Nun auch der BGH: Unbeschränkte Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland

Nun auch der BGH: Unbeschränkte Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland
28.05.2020 | Lesezeit: 8 min

Die Frage, ob in Deutschland der Einsatz technisch nicht notwendiger Cookies auf Webseiten von der Einwilligung des Nutzers abhängig gemacht werden muss, beschäftigt deutsche Gerichte aller Instanzen seit 2014. Nachdem der BGH dem EuGH Fragen zur Auslegung der maßgeblichen Cookie-Richtlinie vorgelegt und der EuGH am 01.10.2019 zugunsten einer EU-weiten Einwilligungspflicht für nicht essentielle Cookies geurteilt hatte, hat der BGH mit Urteil vom 28.05.2020 (Az. I ZR 7/16) der langen Rechtsunsicherheit ein Ende gesetzt: auch in Deutschland sind technisch nicht notwendige Cookies unbeschränkt einwilligungspflichtig. Anderslautende Vorschriften des TMG sind unionsrechtskonform auszulegen. Lesen Sie mehr zum Grundsatzurteil und zu den Konsequenzen für Seitenbetreiber.

Das Wichtigste in Kürze:

Der BGH hat sich dem EuGH vollumfänglich angeschlossen und rechtsverbindlich eine Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland bestätigt. § 15 Abs. 3 TMG mit seiner bloßen Opt-Out-Lösung muss unionsrechtskonform ausgelegt werden.

Die IT-Recht Kanzlei bietet Mandanten für die rechtskonforme Umsetzung der Einwilligungspflicht kostenlose wie auch stark vergünstigte Cookie-Consent-Tools an.

Tipp: Welche Cookie-Consent-Tools für Shopsysteme genügen überhaupt den rechtlichen Anforderungen? Unser Test klärt auf.

I. Sachverhalt, Ausgangslage und Gang des Verfahrens

Angefangen hatte der Rechtsstreit über die Einwilligungspflicht für Cookies, der die deutschen Gerichte seit nunmehr 6 Jahren beschäftigt und am 28.05.2020 endlich seinen Abschluss fand, mit einer Werbekampagne des Anbieters „Planet 49“. Im September 2013 veranstaltete Planet 49 ein Gewinnspiel, für dessen Teilnahme Nutzern ein vorausgefülltes Ankreuzfeld für eine Einwilligung in ein Cookie-Tracking über den Webanalysedienst „Remintrex“ präsentiert wurde.

Der Bundesverband der Verbraucherzentralen sah hierin eine unzureichende Umsetzung der Cookie-Einwilligungspflicht, weil es nach Ansicht des Verbandes für deren Wirksamkeit auf eine aktive Erklärungshandlung ankam. Das Abfragen einer voreingestellten Einwilligung erfülle dies gerade nicht. Gefordert wurde eine Unterlassung.

Nachdem das Landgericht Frankfurt a.M. Planet 49 als Beklagte antragsgemäß zur Unterlassung verurteilt hatte, wurde das Urteil vom OLG Frankfurt a.M. zugunsten der Beklagten aufgehoben. Nach Revision des Klägers zum BGH setzte dieser das Verfahren aus und stellte dem EuGH eine Reihe von Fragen zur Geltung einer Cookie-Einwilligungspflicht und zu den Anforderungen an eine wirksame Cookie-Einwilligung.

Maßgeblicher rechtlicher Streitpunkt war hierbei, dass die europäische Richtlinie 2002/58/EG in ihrer letzten Fassung von 2009 in Art. 5 Abs. 3 eine Pflicht der Mitgliedstaaten vorsah, den Einsatz von technisch nicht notwendigen Cookies von einer individuellen Nutzereinwilligung abhängig zum machen:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Diese Opt-In-Pflicht für Cookies war und ist in Deutschland aber nicht ordnungsgemäß umgesetzt worden. Vielmehr ging und geht das deutsche Pendant, der § 15 Abs. 3 TMG, davon aus, dass Cookies generell ohne Einwilligung gesetzt werden dürfen und nur ein Opt-Out ermöglicht werden muss:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.

Hier lag nun in rechtlicher Hinsicht die Crux der Entscheidungsfindung. Während sich die Beklagte auf die deutsche Vorschrift berief und argumentierte, zur Einwilligungseinholung überhaupt nicht verpflichtet gewesen zu sein, argumentierte der Kläger mit dem eindeutigen Wortlaut der Richtlinie.

Auf Vorlage des BGH erklärte der EuGH mit Urteil vom 01.10.2019 (Az. C-673/17) alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, für nach EU-Recht einwilligungspflichtig.

Für die Einwilligung komme es nicht darauf an, ob im Sinne der DSGVO durch die Cookies personenbezogene Daten verarbeitet würden oder nicht. Vielmehr knüpfe die Richtlinie 2002/58/EG als eigenständiger Rechtsakt unabhängig von Datenverarbeitungen das bloße Setzen von Cookies als Dateien auf Nutzerendgeräten an die Einwilligungspflicht. Ebenso stellte der EuGH klar, dass die Einwilligung für ihre Wirksamkeit ausdrücklich erteilt werden müsse und mithin eine aktive Nutzerhandlung voraussetze. Einwilligungsfelder dürften deshalb nicht vorausgefüllt sein, sondern der Nutzer müsste sein Häkchen gerade aktiv setzen.

Das ausgesetzte Verfahren hatte der BGH mit Verhandlungstermin vom 30.01.2020 wieder aufgenommen und schließlich am 28.05.2020 – unter Berücksichtigung der Leitsätze des EuGH – sein Urteil gefällt.

Damit hat der BGH dem langwierigen Rechtsstreit über die rechtliche Grundlage einer Cookie-Einwilligungspflicht in Deutschland ein Ende bereitet.

Kostenfreies Bewertungssystem SHOPVOTE

II. Die Entscheidung des BGH: EU-Recht überschreibt TMG hin zu Cookie-Einwilligungspflicht

In seiner Grundsatzentscheidung vom 28.05.2020 (I ZR 7/16) erklärte der BGH abschließend alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, auch in Deutschland für unbeschränkt einwilligungspflichtig.

Hierfür bediente sich der BGH des sog. Grundsatzes der unionsrechtkonformen Auslegung. Der BGH bestätigte, dass § 15 Abs. 3 TMG in seinem Wortlaut mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG (in der Fassung der Richtlinie 2009/136/EG) nicht zu vereinbaren sei. Während die Richtlinie eine Opt-In-Pflicht für technisch nicht notwendige Cookies vorsehe, gehe § 15 Abs. 3 TMG vom Ausreichen eines bloßen Cookie-Opt-Outs (also eines Widerspruchs) aus.

Der BGH entschied daher, dass § 15 Abs. 3 TMG richtlinienkonform dahingehend ausgelegt werden müsse, dass für den Einsatz von technisch nicht notwendigen Cookies die Einwilligung des Nutzers erforderlich sei. Der fehlenden erforderlichen Einwilligung sei der gemäß § 15 Abs. 3 TMG dem Cookie-Tracking entgegenstehende Widerspruch gleichzusetzen.

Der wortlautgemäßen Anwendung der Vorschrift sprach der Senat damit seine Gültigkeit ab und überschrieb sie unter Beachtung des Unionsrechts.

Seit dem 28.05.2020 muss § 15 Abs. 3 TMG richtlinienkonform so angewendet werden, als setze er für den Einsatz technisch nicht erforderlicher Cookies eine Nutzereinwilligung voraus.

Eine Opt-Out-Lösung für Cookies, die nicht zwingend erforderlich sind, ist damit ab sofort offiziell unzulässig und rechtswidrig.

Im Einklang mit dem Urteil des EuGH entschied der BGH sodann, dass eine Cookie-Einwilligung durch ein vorangekreuztes Einwilligungskästchen nicht wirksam abgefragt werden könne. Vielmehr sei ein aktives Setzen des Opt-In-Häkchens erforderlich.

III. Konsequenzen für Seitenbetreiber

Was bereits durch das EuGH-Urteil vom 01.10.2019 unionsweit anklang, steht seit heute, dem 28.05.2020, speziell auch für Deutschland rechtsverbindlich fest: Alle Seitenbetreiber dürfen Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, nur nach entsprechender aktiver Nutzereinwilligung setzen.

Auf § 15 Abs. 3 TMG als anderslautende Vorschrift können sich deutsche Seitenbetreiber nicht mehr berufen.

Ferner gilt nunmehr rechtsverbindlich, dass die Cookie-Einwilligung durch eine aktive Nutzerhandlung erteilt werden muss. Erst nach deren Vorliegen dürfen die betroffenen Cookies gesetzt werden.

Unzulässig sind damit offiziell bloße Cookie-Banner, die über das Setzen von Cookies informieren und sich mit einen bloßen Klick auf „Ok“ abwinken lassen. Hier kann der Nutzer keine hinreichend informierte Einwilligung erteilen, die das Setzen von Cookies aktiv von seiner Entscheidung abhängig macht.

IV. No excuses: Rechtskonforme Cookie-Consent-Lösung erforderlich

Auch für Deutschland gilt daher (ab heute, dem 28.05.2020 rechtsverbindlich): Seitenbetreiber, die technisch nicht erforderliche Cookies setzen, müssen auf ihren Präsenzen zwingend rechtskonforme Cookie-Lösungen implementieren.

Diese müssen technisch sicherstellen, dass

  • für jede cookie-basierte und nicht technisch erforderliche Anwendung eine individuelle Cookie-Einwilligung abgefragt wird
  • Cookies dieser Anwendungen erst dann gesetzt werden, wenn der Nutzer hierin jeweils individuell eingewilligt hat
  • Nutzer ihre Einwilligungen über entsprechende Optionen jederzeit wieder widerrufen können und dadurch die Cookie-Setzung wieder gestoppt wird

Welche Lösungen für einzelne Shopsysteme den rechtlichen Anforderungen genügen und welche nicht, lesen Sie hier.

V. Mandanten der IT-Recht Kanzlei waren vorbereitet

Für Mandanten der IT-Recht Kanzlei kommt das Grundsatzurteil des BGH nicht unverhofft. Bereits mit dem EuGH-Urteil vom 01.10.2019 war absehbar, dass die Cookie-Einwilligungspflicht europaweit (und mithin auch uneingeschränkt in Deutschland) gilt.

Um Mandanten den rechtssicheren Betrieb ihrer Präsenzen auch in Bezug auf Cookies frühzeitig zu ermöglichen, hat die IT-Recht Kanzlei schon im Herbst 2019 weitläufig zur Implementierung von Consent-Lösungen für Cookies geraten und bietet Mandanten seither verschiedene rechtskonforme Cookie-Consent-Tools entweder völlig kostenlos oder stark vergünstigt an.

VI. Rechtskonforme Cookie-Consent-Tools für Mandanten

Mandanten der IT-Recht Kanzlei haben im Mandantenportal Zugriff auch eine Vielzahl von Angeboten für rechtskonforme Cookie-Consent-Tools (universelle Lösungen und Anwendungen für spezielle Shop-Systeme).

Entweder vollständig und dauerhaft kostenlos oder stark vergünstigt bietet die IT-Recht Kanzlei ihren Mandanten als Zusatzleistung die Möglichkeit an, den erforderlichen Cookie-Consent auf ihren Präsenzen anwender- und kostenfreundlich umzusetzen.

Eine Übersicht aller derzeit zur Verfügung kostenlosen wie auch stark vergünstigten Cookie-Consent-Lösungen findet sich hier.

VII. Was nun zu tun ist

Seitenbetreiber, die bereits einen hinreichenden Cookie-Consent auf ihren Präsenzen eingerichtet haben, müssen nichts weiter tun. Die vom BGH bestätigte Cookie-Einwilligungspflicht setzen sie nämlich bereits ordnungsgemäß um.

Seitenbetreiber, die bisher kein oder kein hinreichendes Cookie-Consent-Tool verwenden, müssen ein solches nun unbedingt unverzüglich einbinden. Ein „deutscher Sonderweg“ für Cookies wurde vom BGH am 28.05.2020 aberkannt, auch hier gilt die Einwilligungspflicht uneingeschränkt.

Die IT-Recht Kanzlei vermittelt ihren Mandanten kostenlose wie auch stark vergünstigte Cookie-Consent-Lösungen.

Eine entsprechende Übersicht findet sich hier.

Tipp: Welche Cookie Consent-Tools für Shopsysteme genügen überhaupt den rechtlichen Anforderungen? Unser Test klärt auf.

Freilich muss ein Cookie-Consent-Tool nur dort vorgehalten werden, wo der Betreiber die Cookie-Setzung eigenständig kontrollieren kann. Die Pflicht gilt insofern nicht auf Handelsplattformen (eBay, Amazon, etsy und Co.) und in sozialen Netzwerken (Facebook, Instagram und Co.)

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

8 Kommentare

P
Phillips 10.05.2021, 09:47 Uhr
Amazon zwingt zu Cookies
Hallo,
Amazon zwingt zur Einwilligung, da die Seiten erst nach Einwilligung zu den Werbe-Cookies überhaupt funktioniert. Vorher sind die Seiten einfach nicht nutzbar - z.B. ist keine Anmeldung möglich.
Wie ist das mit geltendem Recht vereinbar?
Aber selbst diese Seite funktioniert ja nicht (Kommentar nicht versendbar), wenn man keine Cookies zulässt...
W
Wolfgang Christ 09.07.2020, 08:40 Uhr
Bei Amazon.de besteht keine Möglichkeit Werbe-Cookies abzuschalten
Auf der Website von amazon.de gibt wird keine Möglichkeit angeboten, sich den Marketing-Cookies, etc. zu entziehen. Es wird nur auf Cookies verwiesen, aber weder gibt es ein Opt-In noch ein Opt-Out als Möglichkeit. Der Hinweis, dass man in seinem Browser Cookies deaktivieren kann ist ein schlechter Witz. Eigentlich müsste diese Website den Datenschützern schon aufgefallen sein, nur liest man darüber nichts. Ich frage mich,warum niemand Amazon.de zwingt, sich Datenschutzkonform zu verhalten.
I
IT-Recht Kanzlei 12.06.2020, 11:26 Uhr
Gruppierung/Klassifizierung von Cookies
Guten Tag, danke für Ihre Kommentare.

Eine Gruppierung bzw. Unterteilung von Cookies nach Klassen im Consent-Tool ist zulässig, sofern für jede Anwendung innerhalb einer Kategorie eine individuelle Einwilligungsmöglichkeit (etwa über ein Roll-Out) bereitgestellt wird.
S
Sepp 12.06.2020, 11:21 Uhr
Gruppierungen
Hallo,



könntet ihr bitte nochmals Stellung zum Kommentar von "Dominik" vom 29.05.2020 nehmen?

Denn genau das würde mich auch interessieren, da dies wirklich aktuell bei fast allen mir bekannten Tools so funktioniert...
J
Jutta Hennings 10.06.2020, 18:52 Uhr
Impressum Datenschutzerklärung
Muss nach dem Urteil des BGH zur Opt-In-Variante auch das Impressum oder die Datenschutzerklärung geändert werden?
Vielen Dank im Voraus!
D
Dominik 29.05.2020, 13:01 Uhr
Gruppierungen nun auch nicht mehr möglich?
Hallo,









wenn ich euren Kommentar richtig lese, dann heißt es also, dass auch keinerlei Gruppierungen nach bestimmten Cookie-Arten (z.B. "Funktion, Marketing, Messung" oder "Notwendig, Statistik, Marketing") mehr möglich ist?

Denn aktuell sind die meisten der führenden Cookie Consent Tools genau nach diesem Schema aufgebaut. Also sind diese dann auch abmahngefährdet. Darunter dann z.B. auch der von euch empfohlene "consentmanager": (https://www.consentmanager.de/demo.php) Erst die "erweiterten Einstellungen" wären dann korrekt?
I
IT-Recht Kanzlei 28.05.2020, 14:41 Uhr
Einwilligungspflicht für einzelne Dienste
Sehr geehrter Herr Schuster,

danke für Ihren Kommentar.

Erforderlich ist, dass Einwilligungen für jeden einzelnen Cookie-basierten Dienst (nicht zwingend für jedes einzelne Cookie) muss erteilt werden können.

Ausgangspunkt dieser Pflicht ist zum einen der Wortlaut des Art. 5 Abs. 3 der Richtlinie 2002/58/EG, der für "die Speicherung von Informationen auf Endgeräten", also für jede Speicherung von Informationen auf Endgeräten (= Cookie-Setzung) die Einwilligung verlangt. Zum anderen gebieten die unionsrechtlichen Anforderungen an die Wirksamkeit von Einwilligungen die individuelle Einwilligungsmöglichkeit: die Einwilligung muss ausdrücklich, unter Kenntnis aller Umstände und freiwillig erteilt werden.

Freiwilligkeit ist aber nur gegeben, wenn die Einwilligung immer spezifisch für jeden einzelnen Verarbeitungsvorgang eingeholt wird. Werden auf einer Website verschiedene cookie-einwilligungspflichtige Dienste eingesetzt, muss die Einwilligung für jeden dieser Dienste einzeln eingeholt werden. Eine Generaleinwilligung für alle Dienste gesammelt wäre unwirksam.
A
Alexander Schuster 28.05.2020, 13:04 Uhr
Einwilligung in jeden einzelnen Cookie?
Mich würde interessieren, wo im Gesetzestext festgelegt ist, dass der Nutzer in jeden einzelnen Cookie einwilligen muss, so wie Sie es im Artikel schreiben. Ich konnte dazu nämlich nichts finden.
Vielen Dank im Voraus.

Weitere News

Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(21.10.2024, 08:53 Uhr)
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
(08.08.2024, 15:30 Uhr)
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
(25.04.2024, 11:51 Uhr)
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
(24.05.2023, 22:35 Uhr)
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
© 2004-2024 · IT-Recht Kanzlei