Der BGH hat mit „Cookie-Einwilligungen II“ ein Grundsatzurteil zu Cookies und Einwilligungen gefällt, nachdem der EuGH im vergangenen Herbst über seine Vorlagefragen entschieden hatte. Eine erste Analyse vor der schriftlichen Urteilsbegründung.

Das vorangegangene Urteil des EuGH ließ sich damit zusammenfassen, dass dieser gerade nicht entschieden hatte, ob für die Verwendung von Cookies eine Einwilligung erforderlich ist, sondern nur bestimmte Anforderungen an eine etwaige Einwilligung herausgearbeitet hatte (C-673/17). Die abschließende Entscheidung des BGH ist nun: Für die meisten Cookies ist eine Einwilligung erforderlich.Obwohl der Fall „Planet49“ (Urt v. 28.05.2020 – I ZR 7/16) sowohl eine Einwilligung zu E-Mail-Werbung als auch eine für das Setzen von Cookies betraf, wurde er zur Entscheidung über Rechtsgrundlagen für das Setzen von Cookies (so auch die offizielle Bezeichnung des BGH: „Cookie-Einwilligungen II“) und über die Existenz des § 15 Abs. 3 TMG interpretiert. Hintergrund ist, dass diese Norm Nutzern lediglich ein Widerspruchsrecht gegen Werbecookies gibt, obwohl die umzusetzende Richtlinie grundsätzlich eine Einwilligung verlangt; vgl. Art. 5 Abs. 3 ePrivacy-RL (2002/58/EG) in der durch die Cookie-RL (2009/136 EG) novellierten Fassung.

Was hat der BGH zu § 15 Abs. 3 TMG entschieden?

Der Senat hätte zu § 15 Abs. 3 S. 1 TMG drei mögliche Entscheidungswege gehabt: Er hätte der Frage nach der Anwendbarkeit des § 15 Abs. 3 S. 1 TMG mit dem Argument ausweichen können, dass eine Verknüpfung der Profile mit Identitätsdaten beabsichtigt ist und somit kein Anwendungsfall des § 15 Abs. 3 TMG vorliegt. Alternativ hätte der BGH die deutsche Widerspruchsregelung des § 15 Abs. 3 S. 1 TMG als nicht richtlinienkonform und daher als unanwendbar bewerten können – dies hätte der Position u.a. der deutschen Datenschutz-Aufsichtsbehörden entsprochen (vgl. u.a. bit.ly/DSK-TMG). Der Senat hat den dritten Weg gewählt, § 15 Abs. 3 S. 1 TMG trotz seines Wortlauts „richtlinienkonform“ auszulegen und von einer Widerspruchsoption zu einem Einwilligungserfordernis umzugestalten.

Eine solche Auslegung erscheint dem Wortlaut der Norm klar zu widersprechen oder ist, wie der Vorsitzende Richter es formulierte, „nicht so ganz unproblematisch“. Hierzu ist mit Spannung die schriftliche Urteilsbegründung abzuwarten. Bis dahin lässt sich auf der Basis der Pressemitteilung des BGH (bit.ly/BGH49-PM) sowie des Texts der mündlichen Urteilsbegründung (bit.ly/BGH49-TXT) die Entscheidung wie folgt analysieren:

Die Quintessenz des Urteils

1. Für Cookies zu Werbezwecken ist grundsätzlich eine Einwilligung erforderlich.

2. Der BGH stellt die richtlinienkonforme Auslegung vor Details des Wortlautes. Unabhängig von der

Frage, ob mit dem Urteil die Grenzen des Wortlauts überschritten wurden, muss daraus geschlossen werden, dass auch bei den verbleibenden Fragen nicht exakt am Wortlaut von nationalen Normen (oder der Pressemitteilung des BGH) gehaftet werden soll, sondern jede Auslegung im Gesamtkontext von Richtlinien und DSGVO gesehen werden muss.

1. Demnach ist eine Einwilligung für Cookies und ähnliche Technologien immer dann erforderlich, wenn dies nach der ePrivacy-RL (oder anderem Unionsrecht) der Fall ist. Auch wenn eine Grundsatzentscheidung für das Einwilligungsbedürfnis gefallen ist, bleibt also ein gewisser Spielraum und Auslegungsbedarf.

2. Die deutschen Datenschutzbehörden haben in ihren Stellungnahmen geirrt, § 15 Abs. 3 TMG sei seit Geltung der DSGVO nicht mehr anwendbar. Dies verdeutlicht die rechtstaatliche Selbstverständlichkeit: Nicht den Aufsichtsbehörden obliegt die verbindliche Auslegung von Gesetzen, sondern den Gerichten.

Offene Fragen

Nach der Grundsatzentscheidung zum Bestand des TMG und dem Einwilligungserfordernis bleiben etliche Fragen:

Einwilligung auch für andere Technologien als Cookies?

Art. 5 Abs. 3 ePrivacy-RL regelt nicht spezifisch Cookies, sondern technologieneutral „die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind.“ Somit gelten das Einwilligungserfordernis und die Ausführungen in diesem Beitrag auch für andere im Endgerät gespeicherte Informationen, etwa Werbe-IDs bei mobilen Endgeräten – namentlich die ID for Advertising (IDFA) bei iOS sowie die Google/Android Advertising ID (AAID). Nicht erfasst ist hingegen die Erfassung oder Auswertung von Daten, die nicht im Gerät gespeichert, sondern von ihm ausgestrahlt werden, wie etwa Informationen aus WLAN- oder Bluetooth-Signalen. Diese würden erst von zukünftigen Regelungen wie Art. 8 Abs. 2 der Entwürfe einer ePrivacy-VO erfasst.

Ausnahmen von der Einwilligungspflicht für technisch notwendige Cookies?

Eine der zentralen Fragen aus der Praxis ist, ob das Einwilligungserfordernis für alle Cookies gilt oder ob besondere Zwecke, insb. sog. technisch notwendige Cookies, davon ausgenommen sind. Der BGH spricht in der Pressemitteilung nur von „Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“, nicht aber vom Zweck der bedarfsgerechten Gestaltung der Telemedien, der in § 15 Abs. 3 S. 1 TMG mitgenannt ist. Einzig relevant dürfte Art. 5 Abs. 3 ePrivacy-RL sein, die der BGH anscheinend „auf Biegen und Brechen“ umsetzen möchte. Hiernach ist die Einwilligung nicht erforderlich, wenn die Datenverarbeitung „unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Anbieter ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ (Art. 5 Abs. 3 S. 2, 2. Alt.) Tatbestandsmerkmal ist also zunächst der vom Nutzer ausdrücklich gewünschte Dienst. Hierfür muss die Nutzung des Cookies unbedingt erforderlich sein. Es existiert also keine Einschränkung auf technisch notwendige Cookies. Für die Frage, ob ein Dienst ausdrücklich gewünscht ist, dürfte ein gewisser Gestaltungsspielraum durch die Gestaltung des Angebots und seiner Nutzungsbedingungen bestehen. Zudem muss die Datenverarbeitung durch den Cookie „unbedingt erforderlich“ (oder „unverzichtbar“, so die Formulierung im dazugehörigen ErwG 66 der Cookie-RL) sein. Unbedingt erforderlich dürften auch die Cookies sein, die zu rechtlich vorgegebenen Zwecken verwendet werden, etwa zur IT-Sicherheit (u.a. § 13 Abs. 7 TMG) oder aus steuerrechtlichen Gründen.

Anforderungen an Einwilligungen

Eine vorbelegte Checkbox allein stellt keine Einwilligung dar. Dies ist nicht überraschend und wurde auch schon vom EuGH so vorgegeben. Verlangt wird vielmehr eine aktive Handlung – auch dies war durch den EuGH entschieden (dort Rn. 52 ff.). Diese Handlung muss jedoch nicht zwingend im Anklicken einer Checkbox liegen.

Leider gibt es auch weiterhin keine Klarheit, wie eine wirksame Einwilligung konkret aussehen kann. Es lässt sich allenfalls konstatieren, dass es weiterhin fast unmöglich ist, sämtliche in Normen, Urteilen und den Stellungnahmen der nationalen Datenschutzbehörden sowie jüngst vom European Data Protection Board (bit.ly/EDPB-Consent) aufgestellten Anforderungen einzuhalten, siehe bereits Koglin, DSB 2019, S. 251, 253.

Bezüglich der von der Beklagten auch eingeholten Direktmarketing-Einwilligung hat der BGH die Möglichkeiten einschränkt, einer Vielzahl von referenzieren Drittanbietern Direktwerbung nach § 7 Abs. 2 Nr. 3 UWG zu ermöglichen. Hier wird mit der Urteilsbegründung abzuwarten sein, inwieweit dies auch für Cookies und ähnliche Technologien Einschränkungen bringt und insoweit bei der Umsetzung von IAB TCF 2.0 und Consent Management Plattformen Relevanz hat.

Anders als bei „Direktmarketing-Einwilligungen“ nach § 7 UWG (somit der Umsetzung von Art. 13 ePrivacy-RL) ist bei „Cookie-Einwilligungen“ im Anwendungsbereich des Art. 5 Abs. 3 ePrivacy-RL ErwG 66 der Cookie-RL zu beachten, mit welcher Art. 5 ePrivacy-RL novelliert wurde (2009/136 EG). Nach S. 5 des ErwG 66 kann die Einwilligung auch „über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ Mit der richtlinientreuen und weniger am Wortlaut orientierten Auslegung des BGH könnten also Einstellungen in Browser bzw. App, die Cookies oder andere Technologien zulassen, als entsprechende Einwilligung verstanden werden.

Ein anderes Mittel, um die sehr hohen Anforderungen an Transparenz, Informiertheit und Ausdrücklichkeit der Einwilligung zu erfüllen, können auch Vollmachten an Einwilligungs-Manager darstellen, wenn letztere über die entsprechenden Hintergrundinformationen verfügen und auf Basis ihres Fachwissens die Einwilligungs-Willenserklärungen der vertretenen Nutzer selbst (aber in fremden Namen, § 164 Abs. 1 BGB) erklären.

Was ist mit dem anderen Normen des TMG?

Die Widerspruchslösung des § 15 Abs. 3 S. 1 TMG stand in Zusammenhang mit dem besonders strengen, bußgeldbewehrten und über die Richtlinie hinausgehenden Verbot, pseudonyme Profile nicht mit der Identität zusammenführen zu dürfen (§ 13 Abs. 4 S. 1 Nr. 6, 15 Abs. 3 S. 3, 16 Abs. 2 Nr. 5 TMG). Diese Balance ist aus dem Lot, wenn die Widerspruchsregelung zum Einwilligungserfordernis hochgestuft wird. Bis zu einer Änderung des TMG dürften diese Regelungen aber unverändert gelten. Dies gilt auch für den im Vergleich zur DSGVO geringen Bußgeldrahmen dieses Abschnitts des TMG in Höhe von 50.000,- Euro (§ 16 Abs. 3 TMG).

Wie geht es jetzt weiter?

Für Webseitenbetreiber und Werbetreibende ist wichtig zu wissen, wie sich nun verhalten sollen. Die theoretische Antwort bleibt, möglichst bald auf Einwilligungen für Cookies und ähnliche Technologien umzustellen, soweit dies nach Art. 5 Abs. 3 ePrivacy-RL erforderlich ist. Das Problem ist und bleibt jedoch, dass die Einholung wirksamer Einwilligungen kaum möglich erscheint. Daher sollten die Aufsichtsbehörden den Rechtsanwendern (und sich selbst) die erforderliche Zeit gewähren, bis die schriftliche Urteilsbegründung vorliegt und analysiert werden konnte. Auch sollten die Stellungnahmen der Aufsichtsbehörden auf die Rechtsauffassung des BGH, wonach § 15 Abs. 3 TMG weiterhin anwendbar ist, angepasst werden und praxisnahe Vorschläge zur Umsetzung gemacht werden. Zugleich sollte der 15.08.2020 abgewartet werden. Zu diesem Termin sollten möglichst viele Anbieter von Webseiten und der Online-Werbebranche den Standard TCF IAB 2.0 aktiviert haben und damit viele Themenbereiche zur Zufriedenheit der Aufsichtsbehörden geregelt sein.

Rechtsanwalt Dr. Olaf Koglin ist in der Rechtsabteilung der Axel Springer SE im Bereich Digital&Data tätig. Daneben berät er freiberuflich zu ePrivacy-Themen und ist Mitgründer von PrivacyRightNow.