Update Datenschutz Nr. 76
Der BGH stellt klar: Nicht notwendige Cookies nur mit Einwilligungserklärung!
Am 28. Mai 2020 wurde in der Rechtssache Planet49 das Urteil nach langem Rechtsstreit verkündet (wir haben bereits ausführlich über die Vorinstanzen inklusive EuGH-Urteil berichtet). Das BGH-Urteil enthält eine Vielzahl wichtiger Aussagen, die erst vollständig analysiert werden können, wenn die Entscheidungsgründe vorliegen. Schon jetzt lässt sich jedoch Folgendes sagen:
- § 15 Abs. 3 TMG ist noch geltendes Recht und genießt – entgegen der Ansicht der Datenschutzaufsichtsbehörden – Anwendungsvorrang vor der DSGVO.
- Auch in Deutschland gilt nun, was der nationale Gesetzgeber nie umsetzen wollte: Das Setzen und Auslesen von Cookies und die Nutzung aller vergleichbarer Technologien bedarf einer Einwilligungserklärung.
- Die Anforderungen an die Einwilligungserklärung sind sehr hoch.
- Die Abmahnung eines entsprechenden Verstoßes ist zumindest für Verbraucherschutzverbände ohne weiteres möglich (obwohl die Möglichkeit der Abmahnung von DSGVO-Verstößen umstritten ist).
- Ob § 15 Abs. 3 TMG auch als „Erlaubnistatbestand“ im Sinne der DSGVO herangezogen werden kann, lässt sich ohne die Entscheidungsgründe nicht sicher beantworten.
Der Sachverhalt in Kürze
Als Sachverhalt lag der Entscheidung eine Konstellation zugrunde, die so in der Praxis selten vorkommt: Mit einer separaten Checkbox wurde um Zustimmung zur Nutzung eines einzelnen Remarketing-Tools (Remintrex) und zur Speicherung entsprechender Cookies gebeten. Ein Verstoß gegen § 15 Abs. 3 TMG lag nur deshalb vor, weil die Checkbox vorangekreuzt war. Für weitere Details zum Sachverhalt verweisen wir auf unser vorangegangenes Update zum EuGH-Urteil in dieser Sache.
Wiederauferstehung von § 15 Abs. 3 TMG
§ 15 Abs. 3 TMG war lange Zeit die wichtigste Rechtsgrundlage für Onlinemarketing in Deutschland. Nach dem Wortlaut von § 15 Abs. 3 TMG war Tracking auf Basis pseudonymer Daten (wie z.B. Cookie-IDs) zu Analyse- und Marketingzwecken erlaubt, solange eine Opt-Out-Möglichkeit gewährt wurde.
Nachdem die DSGVO in Kraft trat, wurden die Datenschutzaufsichtsbehörden nicht müde zu betonen, dass die datenschutzrechtlichen Normen des TMG keine Anwendung mehr fänden (siehe z.B. S. 2 der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien). Die Argumentation der Behörden lief darauf hinaus, dass für sämtliche Drittanbietertools von Google Analytics bis hin zu komplexen Werbenetzwerken regelmäßig Einwilligungserklärungen erforderlich sein sollten.
EuGH und BGH erteilten dem wiederum eine Absage: Der deutsche Gesetzgeber habe in § 15 Abs. 3 TMG die so genannte Cookie-Richtlinie als Teil der RL 2002/58/EG umgesetzt. Sämtliche Umsetzungen der RL 2002/58 gehen gemäß Art. 95 DSGVO den Regeln der DSGVO vor. § 15 Abs. 3 TMG genießt somit Anwendungsvorrang vor den Regeln der DSGVO und ist damit weiterhin bestehendes und anzuwendendes Recht.
Einwilligungserklärung erforderlich – aber wofür genau?
Obwohl der Wortlaut von § 15 Abs. 3 TMG keine Einwilligungserklärung verlangt, haben EuGH und BGH entschieden, dass nach richtlinienkonformer Auslegung ein Einwilligungserfordernis in § 15 Abs. 3 TMG hineinzulesen ist.
Der deutsche Gesetzgeber hatte die Cookie-Richtlinie nie aktiv umgesetzt, weshalb in Deutschland lange Zeit unklar war, ob eine solche Zustimmung erforderlich ist. Nun ist nach dem BGH-Urteil eindeutig klargestellt: Wer Cookies oder ähnliche Technologien einsetzen will, benötigt hierfür eine Einwilligungserklärung.
Unklar ist im Übrigen, ob eine Einwilligungserklärung auch für die anschließende Datenverarbeitung oder zu Analysezwecken nach § 15 Abs. 3 TMG erforderlich ist. Die richtlinienkonforme Auslegung der Cookie-Richtlinie zwingt nur zur Einholung einer Einwilligungserklärung für die Nutzung von Cookies (oder einer vergleichbaren Technologie) als den „Ankerpunkt“ des Trackings. Die Zustimmung muss sich also nur darauf beziehen, dass Daten aus dem Endgerät eines Nutzers herausgelesen oder auf diesem gespeichert werden. Der Wortlaut von § 15 Abs. 3 TMG gestattet im Übrigen die Verwendung der so gewonnenen Daten zu Werbezwecken, ohne dass es hierfür einer Einwilligungserklärung bedarf. Näheres hierzu wird man erst mit Sicherheit sagen können, wenn die Entscheidungsgründe des BGH vorliegen.
Hohe Anforderungen an Einwilligungserklärungen für Cookies
In der bislang vorliegenden Presseerklärung wird angedeutet, dass der BGH die gleichen Maßstäbe für Einwilligungen in Cookies ansetzt, die in der bisherigen Rechtsprechung zu § 7 UWG Anwendung fanden. In beiden Fällen zog der BGH letztlich die Kriterien der Einwilligung aus der alten Datenschutzrichtlinie (RL 95/46/EG) heran. Dies entspricht auch dem vorangegangenen EuGH-Urteil. Die Zustimmung zum Auslesen von Daten aus einem Endgerät muss also „in Kenntnis der Sachlage“, „für einen bestimmten Fall“ und „freiwillig“ erfolgen. Viele Cookie-Banner müssen nun daraufhin überprüft werden, ob diese Anforderungen eingehalten werden.
IAB TCF keine „Pauschallösung“ in der Praxis
Auch in der deutschen Praxis haben immer mehr Unternehmen eine komplexe Einwilligungslösung in Form einer „Consent Management Plattform“ (CMP) gewählt. Hierbei wird vor allem auf CMPs zurückgegriffen, die sich nach den Regeln des „Transparency & Consent Frameworks“ (TCF) des Interactive Advertising Bureau (IAB), einem Branchenverband der Onlinemarketingindustrie, zertifiziert haben (siehe iabeurope.eu/tcf-2-0/). Die Vorgaben des IAB TCF haben das Gesamtniveau der Einwilligungsmechanismen und der zur Verfügung gestellten Informationen sicherlich insgesamt deutlich erhöht. Dennoch ist auch hier Vorsicht geboten: Die unterschiedlichen CMP-Anbieter setzen das IAB TCF in sehr vielfältiger Art und Weise um. Einige CMPs sind deutlich transparenter und nutzerfreundlicher, während andere deutlicher darauf hinwirken, dass der Nutzer eine umfassende Einwilligungserklärung abgibt. Einige konzentrieren sich nur auf Cookies, während andere auf eine vollständige DSGVO-Compliance abzielen. Das IAB TCF kann zudem als internationales Regelwerk keine nationalen Erlaubnistatbestände berücksichtigen: § 15 Abs. 3 TMG kommt daher im Kosmos des IAB TCF nicht vor. Unternehmen müssen ihre Einwilligungstechnologie im Lichte des BGH-Urteils nun deutlich sorgfältiger auswählen.
Abmahnung durch die Hintertür des UKlaG
Aktuell wird umfassend um die Abmahnfähigkeit von DSGVO-Verstößen gestritten; verschiedene Gerichte kommen hier zu unterschiedlichen Ergebnissen. Für die Nutzung von Cookies und ähnlichen Technologien wird die mit neuen Argumenten und einigen Urteilen vorangebrachte Diskussion nun wieder auf den Stand von vor Mai 2018 versetzt. Denn der Anknüpfungspunkt für eine Abmahnung durch Wettbewerber ist nicht länger ein (möglicherweise) geschlossenes System von Sanktionen aus der DSGVO, sondern § 15 Abs. 3 TMG als „Marktverhaltensregel“ i.S.v. § 3a UWG.
Für Verbände bestätigt der BGH die Möglichkeit der Abmahnung über das UKlagG, da er vorformulierte Einwilligungserklärungen – wie bereits in vielen Urteilen – letztlich als AGB einstuft. Neu ist hierbei nur die Anwendung auf die vorformulierte Zustimmung zur Nutzung von Cookies. Ansatzpunkt für eine Abmahnung ist in diesem Fall der Verstoß gegen AGB-Recht, insbesondere gegen das Verbot einer unangemessenen Benachteiligung, die in einer Abweichung vom gesetzlichen Leitbild aus § 15 Abs. 3 TMG besteht (siehe § 307 Abs. 2 Nr. 1 BGB).
Kein DSGVO-Bußgeld für Verstoß gegen „Planet49-Grundsätze“?
Fraglich ist nach dem Urteil weiterhin, wie eine Sanktion gegen das widerrechtliche Setzen eines Cookies jenseits einer Abmahnung aussehen könnte. Sind Bußgelder von bis zu EUR 50.000 gemäß § 16 TMG möglich (vermutlich nicht, weil der entsprechende Verstoß dort nicht explizit genannt wird)? Ist für eine Verwendung der Daten entgegen der DSGVO ein Bußgeld möglich oder „überschreibt“ § 15 Abs. 3 TMG und das Sanktionssystem des TMG auch die Erlaubnistatbestände der DSGVO und lässt demnach kein Millionenbußgeld nach Art. 83 DSGVO zu? Es ist leider noch zu früh um diese Fragen intensiv zu diskutieren; hierzu müssen die Urteilsgründe abgewartet werden.
Fazit
Die Aufmerksamkeit auf Cookie-Banner war in Deutschland noch nie so groß wie sie in den nächsten Tagen und Wochen sein wird. Jedes Unternehmen sollte für jede Webseite und jede App prüfen, ob die Anforderungen eingehalten werden. Auch wenn eine nach IAB TCF zertifizierte CMP eingesetzt wird, muss eine solche Prüfung erfolgen, um etwaigen Haftungsproblemen zu entgehen.