Unter welchen Voraussetzungen darf eine Website Cookies zu Werbezwecken nutzen? Der Bundesgerichtshof (BGH) hat mit Beschluss vom 05.10.2017 dem Europäischen Gerichtshof (EuGH) mehrere Fragen vorgelegt, die den Rahmen, in denen eine Einwilligung in die Verwendung von Cookies wirksam ist, festlegen sollen. Cookies sind dabei kleine Textdateien, die von der Website im Endgerät eines Nutzers gespeichert werden und von dort Informationen über das Surf-Verhalten des Anwenders speichern und weiterverarbeiten können.
Hintergrund
Grund für die Anrufung des EuGH ist ein Rechtsstreit über die Wirksamkeit einer voreingestellten Einwilligungserklärung bei der Teilnahme an einem Gewinnspiel im Internet.
Die Beklagte (Anbieterin von Gewinnspielen im Internet) hatte bei einem ihrer Gewinnspiele verschiedene Hinweistexte zum Ankreuzen beigefügt. Der erste Text enthielt eine widerrufbare Einwilligungserklärung für Werbung seitens Sponsoren und Kooperationspartnern auf telefonischem oder postalischem Wege sowie per SMS/Email. Dieser Hinweistext war nicht vorangekreuzt. Der zweite Text berechtigte zum Einsatz von Cookies. Diese sollten das Surf- und Nutzungsverhalten des Anwenders auswerten und so eine interessengerechte Werbung ermöglichen. Hier war schon ein Häkchen gesetzt, das aktiv entfernt werden musste. Die Gewinnspiel-Teilnahme war nur durch Ankreuzen von mindestens dem ersten Hinweistext möglich.
Der Kläger (ein Mitglied der Liste qualifizierter Einrichtungen nach §4 UKlaG) hatte sich darauf berufen, die Einverständniserklärungen genügten nicht den Anforderungen nach §307 BGB in Verbindung mit §7 Abs. 2 Nr. 2 UWG und §§12 ff. TMG und beantragt, die Beklagte auf Unterlassung der Einbeziehung der oben aufgeführten (oder inhaltsgleicher) Bestimmungen als obligatorische Voraussetzung für die Gewinnspielteilnahme.
Während das Landgericht Frankfurt am Main die Notwendigkeit einer aktiven Einwilligungsverweigerung als unzulässig ansah, sah das Oberlandesgericht Frankfurt am Main hierzu keinen Anlass. Da die Revision des Klägers von der Auslegung der relevanten EU-Richtlinien abhängt, wurde das Verfahren bis zur Entscheidung des EuGHs ausgesetzt.
Dem EuGH wurden folgende Fragen zur Klärung vorgelegt (LG & OLG Frankfurt am Main, Beschluss v. 5.10.2017 – I ZR 7/16):
1 – a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
b) Macht es bei der Anwendung des 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?
2 – Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
Relevanz der Rechtsfragen
Die Unzulässigkeit eines voreingestellt angekreuzten Kästchens als wirksame Einwilligungserklärung könnte sich aus §307 Abs. 1 S. 1 BGB ergeben. Danach sind solche AGB-Bestimmungen unwirksam, bei denen der Vertragspartner entgegen Treu und Glauben unangemessen benachteiligt wird. Im Zweifel ist dies anzunehmen, wenn die Bestimmung den wesentlichen Zweck des Gesetzes entgegenläuft.
Im vorliegenden Fall könnte diese Voreinstellung mit dem wesentlichen Grundgedanken des Art. 5 Abs. 3 und Art. 2 Buchst. F der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 unvereinbar sein. Dies ist durch die Vorlagefragen 1 a) bis 1 c) zu prüfen. Konkret geht es mithin also um die Vereinbarkeit einer Opt-Out-Regelung für Cookies mit den Anforderungen der bisherigen europäischen Datenschutz-Richtlinie und der zukünftigen europäischen Datenschutz-Grundverordnung:
1a) fragt nach der Wirksamkeit einer Einwilligung, wenn diese voreingestellt ist und aktiv zurückgenommen werden muss. Laut §15 Abs. 3 TMG darf der Dienstanbieter u.a. für werbetechnische Zwecke Nutzungsprofile bei der Verwendung von Pseudonymen erstellen, sollte der Nutzer nach Belehrung über sein Widerspruchsrecht von diesem nicht Gebrauch machen. Diese Vorschrift ist konform zu Art. 5 Abs. 3 der Richtlinie 2002/58/EG auszulegen.
In der Fassung von 2002 wird dabei gefordert, dass der Nutzer über die Speicherung/Nutzung seiner gespeicherten Informationen klar und deutlich informiert und über sein Recht zur Verweigerung der Verarbeitung aufgeklärt wurde. Nachdem diese Fassung aber durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geändert wurde, muss der Nutzer nun auf Grund von umfassenden und deutlichen Informationen seine Einwilligung zur Verarbeitung seiner Informationen geben. Eine solche Informationsverarbeitung geschieht im Normalfall durch Cookies.
Im vorliegenden Fall ist das Speichern oder der Abruf von Informationen gemäß des Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG technisch nicht notwendig, da sie nur zu Werbezwecken dienen; ein Einwilligungserfordernis liegt also nicht vor.
Die Richtlinie 2009/136/EG hätte bis zum 25.05.2011 umgesetzt werden werden müssen, Deutschland blieb jedoch untätig. Einige Mitgliedsstaaten hatten dagegen eine „Opt-In“-Regelung (vorherige Einwilligung notwendig) geschaffen, auf die sich auch die Revision des Klägers beruft, die Revisionserwiderung stützt sich hingegen auf die „Opt-Out“-Regelung (erfordert Widerspruch des Nutzers) anderer Mitgliedsstaaten.
Der Begriff der Einwilligung ist dabei in Art. 2 Buchst. h der Richtlinie 95/46/EG definiert, auf den Art. 2 S. 2 Buchst. f der Richtlinie 2002/58/EG verweist. Eine Einwilligung erfordert demnach eine „Willenserklärung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt.“
Unter weiterer Berücksichtigung der Erwägungsgründe 17 für die Richtlinie 2002/58/EG (Verweis auf RL 95/46/EG) und 66 für die Richtlinie 2009/136/EG (die Einwilligungsverweigerung soll so einfach und benutzerfreundlich wie möglich gestaltet werden), sowie der Rechtsprechung des BGH, der u.a. Werbung durch elektronische Post ohne vorherige Einwilligung als unzumutbare Belästigung verbietet, wäre eine Einwilligungsklausel, die auch der „Opt-Out“-Regelung beruht, nicht unter den Begriff der Richtlinie zu fassen und wäre somit unzulässig.
1b) behandelt die Frage, ob es rechtliche Auswirkungen hat, wenn es sich bei den verarbeiteten Informationen um personenbezogene Daten handelt.
Der Begriff der personenbezogenen Daten ist auf Grund eines Verweises in §12 Abs. 3 TMG in §3 Abs. 1 BDSG definiert als „Einzelangaben überpersönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Unter Erhebung versteht man dabei das Beschaffen solcher Daten, unter Verwendung sowohl die Nutzung als auch die Verarbeitung der personenbezogenen Daten.
Gemäß §12 Abs. 1 TMG muss es eine eindeutige Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten geben. Dieses Verbot mit Erlaubnisvorbehalt ist auf Art. 7 Buchst. a der Richtlinie 95/46/EG zurückzuführen. Durch §4a Abs. 1 BDSG wird zudem vorgeschrieben, dass die Einwilligung auf einer freien Entscheidung beruhen muss (S. 1) und dass bei mehreren Inhalten innerhalb einer Erklärung die Einwilligung gesondert hervor gehoben sein muss (S. 4).
Im vorliegenden Streitfall unterliegt die Datenverarbeitung dem Einwilligungserfordernis nach §12 Abs. 1 TMG. Die Cookies enthalten laut Informationen der Beklagten eine ID, die den Registrierungsdaten des Nutzers zugeordnet wird, wenn er sich mit Namen und Adresse in das Formular einträgt. Durch die Verknüpfung dieser ID mit den Registrierungsdaten entsteht ein Personenbezug über die Internetnutzung.
Bisher ist es in der Rechtsprechung des BGH aber für die Wirkung der Einwilligung nach §4a BDSG erforderlich, dass eine, den Standards der „Opt-In“-Regelung entsprechende gesonderte Erklärung abgegeben wird. Es sind auch solche Gestaltungen als mit dem Gesetz vereinbar angesehen worden, deren Einwilligung aktiv verweigert werden musste. Grundsätzlich hat es also keine rechtlichen Auswirkungen, wenn es sich bei den Informationen um personenbezogene Daten handelt.
1c) fragt in einem Rückgriff auf 1a) nach der Wirksamkeit der Einwilligung nach den Vorschriften des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679. Hier handelt es sich um einen Sonderfall, da diese Verordnung erst zum 25.05.2018 in Kraft treten soll, aber davon ausgegangen wird, dass sie zum Zeitpunkt der Entscheidung zu berücksichtigen ist.
Der Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 erklärt die Verarbeitung personenbezogener Daten für rechtmäßig, bei denen die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat. Unter Einwilligung ist gemäß Art. 4 Nr. 11 der Verordnung (EU) 2016/679 jeder freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung einer oder sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Unter Hinzunahme des Erwägungsgrundes 32 der Verordnung (EU) 2016/679 (Einwilligung erfordert eindeutige bestätigende Handlung) ist davon auszugehen, dass der Gesetzgeber der Europäischen Union Stillschweigen, Untätigkeit oder vorgegeben angekreuzte Kästchen nicht als hinreichend für eine wirksame Einwilligung zur Verarbeitung personenbezogener Daten sieht.
Die Vorlagefrage 2) bezieht sich schließlich auf die Frage nach der Vereinbarkeit der Erhebung und Verwendung personenbezogener Daten mit den Anforderungen des Art. 5 Abs. 3 der Richtlinie 2002/58/EG.
Gemäß §13 Abs. 1 TMG muss der Nutzer zu Beginn der Nutzung über Art, Umfang und Zweck der personenbezogenen Datenerhebung aufgeklärt werden, ebenso wie über die Nutzung eines automatisierten Verfahrens, welches zur späteren Identifizierung des Nutzers führen kann (Cookies).
§13 TMG ist dabei richtlinienkonform zur Richtlinie 2002/58/EG auszulegen. Danach ist bestimmt, dass die Datenverarbeitung nur gestattet ist, wenn der Nutzer auf Grund von gemäß der Richtlinie 95/46/EG zu gebenden Informationen seine Einwilligung gegeben hat. Die Reichweite dieser Informationspflicht ist aber noch unklar.
Art. 5 Abs. 3 der Richtlinie 2002/58/EG verweist auf Informationen, die der Nutzer auf Grund der Richtlinie 95/46/EG über den Zweck der Datenverarbeitung erhalten muss. Art. 10 Buchst. B und c der Richtlinie 95/46/EG regelt dabei die Informationspflicht bei personenbezogener Datenverarbeitung. Der Art. 5 Abs. 3 der Richtlinie 2002/58/EG spricht jedoch lediglich von Informationen, nicht von personenbezogenen Daten. Es ist also zu klären, welche Informationen der Dienstleistungsanbieter gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG tatsächlich geben muss.
Im betreffenden Streitfall hat die Beklagte einen Verweis zur Art der Cookies, ihrer Vorgehensweise und ihrem Zweck bei der Einwilligungserklärung hinzugefügt. Auch wurde darauf hingewiesen, dass die Cookies jederzeit gelöscht und die Einwilligung jederzeit widerrufen werden kann.
Es fehlte jedoch an einem Hinweis, dass auch Dritte auf diese Cookies im Endgerät des Nutzers zugreifen können und auch die Dauer ihrer Aktivität wurde nicht erwähnt. Diese Informationen sind allerdings ebenfalls relevante Umstände für den Nutzer.
Über Neuigkeiten werden wir Sie auf dem Laufenden halten.
Haben Sie Fragen zum Datenschutz bei Websites, Apps oder in der Telekommunikation? Hier finden Sie unsere Ansprechpartner.