Der Bundesgerichtshof (BGH) hat das lang erwartete Urteil in der Rechtssache Planet 49 gesprochen. Nicht nur die Datenschutzwelt hat kurz den Atem angehalten, sondern auch das digitale Marketing blickte mit Spannung nach Karlsruhe. Denn ob und vor allem wie Cookies zukünftig eingesetzt werden können, stand auf dem Prüfstand.
Der Inhalt im Überblick
Was bisher geschah…
Wie wir bereits berichteten legte der BGH dem EuGH Fragen aus dem Verfahren der Verbraucherzentrale Bundesverband (vzbv) gegen den Adresshändler und Gewinnspielbetreiber Planet 49 im Rahmen eines Vorabentscheidungsverfahrens vor. Im Fokus stand die Wirksamkeit einer Einwilligung in die Speicherung von Informationen auf dem Endgerät, welche durch ein voreingestelltes Ankreuzkästchen abgegeben wurde (Besteht eine opt-in Pflicht?).
Planet 49 wollte sich in Form von Hinweistexten das Recht einräumen lassen, Cookies im Browser des Nutzers zu setzen, damit Dienstleister „interessengerichtete Werbung“ ausspielen könnten. Das Kästchen war bereits vorangekreuzt und erst mit einem zusätzlichen Klick konnten die Nutzer diese Zustimmung widerrufen.
Der EuGH entschied am 1. Oktober 2019 (Rs. C-673/17), dass u.a. die durch Planet 49 eingeholte Einwilligung schon den Anforderungen der Datenschutzrichtlinie nicht genügte.
Seine Entscheidung begründete der EuGH damit, dass in einem Unterlassen, die vorangekreuzte Einwilligung zu widerrufen (opt-out), keine aktive Willenserklärung gesehen werden könne. Das viel zitierte „Cookie-Urteil“ sollte daher eher Einwilligungs-Urteil heißen, da der EuGH klarmachte, unter welchen Umständen die Anforderungen an die Einwilligung nicht erfüllt sind. Zudem arbeitete der EuGH heraus, dass von dieser opt-in Pflicht nicht nur personenbezogene Daten im Endgerät des Nutzers betroffen sind.
Alles für die Einwilligung
Seither ist man sich überwiegend einig, dass einfache Cookie-Banner den Anforderungen des EuGHs nicht mehr gerecht werden (können). Gemeint sind dabei diejenigen Cookie-Banner, die voreingestellte Häkchen für jede Art von Tracking vorsehen oder reine Hinweis-Banner, die überhaupt keine Auswahlmöglichkeit anbieten. Seitdem „verschönern“, insbesondere auf Smartphones besonders lesefreundlich, größere und natürlich bessere Banner die Websites. Getreu nach dem Motto: alles für die (datenschutzkonforme) Einwilligung.
Was sagt nun der BGH?
Ließ der BGH jetzt die Cookie-Bombe fallen oder handelt es sich hier eher um ein zu erwartendes „Bömbchen“? Viel Neues bringt das heutige Urteil aus Karlsruhe nicht. Zwar liegt bisher nur die Pressemitteilung vor und die vollständige Urteilsbegründung wird wohl noch etwas auf sich warten lassen, aber wir wissen bereits Folgendes:
„Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 [DSGVO] – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.“
„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“
Eine nationale Norm richtlinienkonform auszulegen heißt, dass bei mehreren möglichen Deutungsmöglichkeiten eines Gesetzestextes diejenige gewählt wird, die dem dahinter stehenden europäischen Recht – in diesem Fall der Art. 5 Abs. 3 der RL 2002/58/EG – zur vollen Wirksamkeit verhilft. Zur Erinnerung dieser fordert von den EU-Mitgliedsstaaten sicherzustellen, dass der Nutzer für das Speichern von und Zugreifen auf Informationen in seinem Endgerät (es geht also nicht nur um Cookies) aufgrund von klaren und umfassenden Informationen seine Einwilligung erteilt hat. Dies ist ausnahmsweise entbehrlich, wenn das Speichern und Zugreifen unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Durch den „Trick“ der richtlinienkonformen Auslegung sind die Vorgaben der europäischen Richtlinie und das eingangs beschriebene EuGH-Urteil nun auch in Deutschland wirksam, ohne das der Gesetzgeber tätig werden muss. Unter Juristen herrschte seit langem Streit darüber, ob dies möglich ist oder der § 15 Abs. 3 Satz 1 TMG nicht vielmehr als europarechtswidrig einzustufen ist, weil er scheinbar dem Art. 5 Abs. 3 der RL 2002/58/EG widerspricht. So heißt es auch weiter in der Pressemitteilung:
„Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.“
Demnach ist § 15 Abs. 3 Satz 1 TMG richtlinienkonform auszulegen und auslegbar. Der BGH positioniert sich hier mit einer Auffassung, die man nur noch als pragmatisch bezeichnen kann. Zu unterstellen, dass der deutsche Gesetzgeber davon ausgegangen ist, § 15 TMG sei richtlinienkonform, wenngleich der Wortlaut der Norm im Vergleich zur Richtlinie kaum in Einklang gebracht werden kann, ist schon sportlich.
„An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.“
Auch wenn das Verfahren gegen Planet 49 bereits 2014 begonnen hat und sich die Rechtslage auch durch die Anwendung der DSGVO seit Mai 2018 verändert hat, seien die rechtlichen Konsequenzen laut BGH unverändert. Diese fast nebenbei gemachte Feststellung könnte zumindest in diesem Bereich zur Rechtssicherheit beitragen.
Bereits nach dem Urteil des EuGHs proklamierte vor allem die Marketingbranche den Cookie-Tod. Aber scheinbar ist das Cookie resilienter als erwartet und das Online-Marketing ist bisher auch nicht untergegangen. Selbstverständlich erschweren erhöhte Einwilligungserfordernisse die Arbeit von Websitebetreibern, die versuchen ihre Inhalte durch Werbung zu refinanzieren. Erfreulich für die Branche ist, dass das Urteil zur Rechtssicherheit beträgt. Denn einerseits ist klar, wer zu Werbezwecken und zur Profilbildung umfangreich tracken möchte, benötigt nunmehr eine Einwilligung durch opt-in. Anderseits müssen für unbedingt zur Erbringung des Dienstes erforderliche Cookies keine Einwilligung eingeholt werden. Dies sind nach Ansicht der europäischen Aufsichtsbehörden auf jeden Fall: User-Input-Cookies, Authentifizierungscookies, nutzerorientierte Sicherheitscookies, Multimedia-Player-Sitzungscookies, Lastverteilungs-Sitzungscookies und Cookies zur Anpassung der Benutzeroberfläche. Aber bisher gibt es keine abschließende, verbindliche Liste über unbedingt erforderliche Cookies.
Das sich in diesem Bereich auch noch viel Gestaltungsspielraum finden lässt, zeigen die unterschiedlichen Ausformungen von Cookie-Bannern im Netz. Diese Taschenspielertricks beruhen z.T. auch auf der Tatsache, dass notwendige Cookies einwilligungsfrei bleiben und nicht geklärt ist, ob Webanalyse in engen Grenzen nicht als notwendig eingestuft werden kann. Insofern sich ein Verantwortlicher für das Einholen einer Einwilligung entscheidet, sollte er hierbei auf einer wirksame Umsetzung achten, da die Anforderungen der DSGVO hoch sind. Abschließend ist nochmals darauf hinzuweisen, dass obwohl die Pressemitteilung nur von Cookies spricht aufgrund des Wortlauts der Richtlinie, auch andere Technologien (z.B. Fingerprinting, Pixel, Tags oder auch Web-Beacons) von diesem Urteil tangiert sind.
Und auch wenn die Werbeindustrie nicht einfach so weitermachen kann wie zuvor (zumindest, wenn sie keine Konsequenzen befürchten möchten), stehen ihren Interessen nicht weniger als die Grundrechte der Betroffenen auf informationelle Selbstbestimmung gegenüber. Ein Schutzziel das es sich lohnt auch bei unbequemen Folgen zu vertreten, oder?
Junge, junge, junge… Was für ein Bürokratie-Wahnsinn wegen ein paar Keksen! Es kann nur zwei Möglichkeiten geben: Entweder das Opt-Out wird wieder akzeptiert und als gültig anerkannt oder das Web wird dermaßen unattraktiv, wie wir es uns bisher nicht vorstellen können. Und mal ehrlich, was machen die Kekse, außer dass die meisten lecker sind? Sie bieten in den meisten Fällen einen Mehrwert und zur Not kann man Browser seitig alles abstellen, was man nicht möchte, das mache ich seit Jahren so. Wenn eine Website damit nicht klar kommt, bin ich nicht die Zielgruppe, so einfach ist das. Und alle anderen Cookies, die für gezielte Werbung verwendet werden? Was ist an denen so schlimm? Mich würde da echt mal interessieren, wer von den Leuten, die sich darüber beschweren Suchmaschinen verwenden…
Unglaublich, was Deutschland wieder aus so einer harmlosen Sache macht, nur weil der Spießbürger meint dadurch Privatsphäre zu behalten. Wird Zeit aufzuwachen, würde ich sagen.
Beim Installieren von Adobe Photoshop Elements wird man gezwungen (es gibt überhaupt keine Option „ablehnen“), zunächst der Freigabe aller möglichen persönlichen Daten einschließlich der Personenerkennung auf Fotos zuzustimmen (zum selben Zweck wie in Mainland China?). Dann darf man suchen, wo man diese Zustimmung wieder rückgängig machen kann. Ich bin nicht sicher, dass ich alle Punkte gefunden habe. Zum Punkt Suchmaschinen nur eine Bemerkung: es gibt auch andere Maschinen als Google Bing etc., die keine persönlichen Daten speichern oder gar weitergeben.
„Unglaublich, was Deutschland wieder aus so einer harmlosen Sache macht, nur weil der Spießbürger meint dadurch Privatsphäre zu behalten. Wird Zeit aufzuwachen, würde ich sagen.“
Aufwachen ist das richtige Stichwort. Denn offenbar ist Ihnen nicht klar, welche Gefahren sich aus der Totalüberwachung und ungebremsten Persönlichkeitsprofilbilung im Netz ergeben. Als Lektüre zur Sachlage empfehle ich die Studie der Uni Wien „Networks of Control“ von Christie Wolfie.
Ihr verharmlosender Kommentar in Unkenntnis der Sachlage ist vergleichbar mit der Aussage, dass Covid-19 nur eine harmlose Grippe verursacht. Ein paar Verblendete sollen das ja auch glauben.
Ich freue mich jedenfalls sehr über das Urteil, da jedermann in Zukunft hoffentlich erlaubt, sein Recht auf informationelle Selbstbestimmung auszuüben und man nicht mehr bei jeder Website den Offenbarungseid leisten muss. Bleibt nur die Frage ob und wann die Behörden aus dem Quark kommen, um dem bunten Treiben endlich ein Ende zu bereiten.
Und übrigens: ich habe vor 20 Jahren etracker.com als Datenschutz-konformes Tracking System gegründet und weiss daher genau wie die Tracking Brache tickt. Das macht mir heute große Angst – auch wenn etracker zu den Guten zählt. Daher setze ich mich heute mit verschieden Initiativen nur noch für den Datenschutz im Internet ein. Denn hier ist nicht weniger als unsere Demokratie in Gefahr. Und wer das nicht wahr haben will, geht einfach ohne Maske dicht gedrängt zur nächsten Corona-Party. Ist doch alles harmlos und von „Spießbürgern“ erfunden, genau wie dieser alberne Privatsphäreschutz. Klar ;-)