BGH: Cookies nur mit aktiver Einwilligung

Listen to this article

Gerade erst hat eine Umfrage ergeben, dass sich zwei Drittel aller Internetnutzer von Cookie-Bannern gestört fühlen und sie ohne jedes weitere Lesen einfach wegklicken. Die Verwendung solcher Banner bleibt aber verpflichtend. Der BGH hat heute entschieden, dass Cookies nur mit einer Einwilligung gesetzt werden dürfen.

Der BGH (Urt. v. 28.5.2020, I ZR 7/16) hat entschieden, dass Cookies nur gesetzt werden dürfen, wenn der Nutzer seine ausdrückliche Einwilligung erteilt. Das bedeutet, dass er z.B. ein Kästchen aktiv ankreuzen muss. Bereits vorangekreuzte Kästchen erfüllen das Erfordernis der Einwilligung nicht.

Keine Vorangekreuzten Checkboxen

Der Rechtsstreit, um den es beim BGH ging, hat seinen Ursprung noch vor Inkrafttreten der DSGVO, sodass der BGH zunächst die alte Rechtslage untersuchen musste. Aber bereits damals galt dieser Grundsatz.

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Und daran hat sich, wie der BGH ebenfalls feststellte, mit dem Stichtag 25. Mai 2018, an dem die DSGVO in Kraft trat, nichts geändert. Denn: Die DSGVO ändert an der Cookie-Richtlinie nicht, vielmehr steht in der DSGVO explizit, dass die Cookie-Richtlinie weiterhin gilt:

An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679 [DSGVO], nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.

Richtlinienkonforme Auslegung

Das Problem – aus deutscher Sicht – ist, dass § 15 Abs. 3 TMG, der die Zulässigkeit des Anlegens von Nutzerprofilen, wie sie mit Hilfe von Cookies erstellt werden, regelt, gerade keine Einwilligung vorsieht.

Das deutsche Recht sieht vielmehr eine generelle Zulässigkeit vor, sofern der Nutzer nicht widerspricht:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.

Der BGH hat nun aber entschieden, dass diese deutsche Vorschrift richtlinienkonform dahingehend auszulegen ist, dass die Zulässigkeit nur gegeben ist, wenn der Nutzer seine Einwilligung erklärt. In der Pressemitteilung heißt es hierzu:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.

Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Bedeutung für die Praxis

Die Entscheidung war so zu erwarten, da der EuGH im Rahmen eines Vorabentscheidungsersuchens in diesem Prozess sehr deutliche Vorgaben gemacht hat. Spannend war lediglich die Frage, wie der BGH die deutsche Vorschrift richtlinienkonform auslegt – spannend aber eher für die Rechtswissenschaft, nicht für den Anwender. Damit bleiben uns allen Cookie-Banner weiterhin nicht erspart und Unternehmen sollten ihre Webseiten entsprechend programmieren.

Gestaltung von Cookie-Bannern

Bei der Gestaltung von Cookie-Bannern sind nach Auffassung der Datenschutzbehörden folgende Grundsätze zu beachten:

  • Während das Cookie-Banner angezeigt wird, werden zunächst alle Technologien einer Website, die Nutzerdaten erfassen, blockiert. Insbesondere Cookies darf die Website zu diesem Zeitpunkt noch nicht setzen.
  • Erst wenn der Kunde seine Einwilligung erteilt, dürfen die Cookies entsprechend der erteilten Einwilligung gesetzt werden.
  • Für jeden Verarbeitungszweck bzw. Cookie muss eine separate Einwilligung eingeholt werden.
  • Eine direkte Identifizierung der Nutzer zur Erfüllung von Nachweispflichten ist nicht erforderlich – es genügt eine indirekte Identifizierung. Diese kann z.B. dadurch erreicht werden, dass ein Cookie auf dem Endgerät des Nutzers gespeichert wird, aus dem ersichtlich ist, dass der Nutzer bereits seine Einwilligung erteilt hat. Eine User-ID darf dabei nicht verwendet werden.
  • Ob der Nutzer mit einem „OK“ zu mehreren Datenverarbeitungsvorgängen eine wirksame Einwilligung erteilt, ist noch nicht geklärt
  • Das bloße Verbleiben auf der Website und Weitersurfen keine Zustimmung darstellt.
  • Cookie-Banner dürfen Links auf das Impressum und die Datenschutzerklärung nicht überdecken (auch nicht in der mobilen Ansicht!)