Der BGH stellt strenge Anforderungen für die Einwilligung in das Setzen von Cookies.
Nun hat sich auch der Bundesgerichtshof (BGH) positioniert. Nach der Entscheidung des EuGH vom 01. Oktober 2019 (Rs. C-673/17) und den Ausführungen der dänischen Datenschutzbehörde vom 11.02.2020 zu auch in Deutschland gängigen Cookie-Lösungen, mit denen einer intransparenten Erschleichung der Einwilligung eine Absage erteilt wird, ist mit der Entscheidung vom BGH vom 28.05.2020 (I ZR 7/16 – Cookie-Einwilligung II) nun endgültig klar, dass die Wünsche der Marketingabteilungen hinter den Datenschutz zurücktreten müssen und das Erschleichen von Einwilligungen unzulässig ist.
Zusammengefasst:
- Unzulässig sind Cookie Banner, die lediglich auf das Setzen von Cookies hinweisen und bei denen der User „OK“ klicken kann.
- Unzulässig sind Cookie Banner mit dem Hinweis: „Durch Weitersurfen auf unserer Website stimmen Sie Cookies und unseren Datenschutzregelungen zu“
- Unzulässig sind Cookie Banner, die zwar zwischen Cookie-Arten differenzieren, bei denen aber der User gesetzte Haken entfernen muss (opt-out), will er Cookies verhindern.
- Unzulässig sind Cookie Banner, die zwar die Änderung von Cookie-Einstellungen durch opt-in zulassen, aber durch optisch hervortretend gestaltete Banner (z.B. grün hinterlegt gegenüber grau für „Datenschutzeinstellungen“ oder „Details anzeigen“ etc) die Einwilligung in nicht transparenter Weise erschleichen.
Hintergrund
Webseitenbetreiber für Analyse-Tools, Tracking Cookies und zahlreiche andere Tools und PlugIns, die Cookies setzen, benötigen eine echte Einwilligung der Nutzer. Zu beachten ist dabei zunächst, dass das Cookiebanner bzw. Einwilligungs-Banner die Cookies auch wirklich blockieren muss, bis der Nutzer eingewilligt hat. Einwilligung i.S. von Art 7 DSGVO i.V.m. den Erwägungsgründen (EG 32, 33, 42, 43) bedeutet eine „eindeutige, bestätigende Handlung, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Im konkret entschiedenen Fall
wollte sich der Verantwortliche in Form von Hinweistexten das Recht einräumen lassen, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das Kästchen war bereits vorangekreuzt und erst mit einem zusätzlichen Klick konnten die Nutzer diese Zustimmung widerrufen. Bereits am 01. Oktober 2019 (Rs. C-673/17) hat der EuGH nach Vorlage durch den BGH entschieden, dass die auf diese Art eingeholte Einwilligung schon den Anforderungen der Datenschutzrichtlinie (Vorgängerin der DSGVO) nicht genügte. Die Entscheidung begründete der EuGH damit, dass in einem Unterlassen, die vorangekreuzte Einwilligung zu widerrufen (opt-out), keine aktive Willenserklärung gesehen werden könne. Bedingt durch das Urteil besteht Einigkeit darüber, dass einfache Cookie-Banner den Anforderungen des EuGHs nicht mehr gerecht werden (können). Gemeint sind dabei diejenigen Cookie-Banner, die voreingestellte Häkchen für jede Art von Tracking vorsehen oder reine Hinweis-Banner, die überhaupt keine Auswahlmöglichkeit anbieten.
Der BGH hat nun ebenfalls entschieden, dass „Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens … nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 [DSGVO] – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar“ ist. Demnach ist § 15 Abs. 3 Satz 1 TMG richtlinienkonform auszulegen und auslegbar. Der BGH vertritt die Auffassung, dass § 15 Abs. 3 Satz 1 TMG auch nach Inkrafttreten der DSGVO anwendbar ist.
Demgegenüber hat bislang die DSK, die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) die Meinung vertreten, dass die §§ 12, 13, 15 TMG (Grundsätze des Datenschutzes, Pflichten des Dienstanbieters, Nutzungsdaten) neben der DSGVO nicht mehr anwendbar seien.
Zu folgern ist,
dass das Urteil keinesfalls den Tracking-Tod für die Marketingbranche bedeutet. Zwar erschweren erhöhte Einwilligungserfordernisse die Arbeit von Websitebetreibern, die versuchen ihre Inhalte durch Werbung zu refinanzieren. Erfreulich für die Branche ist aber doch, dass das Urteil zur Rechtssicherheit beträgt. Denn einerseits ist nun klar, dass, wer zu Werbezwecken und zur Profilbildung umfangreich tracken möchte, eine Einwilligung durch ein informiertes opt-in benötigt. Anderseits müssen aber für unbedingt zur Erbringung des Dienstes erforderliche Cookies („essentielle Cookies“) keine Einwilligungen eingeholt werden. Essentiell sind nach Ansicht der europäischen Aufsichtsbehörden auf jeden Fall: User-Input-Cookies, Authentifizierungscookies, nutzerorientierte Sicherheitscookies, Multimedia-Player-Sitzungscookies, Lastverteilungs-Sitzungscookies und Cookies zur Anpassung der Benutzeroberfläche. Leider gibt es bisher keine abschließende, verbindliche Liste über unbedingt erforderliche Cookies.
Bereits das EuGH –Urteil hat die opt-in Lösung für nicht essentielle Cookies vorgegeben. Gleichwohl sind noch eine Vielzahl unterschiedlicher Cookie-Banner anzutreffen, die entweder klar gegen das Urteil verstoßen oder einen Gestaltungsspielraum in Anspruch nehmen, dessen Ausdehnung unbekannt ist.