Marketing

Cookies und Tracking nach dem neuen BGH-Urteil: Was ist zu beachten?

Richter, Recht, Gericht, BGH, Bundesgerichtshof, BGH-Urteil
Der Bundesgerichtshof hat sein neues Urteil zum Cookie-Tracking gesprochen. (Foto: Pixabay.com / mohamed_hassan)
geschrieben von Carlo Piltz

Der Bundesgerichtshof hat am 28. Mai 2020 sein lang erwartetes Urteil in der Sache „Planet49“ (Aktenzeichen I ZR 7/16) gefällt. Seitdem fragen sich viele Unternehmen: Was bedeutet das neue BGH-Urteil und welche Folgen entstehen daraus? Eine rechtliche Einordnung.

Direkt vorweg: Aktuell kennen wir nur die Pressemitteilung des Gerichts. Diese enthält schon einige interessante Ergebnisse. Für eine valide juristische Einordnung des Urteils müssen wir allerdings die Veröffentlichung der Entscheidungsgründe abwarten.

Was war passiert?

Kurz noch einmal zur Vorgeschichte: Das Verfahren wurde durch den Verbraucherzentrale Bundesverband (vzbv) initiiert. Der vzbv ging gegen ein Unternehmen vor, das auf einer Webseite ein Gewinnspiel durchführte.

Unter den Eingabefeldern für die Adresse befanden sich zwei Ankreuzfelder, wo die Teilnehmer ihre Einverständniserklärungen abgeben sollten.

Mit dem Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner per Post, Telefon, E-Mail oder SMS erklärt werden.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und stellte eine Einwilligung zum Einsatz von Cookies für werbliche Zwecke dar.

Das Verfahren gelangte zum Europäischen Gerichtshof (EuGH, Rs. C-673/17), der mit Urteil vom 1. Oktober 2019 einige relevante Aussagen zu den Anforderungen an eine wirksame Einwilligung zum Einsatz von Cookies traf.

Diese Entscheidung hat den Verlauf des BGH-Prozesses insofern geprägt, dass er diese Vorgaben nun im Ursprungsverfahren berücksichtigen musste.

Was steht im neuen BGH-Urteil?

Der BGH urteilte zugunsten des vzbv, dass beide damals eingeholten Einwilligungen unwirksam seien, da sie die gesetzlichen Anforderungen nicht erfüllen. Aber der BGH entschied nicht, wann grundsätzlich eine Einwilligung beim Einsatz von Cookies einzuholen ist.

Diese Frage wurde auch nicht durch den EuGH beantwortet. Beide Gerichte befassten sich nur mit der Frage, wie eine Einwilligung rechtskonform auszusehen hat, wenn sie eingeholt werden muss.

Die wichtigste und für die Fachwelt wohl auch überraschendste Aussage im neuen BGH-Urteil ist, dass seiner Ansicht nach die deutsche Regelung des Paragraph 15 Absatz 3 Satz 1 Telemediengesetz (TMG) eine Umsetzung der europäischen Vorgabe (RL 2002/58/EG in der Fassung durch die RL 2009/136/EG) darstellt.

Die sogenannte Eprivacy-Richtlinie war in Deutschland seit Jahren umstritten und insbesondere die deutschen Datenschutzbehörden waren stets anderer Ansicht.

Der BGH legte diese mit Blick auf die europäischen Vorgaben richtlinienkonform und wie folgt aus, „dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Diese Aussage ist aus juristischer Sicht deshalb bemerkenswert, weil die deutsche Regelung ein Opt-out vorsieht, wohingegen die europäische Vorgabe als Teil der Eprivacy-Richtlinie auf eine Einwilligung – also das Opt-in – abstellt.

Wie ist der scheinbare Widerspruch zu erklären?

Der BGH geht davon aus, dass eine richtlinienkonforme Auslegung der europäischen Richtlinie mit dem Wortlaut der deutschen Regelung aber noch vereinbar sei. Es stellt sich natürlich die Frage, wie das geht. Denn ein Opt-in ist ja gerade kein Opt-out.

Der BGH geht davon aus, dass im Fehlen einer Einwilligung ein Widerspruch gesehen werden kann. Zudem stellt der BGH, wie auch zuvor der EuGH, fest, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.

Die wohl wichtigste Aussage des BGH ist, dass die deutsche Regelung des Paragraph 15 Absatz 3 Satz 1 TMG eine Umsetzung der europäischen Vorgaben – konkret der Eprivacy-Richtlinie – darstellt.

Da die europäische Datenschutz-Grundverordnung (DSGVO) in ihrem Artikel 95 festlegt, dass sie keine Anwendung findet, soweit ein Sachverhalt schon durch die Eprivacy-Richtlinie geregelt ist, dürfte dies bedeuten, dass zumindest für das Setzen von Cookies und das Auslesen von Informationen aus diesen in Zukunft nur Paragraph 15 Absatz 3 Satz 1 TMG zu beachten ist – nicht jedoch die DSGVO.

Welche Folgen hat das BGH-Urteil in der Praxis?

Dies ändert freilich nichts daran, dass für den Einsatz von Cookies, die Marketing-Zwecken dienen, eine Einwilligung einzuholen ist. Nach dem Urteil dürfte nun auch klar sein, dass vorangekreuzte Kästchen nicht als wirksame Einwilligung für das Tracking von Nutzern angesehen werden können.

Es bedarf einer aktiven Bestätigung durch den Nutzer. Zudem stellt sich der BGH klar gegen die bisherige Ansicht der deutschen Datenschutzbehörden. Diese gingen davon aus, dass Paragraph 15 TMG nicht mehr anzuwenden ist, sondern allein die DSGVO.

Mit Blick auf die Rechtsfolgenseite, also mögliche Sanktionen bei Verstößen gegen die deutsche Regelung der Eprivacy-Richtlinie, stellen sich spannende Folgefragen. Insbesondere, welche Behörde für die Verhängung von Bußgeldern zuständig ist. Oft dürften dies gar nicht die Datenschutzbehörden sein.

In Berlin sind es zum Beispiel wohl die jeweiligen Bezirksämter. Zudem können wegen dieser Verstöße maximal 50.000 Euro als Bußgeld verhängt werden. Viel weniger also als nach der DSGVO.

Es ist aber ergänzend sogar fraglich, ob bei einer Verletzung von Paragraph 15 Absatz 3 Satz 1 TMG überhaupt ein Bußgeld verhängt werden kann. Denn diese Norm ist in dem Katalog der Bußgeldtatbestände gar nicht genannt.

Auch interessant

Über den Autor

Carlo Piltz

>Studium der Rechtswissenschaften, Göttingen
>Promotion zum Thema „Soziale Netzwerke im Internet – eine Gefahr für das Persönlichkeitsrecht?“
> Referendariat in Berlin (mit Stationen u. a. bei der Europäischen Kommission in Brüssel)
> Rechtsanwalt und Salary Partner bei reuschlaw Legal Consultants, Berlin

Dr. Piltz berät und begeleitet Mandanten im Rahmen der Umsetzung datenschutzrechtlicher Anforderungen und bei Projekten der Digitalisierung. Als Experte im Bereich Datenschutzrecht war er u.a. als Sachverständiger zum neuen Bundesdatenschutzgesetz sowie dem neuen Berliner Landesdatenschutzgesetz tätig. Daneben vertritt er Mandanten in verwaltungsrechtlichen Streitigkeiten und Gerichtsverfahren.

1 Kommentar