettbewerbsverstoß.

Doch das Landgericht urteilte, auch das nur auf der Website mit herkömmlichen Bannern werbende Unternehmen sei zumindest ab Kenntnis Störer des Wettbewerbsverstoßes, da es dem Websitebetreiber durch die Werbung zu „erheblichen Einnahmen verhelfe“ und damit schon als „mitursächlich für die Existenz des rechtswidrigen Angebots“ anzusehen sei. Er nutze den Wettbewerbsverstoß des Seitenbetreibers aus, indem es auf dessen Website Werbung schaltete.

Als Störer haftet nämlich auch derjenige auf Unterlassung, der – auch wenn er weder Täter noch Teilnehmer eines Wettbewerbsverstoßes ist – in irgendeiner Weise willentlich und kausal zur einer Rechtsverletzung beiträgt.

Für Werbetreibende heißt das Folgendes:

Zwar gilt die Störerhaftung, so wie sie das LG Frankfurt statuiert, erst ab Kenntnis. Jeder, der Online-Marketing betreibt, sollte vor dem Hintergrund dieser Rechtsprechung jedoch aktiv brand-safety-Maßnahmen vornehmen.

Vor allem aber empfiehlt es sich, als Werbetreibender Werbenetzwerke vertraglich in die Pflicht zu nehmen, keine Werbung auf Websites mit rechtsverletzenden Inhalten zu schalten, um sie im Fall eines Rechtsstreits mit einem Mitbewerber oder Verband in Regress nehmen zu können.