Urteil BGH zum Erfordernis einer Einwilligung bei Cookie-Speicherung

Brüssel, 29.05.2020 - Welche Voraussetzungen müssen erfüllt sein, um Cookies auf Webseiten rechtmäßig einsetzen zu können? Diese Frage beschäftigte nationale Gerichte und den Europäischen Gerichtshofs seit Jahren; in Deutschland ist eine Klage des Verbraucherverbands vzbv gegen das Internet-Portal Planet 49 seit nunmehr rund sechs Jahren anhängig.

Kernfrage auch dabei: Ist das gewohnte Cookie-Banner ausreichend, damit diese kleinen Programme zur Nachverfolgung des Nutzer-Verhaltens wirksam verwendet werden können? In dem vorliegenden Fall konnte sich der Nutzer zwar für oder gegen den Cookie-Einsatz entscheiden, voreingestellt war hingegen immer die Einwilligung zu einer solchen Nutzung.

Die Antwort des BGH fällt erwartungsgemäß entsprechend klar aus: Der Einsatz von Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ erhoben werden, bedarf einer aktiven Einwilligung des Nutzers. Diese Einwilligung kann nicht in Form einer vorangekreuzten Checkbox erfolgen.

Der BGH stellt sich damit klar gegen die entsprechende Regelung aus dem Telemediengesetz. Diese besagt nämlich, dass Tracking nur dann untersagt ist, wenn der Nutzer widerspricht. Da die europäischen Vorgaben hingegen eine Einwilligung vorsehen, muss die deutsche Vorschrift insoweit europarechtfreundlich ausgelegt werden.

„Das Urteil dürfte auch Konsequenzen für diejenigen Unternehmen haben, die zwar nicht mit voreingestellten Einwilligungs-Boxen arbeiten, sondern lediglich ein sogenanntes Cookie-Banner verwenden (also: lediglich die Information, dass Cookies verwendet werden, bereitstellen).“ Meint auch Tim Geier, Geschäftsführer Büro Brüssel, DER MITTELSTANDSVERBUND. „Noch liegen uns die einzelnen Urteilsgründe nicht vor. Es steht hingegen zu befürchten, dass jeglicher Einsatz von Cookies durch eine Einwilligung abgesichert werden muss. Das stellt das gesamt Marketing rund um Nutzerdaten auf den Kopf. Zum anderen werden Nutzer zudem mit einer Flut von Cookie-Einwilligung überfallen – ob das einen bewussteren Umgang mit Daten ermöglicht, bleibt abzuwarten.“ so Geier weiter.

Ein weiteres Problem wird dann sicherlich in einem weiteren Aspekt des Europäischen Datenschutzrechts liegen: Die Informiertheit der Einwilligung. Nach diesem Grundsatz muss der Nutzer vorab wissen, was im Falle seiner Einwilligung mit seinen Daten geschieht. Gerade die Verwendung von Analyse-Cookies würde damit erheblich erschwert – ein Blick auf die Nutzungsbedingungen von Google Analytics oder ähnlichen Dienstleistern zeigt, dass eine genaue Angabe, was mit den Daten passiert, oftmals nicht möglich sein wird.  

Auch die Frage, welche Konsequenzen aus dem Widerruf einer Einwilligung resultieren (denn dieses Recht steht dem Nutzer jederzeit zu), ist ungeklärt. Gerade für Mittelständler könnte damit der Weg in das digitale Zeitalter erschwert werden.

Ein Silberstreif am Himmel ist die aktuelle Diskussion über die sogenannte eprivacy-Verordnung. Nach den Vorstellungen des Europäischen Gesetzgeber sollen nämlich spezielle Regeln für die automatische Verwendungen von Nutzerdaten gelten. Streitpunkt ist – wie zu erwarten – die Frage, unter welchen Umständen bzw. ob überhaupt eine Einwilligung für die Nutzung von Cookies erteilt werden muss.

Die letzten Diskussionsrunden zeigten praktikable Ansätze. Es bleibt zu hoffen, dass die Gesetzgeber schnell brauchbare Lösungen finden, um Mittelständler aber auch die europäische Digitalwirtschaft insgesamt nicht noch weiter ins Hintertreffen geraten zu lassen.