BGH zum Datenschutz: Cookie-Ein­wil­li­gung muss aktiv ange­kreuzt werden

Erwartungsgemäß hat der Bundesgerichtshof (BGH) in einer am Donnerstag verkündeten Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur "weggeklickt" werden können (Urt.v.28.05.2020, Az. I ZR 7/16) Nutzer müssen ihre Einwilligung vielmehr durch aktives Ankreuzen entsprechender Felder erklären. Sonst ist das vorformulierte Einverständnis zum Setzen von Cookies unwirksam, so der BGH. 

Das Urteil markiert den Abschluss eines bereits 2014 begonnen Rechtsstreits zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Planet 49. Zwar drehte sich das Verfahren auch um die Frage, ob eine von Planet 49 vorformulierte Werbeeinwilligung rechtmäßig war. Nach Ansicht des BGH war sie dies nicht, unter anderem weil die Einwilligung auf eine aus Sicht des BGH unüberschaubare Liste von Partnerunternehmen verwies. Bedeutung über den konkreten Fall hinaus hat die Entscheidung aber insbesondere deshalb, weil der BGH eine Cookie-Einwilligung zu prüfen hatte. Solche Einwilligungen finden sich in ähnlicher Form auf vielen Webseiten. 

Cookies sind individuell vergebene Kennungen, die primär der Wiedererkennung eines Endgerätes dienen. Cookies ermöglichen beispielsweise, dass sich ein Nutzer in einem Online-Shop nicht auf jeder Artikelseite immer wieder neu einloggen muss. Neben solchen, für das Funktionieren von Webseiten essentiellen Cookies werden die kleinen Textdateien jedoch mitunter auf dem Endgerät des Nutzers platziert, um ihn für Werbetreibende zu identifizieren. Große Tracking-Anbieter wie Google Analytics nutzen Cookies, um den Nutzer über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise ein Werbeprofil jedes Nutzers zu erstellen. 

EU-Richtlinie oder Telemediengesetz? 

Die vzbv vertrat die Meinung, dies sei nur mit aktiver Einwilligung des Nutzers zulässig. Sie berief sich dabei auf die sogenannte "Cookie-Richtlinie" der EU aus dem Jahr 2009. Diese Rahmenvorgabe hätte vom deutschen Gesetzgeber bis Mitte 2011 in nationales Recht umgesetzt werden müssen. Laut Cookie-Richtlinie ist die Speicherung von Informationen auf dem Endgerät eines Nutzers nur gestattet, wenn dieser seine Einwilligung gegeben hat (sogenanntes "opt-in"). Eine Ausnahme gilt nur für essentielle Cookies, ohne die die Webseite nicht funktioniert (etwa zum "Merken" eines Warenkorbs). 

Planet 49 hielt mit dem deutschen Telemediengesetz (TMG) von 2007 dagegen. Der Wortlaut dieses Gesetzes ließ sich nämlich durchaus so verstehen, dass das Setzen von Cookies zwecks Profilbildung zulässig ist, solange der Betroffene nicht widersprochen hat (sogenanntes "opt-out"). Damit stand das TMG zwar in offensichtlichem Widerspruch zu den europäischen Vorgaben. Gleichwohl unternahmen seither weder die schwarz-gelbe Regierung noch die Große Koalition irgendwelche Anstrengungen, die fehlerhafte Umsetzung zu korrigieren. Kritikern wurde lapidar beschieden, die Regelung des TMG würde angeblich den Anforderungen der Cookie-Richtlinie genügen. Folglich beriefen sich viele Webseitenbetreiber auf den Wortlaut des TMG und informierten lediglich über die Widerspruchsmöglichkeit auf ihrer Datenschutzinformationsseite. 

EuGH: Deutsches Recht verstößt gegen EU-Recht  

Der BGH hatte bei seiner ersten Befassung mit dem Rechtsstreit im Jahre 2017 Zweifel daran, ob das deutsche Recht europarechtskonform ist, und legte die Frage dem Europäischen Gerichtshof zur Vorabentscheidung vor. Der EuGH ist für die verbindliche Auslegung des Europarechts zuständig. Er entschied daraufhin im Oktober 2019, dass die Cookie-Richtlinie in Deutschland nicht korrekt umgesetzt ist (Urt.v.01.10.2019, Az. C-673/17). Die Cookie-Richtlinie verlange eine aktive Einwilligung des Betroffenen. Ein opt-out-Modell wie im TMG formuliert sei demnach nicht ausreichend. 

Auch eine Einwilligung mittels vorangekreuzter Kästchen reiche nicht aus, so die Luxemburger Richter. Damit stellt sich der EuGH zugleich gegen eine ältere, noch vor Geltung der Datenschutz-Grundverordnung ergangene Rechtsprechung in Deutschland, derzufolge auch solche Gestaltungen wirksame Einwilligungen darstellen konnten (BGH, Urt. v. 16.07.2008, Az. VIII ZR 348/06 – Payback). 

Ball zurück nach Karlsruhe gespielt 

Die Karlsruher Richter hatten nun den Ball des EuGH wieder aufzunehmen. Erwartungsgemäß kam der BGH zum Ergebnis, dass das TMG in Bezug auf das Einwilligungserfordernis europarechtskonform ausgelegt werden muss. Auch wenn sich dies aus dem Wortlaut des Gesetzes nicht ergibt, gilt somit ab sofort ein "echtes" Einwilligungserfordernis im Sinne eines opt-in. Einwilligungskästchen müssen also vom Nutzer aktiv angekreuzt werden, die bloße Bestätigung vorangekreuzter Felder genügt nicht. 

Das hört sich zwar nachvollziehbar an, stellt Webseitenanbieter allerdings in der Umsetzung vor praktische Probleme. Zwar sind Cookie-Schaltflächen als solche auf Webseiten mittlerweile üblich. Bei der Ausgestaltung hapert es vielfach jedoch. 

Webseitenbetreibern fehlen die Informationen 

Das liegt nicht immer am Unwillen der Seitenbetreiber. Oft stehen diesen die notwendigen Informationen nicht zur Verfügung, jedenfalls wenn es sich nicht um eigene, sondern um Cookies von Drittanbietern handelt. Wer beispielsweise jemals den Versuch unternommen hat, aus den Datenschutzinformationen von Google herauszulesen, wie genau die Profilbildung mittels Cookies erfolgt, wird das Browserfenster schnell wieder entnervt schließen. Denn viele der oft amerikanischen Anbieter halten sich hier traditionell recht bedeckt. Zwar ist es verständlich, sich nicht zu sehr in die Karten schauen lassen zu wollen. Allerdings setzt eine wirksame Einwilligung voraus, dass der Nutzer bei ihrer Erteilung über alle wesentlichen Umstände informiert sein muss. Sind die Hinweistexte unzureichend, ist die Einwilligung schlimmstenfalls unwirksam und das Setzen der Cookies rechtswidrig. 

Nach der EuGH-Entscheidung muss der Nutzer zum Beispiel vorab darüber informiert werden, wie lange die Cookies aktiv sind und ob Dritte Zugriff auf die Cookies erhalten können. Dabei ist Genauigkeit in der Benennung der Dritten gefragt: Die dänische Datenschutzaufsicht entschied im Februar, dass die gerade bei amerikanischen Unternehmen verbreitete Praxis, sich lediglich mit einem Firmenschlagwort zu bezeichnen, nicht ausreichend sei. Für den Nutzer müsse hinreichend klar sein, wer sich genau hinter dem Drittanbieter verbirgt (also z. B. "Google LLC" statt nur "Google"). 

Ebenfalls Zündstoff birgt der Teil des BGH-Urteils, der sich mit der Gestaltung der Werbeeinwilligung befasst. Denn der BGH ließ für die Werbeeinwilligung eine Verlinkung auf eine Liste mit 57 Partnerunternehmen nicht genügen. Laut BGH sei diese Gestaltung darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und schlicht alle Partnerunternehmen zu akzeptieren. Dann sei aber die für die Einwilligung notwendige Informiertheit nicht gegeben. Auch Cookie-Banner arbeiten heute noch häufig mit einer solchen Verweistechnik. Möglicherweise ist auch dies künftig jedoch nicht mehr zulässig.  

Umgang mit Widerruf schwierig 

Ebenfalls noch unklar ist, wie ein Widerruf der Cookie-Einwilligung umgesetzt wird. Datenschutzrechtlich kann eine Einwilligung jederzeit widerrufen werden. Ab dem Zeitpunkt des Widerrufs wäre das Setzen und Verarbeitung von Cookies nicht mehr zulässig. Da ein Webseitenbetreiber aber in der Regel die Identität seiner Besucher nicht kennt, stellt sich die Frage, wie ein zum Beispiel per E-Mail eingehender Widerruf beachtet werden soll. 

Die Anzahl der Einwilligungsabfragen auf Webseiten dürfte jedenfalls weiter zunehmen. So fürchten Beobachter, dass auch die Entscheidung des EuGH zum Facebook-Like-Button (EuGH, Urt. v. 29.07.2019, Az. C-40/17) dazu führen wird, dass von Dritten bereitgestellte Webseitenbestandteile wie Wettervorhersagen oder Börsenticker nur nach vorheriger Einwilligung eingeblendet werden – hier steht die Reaktion der deutschen Rechtsprechung noch aus. Als besonders nutzerfreundlich werden die Einwilligungen gleichwohl nicht wahrgenommen: Studien zufolge interessieren sich im Schnitt weniger als ein Prozent aller Webseitenbesucher für datenschutzrechtliche Hinweistexte. 

Der Autor Jens Nebel, LL. M., ist Fachanwalt für IT-Recht und Partner bei Kümmerlein Rechtsanwälte & Notare in Essen. Er berät Unternehmen seit mehr als 15 Jahren zum Datenschutzrecht und ist ein kritischer Kommentator der datenschutzrechtlichen Entwicklungen des vergangenen Jahrzehnts.