Druckversion
Freitag, 9.05.2025, 13:08 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/bgh-cookies-eugh-einwilligung-telemediengesetz-datenschutz-werbung
Fenster schließen
Artikel drucken
41754

BGH zum Datenschutz: Cookie-Ein­wil­li­gung muss aktiv ange­kreuzt werden

Jens Nebel, LL.M.

28.05.2020

Cookies auf einer Tastatur

(c) stock.adobe.com - Rutmer

Wer Cookies setzen will, braucht die aktive Zustimmung des Nutzers. Vorausgefüllte Kästchen genügen nicht, entschied der BGH am Donnerstag und gab der vzbv Recht. Die Folgen des Urteils erläutert Jens Nebel. 

Anzeige

Erwartungsgemäß hat der Bundesgerichtshof (BGH) in einer am Donnerstag verkündeten Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur "weggeklickt" werden können (Urt.v.28.05.2020, Az. I ZR 7/16) Nutzer müssen ihre Einwilligung vielmehr durch aktives Ankreuzen entsprechender Felder erklären. Sonst ist das vorformulierte Einverständnis zum Setzen von Cookies unwirksam, so der BGH. 

Das Urteil markiert den Abschluss eines bereits 2014 begonnen Rechtsstreits zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Planet 49. Zwar drehte sich das Verfahren auch um die Frage, ob eine von Planet 49 vorformulierte Werbeeinwilligung rechtmäßig war. Nach Ansicht des BGH war sie dies nicht, unter anderem weil die Einwilligung auf eine aus Sicht des BGH unüberschaubare Liste von Partnerunternehmen verwies. Bedeutung über den konkreten Fall hinaus hat die Entscheidung aber insbesondere deshalb, weil der BGH eine Cookie-Einwilligung zu prüfen hatte. Solche Einwilligungen finden sich in ähnlicher Form auf vielen Webseiten. 

Cookies sind individuell vergebene Kennungen, die primär der Wiedererkennung eines Endgerätes dienen. Cookies ermöglichen beispielsweise, dass sich ein Nutzer in einem Online-Shop nicht auf jeder Artikelseite immer wieder neu einloggen muss. Neben solchen, für das Funktionieren von Webseiten essentiellen Cookies werden die kleinen Textdateien jedoch mitunter auf dem Endgerät des Nutzers platziert, um ihn für Werbetreibende zu identifizieren. Große Tracking-Anbieter wie Google Analytics nutzen Cookies, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise ein Werbeprofil jedes Nutzers zu erstellen. 

EU-Richtlinie oder Telemediengesetz? 

Die vzbv vertrat die Meinung, dies sei nur mit aktiver Einwilligung des Nutzers zulässig. Sie berief sich dabei auf die sogenannte "Cookie-Richtlinie" der EU aus dem Jahr 2009. Diese Rahmenvorgabe hätte vom deutschen Gesetzgeber bis Mitte 2011 in nationales Recht umgesetzt werden müssen. Laut Cookie-Richtlinie ist die Speicherung von Informationen auf dem Endgerät eines Nutzers nur gestattet, wenn dieser seine Einwilligung gegeben hat (sogenanntes "opt-in"). Eine Ausnahme gilt nur für essentielle Cookies, ohne die die Webseite nicht funktioniert (etwa zum "Merken" eines Warenkorbs). 

Planet 49 hielt mit dem deutschen Telemediengesetz (TMG) von 2007 dagegen. Der Wortlaut dieses Gesetzes ließ sich nämlich durchaus so verstehen, dass das Setzen von Cookies zwecks Profilbildung zulässig ist, solange der Betroffene nicht widersprochen hat (sogenanntes "opt-out"). Damit stand das TMG zwar in offensichtlichem Widerspruch zu den europäischen Vorgaben. Gleichwohl unternahmen seither weder die schwarz-gelbe Regierung noch die Große Koalition irgendwelche Anstrengungen, die fehlerhafte Umsetzung zu korrigieren. Kritikern wurde lapidar beschieden, die Regelung des TMG würde angeblich den Anforderungen der Cookie-Richtlinie genügen. Folglich beriefen sich viele Webseitenbetreiber auf den Wortlaut des TMG und informierten lediglich über die Widerspruchsmöglichkeit auf ihrer Datenschutzinformationsseite. 

EuGH: Deutsches Recht verstößt gegen EU-Recht  

Der BGH hatte bei seiner ersten Befassung mit dem Rechtsstreit im Jahre 2017 Zweifel daran, ob das deutsche Recht europarechtskonform ist, und legte die Frage dem Europäischen Gerichtshof zur Vorabentscheidung vor. Der EuGH ist für die verbindliche Auslegung des Europarechts zuständig. Er entschied daraufhin im Oktober 2019, dass die Cookie-Richtlinie in Deutschland nicht korrekt umgesetzt ist (Urt.v.01.10.2019, Az. C-673/17). Die Cookie-Richtlinie verlange eine aktive Einwilligung des Betroffenen. Ein opt-out-Modell wie im TMG formuliert sei demnach nicht ausreichend. 

Auch eine Einwilligung mittels vorangekreuzter Kästchen reiche nicht aus, so die Luxemburger Richter. Damit stellt sich der EuGH zugleich gegen eine ältere, noch vor Geltung der Datenschutz-Grundverordnung ergangene Rechtsprechung in Deutschland, derzufolge auch solche Gestaltungen wirksame Einwilligungen darstellen konnten (BGH, Urt. v. 16.07.2008, Az. VIII ZR 348/06 – Payback). 

Ball zurück nach Karlsruhe gespielt 

Die Karlsruher Richter hatten nun den Ball des EuGH wieder aufzunehmen. Erwartungsgemäß kam der BGH zum Ergebnis, dass das TMG in Bezug auf das Einwilligungserfordernis europarechtskonform ausgelegt werden muss. Auch wenn sich dies aus dem Wortlaut des Gesetzes nicht ergibt, gilt somit ab sofort ein "echtes" Einwilligungserfordernis im Sinne eines opt-in. Einwilligungskästchen müssen also vom Nutzer aktiv angekreuzt werden, die bloße Bestätigung vorangekreuzter Felder genügt nicht. 

Das hört sich zwar nachvollziehbar an, stellt Webseitenanbieter allerdings in der Umsetzung vor praktische Probleme. Zwar sind Cookie-Schaltflächen als solche auf Webseiten mittlerweile üblich. Bei der Ausgestaltung hapert es vielfach jedoch. 

Webseitenbetreibern fehlen die Informationen 

Das liegt nicht immer am Unwillen der Seitenbetreiber. Oft stehen diesen die notwendigen Informationen nicht zur Verfügung, jedenfalls wenn es sich nicht um eigene, sondern um Cookies von Drittanbietern handelt. Wer beispielsweise jemals den Versuch unternommen hat, aus den Datenschutzinformationen von Google herauszulesen, wie genau die Profilbildung mittels Cookies erfolgt, wird das Browserfenster schnell wieder entnervt schließen. Denn viele der oft amerikanischen Anbieter halten sich hier traditionell recht bedeckt. Zwar ist es verständlich, sich nicht zu sehr in die Karten schauen lassen zu wollen. Allerdings setzt eine wirksame Einwilligung voraus, dass der Nutzer bei ihrer Erteilung über alle wesentlichen Umstände informiert sein muss. Sind die Hinweistexte unzureichend, ist die Einwilligung schlimmstenfalls unwirksam und das Setzen der Cookies rechtswidrig. 

Nach der EuGH-Entscheidung muss der Nutzer zum Beispiel vorab darüber informiert werden, wie lange die Cookies aktiv sind und ob Dritte Zugriff auf die Cookies erhalten können. Dabei ist Genauigkeit in der Benennung der Dritten gefragt: Die dänische Datenschutzaufsicht entschied im Februar, dass die gerade bei amerikanischen Unternehmen verbreitete Praxis, sich lediglich mit einem Firmenschlagwort zu bezeichnen, nicht ausreichend sei. Für den Nutzer müsse hinreichend klar sein, wer sich genau hinter dem Drittanbieter verbirgt (also z. B. "Google LLC" statt nur "Google"). 

Ebenfalls Zündstoff birgt der Teil des BGH-Urteils, der sich mit der Gestaltung der Werbeeinwilligung befasst. Denn der BGH ließ für die Werbeeinwilligung eine Verlinkung auf eine Liste mit 57 Partnerunternehmen nicht genügen. Laut BGH sei diese Gestaltung darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und schlicht alle Partnerunternehmen zu akzeptieren. Dann sei aber die für die Einwilligung notwendige Informiertheit nicht gegeben. Auch Cookie-Banner arbeiten heute noch häufig mit einer solchen Verweistechnik. Möglicherweise ist auch dies künftig jedoch nicht mehr zulässig.  

Umgang mit Widerruf schwierig 

Ebenfalls noch unklar ist, wie ein Widerruf der Cookie-Einwilligung umgesetzt wird. Datenschutzrechtlich kann eine Einwilligung jederzeit widerrufen werden. Ab dem Zeitpunkt des Widerrufs wäre das Setzen und Verarbeitung von Cookies nicht mehr zulässig. Da ein Webseitenbetreiber aber in der Regel die Identität seiner Besucher nicht kennt, stellt sich die Frage, wie ein zum Beispiel per E-Mail eingehender Widerruf beachtet werden soll. 

Die Anzahl der Einwilligungsabfragen auf Webseiten dürfte jedenfalls weiter zunehmen. So fürchten Beobachter, dass auch die Entscheidung des EuGH zum Facebook-Like-Button (EuGH, Urt. v. 29.07.2019, Az. C-40/17) dazu führen wird, dass von Dritten bereitgestellte Webseitenbestandteile wie Wettervorhersagen oder Börsenticker nur nach vorheriger Einwilligung eingeblendet werden – hier steht die Reaktion der deutschen Rechtsprechung noch aus. Als besonders nutzerfreundlich werden die Einwilligungen gleichwohl nicht wahrgenommen: Studien zufolge interessieren sich im Schnitt weniger als ein Prozent aller Webseitenbesucher für datenschutzrechtliche Hinweistexte. 

Der Autor Jens Nebel, LL. M., ist Fachanwalt für IT-Recht und Partner bei Kümmerlein Rechtsanwälte & Notare in Essen. Er berät Unternehmen seit mehr als 15 Jahren zum Datenschutzrecht und ist ein kritischer Kommentator der datenschutzrechtlichen Entwicklungen des vergangenen Jahrzehnts. 

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

BGH zum Datenschutz: . In: Legal Tribune Online, 28.05.2020 , https://www.lto.de/persistent/a_id/41754 (abgerufen am: 13.05.2025 )

Infos zum Zitiervorschlag
  • Mehr zum Thema
    • Europa- und Völkerrecht
    • IT-Recht
    • Datenschutz
    • Internet
    • Online-Handel
    • Online-Services
    • Online-Shop
  • Gerichte
    • Bundesgerichtshof (BGH)
OpenJur-Anwälte Dr. Mina Kianfar und Dr. Lukas Mezger von der Kanzlei Unverzagt 12.05.2025
Datenschutz

LG Hamburg zur Rechsprechungsdatenbank:

OpenJur haftet nicht für Fehler der Ber­liner Justiz

Wegen der Veröffentlichung eines nicht anonymisierten Beschlusses verklagte ein Anwalt OpenJur. Das LG Hamburg wies die Klage ab. Für den Gerichtsfehler hafte OpenJur weder nach DSGVO noch BGB. Der Betrieb dieser Datenbank sei Journalismus.

Artikel lesen
Personalverwaltungssoftware "Workday" 08.05.2025
Datenschutz

BAG zu DSGVO-Verletzung nach Betriebsvereinbarung:

Scha­dens­er­satz nach Kon­troll­ver­lust von Daten über "Workday"

Ein Unternehmen nutzt Echtdaten, um eine neue Software zu testen – und übermittelt dabei deutlich mehr Informationen als vereinbart. Das Bundesarbeitsgericht stellt klar: Betriebsvereinbarungen sind kein Persilschein für Datenschutzverstöße.

Artikel lesen
Internetauftritt von Check24 08.05.2025
EuGH

EuGH zu Vergleichsportalen und vergleichender Werbung:

Check24 darf vor­erst eigene Noten ver­geben

Darf ein Vergleichsportal wie Check24 Versicherungen mit Noten bewerten, ohne dass dies als Werbung gilt? Der EuGH sagt: Ja – solange das Portal keine eigenen Versicherungen anbietet und damit kein Mitbewerber ist.

Artikel lesen
Eine nachdenkliche Person betrachtet Dokumente, was die Ernsthaftigkeit von DSGVO-Schadenersatzansprüchen verdeutlicht. 05.05.2025
Hintergründe

BAG zu Schadensersatz nach DSGVO:

Sch­lechte Gefühls­lage reicht nicht

Neben Entschädigungsansprüchen nach dem AGG gibt es den Trend, etwa nach (provoziert) erfolglosen Bewerbungen oder Kündigungen Schadensersatz nach der DSGVO zu fordern. Wieder einmal richtet es das BAG.

Artikel lesen
BfDI 29.04.2025
Datenschutz

Reform der Datenschutzaufsicht:

Alle Macht nach Bonn?

Im Koalitionsvertrag haben Union und SPD gebündelte Kompetenzen bei der Bundesdatenschutzbeauftragten vereinbart. Droht nun eine teure Mammutbehörde? Markus Wünschelbaum erklärt die Pläne und zeigt Folgen auf.

Artikel lesen
Personalakten 23.04.2025
Datenschutz

BGH zu Anspruch aus DSGVO:

Schaden liegt schon im Kon­troll­ver­lust

Der Bund darf die Verwaltung der Akten seines Personals nicht einfach Landesbediensteten übertragen. Tut er es doch, kann dies einen Schadensersatzanspruch nach der DSGVO begründen. Der Schaden liegt dann schon im Kontrollverlust.

Artikel lesen
ads lto paragraph
lto karriere logo
ads career people

Was ist Dein nächster Karriereschritt?

Jetzt registrieren
logo lto karriere
TopJOBS
Logo von Generalstaatsanwaltschaft des Landes Brandenburg
Staats­an­wäl­tin (Rich­te­rin auf Pro­be) / Staats­an­walt (Rich­ter auf Pro­be)...

Generalstaatsanwaltschaft des Landes Brandenburg , Cott­bus

Logo von Generalstaatsanwaltschaft des Landes Brandenburg
Staats­an­wäl­tin (Rich­te­rin auf Pro­be) / Staats­an­walt (Rich­ter auf Pro­be)...

Generalstaatsanwaltschaft des Landes Brandenburg , Neu­rup­pin

Logo von Generalstaatsanwaltschaft des Landes Brandenburg
Staats­an­wäl­tin (Rich­te­rin auf Pro­be) / Staats­an­walt (Rich­ter auf Pro­be)...

Generalstaatsanwaltschaft des Landes Brandenburg , Pots­dam

Logo von Westdeutscher Rundfunk
Re­fe­rent:in Le­gal Tech

Westdeutscher Rundfunk , Köln

Logo von Siemens
Rechts­re­fe­ren­dar (m/w/di­vers) bei Le­gal and Com­p­li­an­ce

Siemens , Mün­chen

Logo von Freie Universität Berlin
Voll­ju­rist*in (m/w/d)

Freie Universität Berlin , Ber­lin

Logo von CMS Deutschland
Rechts­an­wäl­te (m/w/d) für den Be­reich IT-Recht mit Fo­kus auf Fin­Tech,...

CMS Deutschland , Ham­burg

Logo von Siemens
Rechts­re­fe­ren­dar (m/w/di­vers) bei Le­gal and Com­p­li­an­ce

Siemens , Ber­lin

Mehr Stellenanzeigen
logo lto events
Juristinnen netzwerken ... - After Work live in Köln

22.05.2025, Köln

Rechnungslegung in der Non-Profit-Organisation

20.05.2025

Online Info Session Jurastudium (LL.B., EjP)

21.05.2025

25. Düsseldorfer Insolvenztage 2025

22.05.2025, Düsseldorf

Nivalion Legal Finance Summit 2025

22.05.2025, Frankfurt am Main

Mehr Events
Copyright © Wolters Kluwer Deutschland GmbH