Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 76 | 29.05.2020


Der BGH stellt klar: Nicht notwendige Cookies nur mit Einwilligungserklärung!
Dr. Lutz Martin Keppeler


Am 28. Mai 2020 wurde in der Rechtssache Planet49 das Urteil nach langem Rechtsstreit verkündet (wir haben bereits ausführlich über die Vorinstanzen inklusive EuGH-Urteil berichtet). Das BGH-Urteil enthält eine Vielzahl wichtiger Aussagen, die erst vollständig analysiert werden können, wenn die Entscheidungsgründe vorliegen. Schon jetzt lässt sich jedoch Folgendes sagen:
  • § 15 Abs. 3 TMG ist noch geltendes Recht und genießt – entgegen der Ansicht der Datenschutzaufsichtsbehörden – Anwendungsvorrang vor der DSGVO.
  • Auch in Deutschland gilt nun, was der nationale Gesetzgeber nie umsetzen wollte: Das Setzen und Auslesen von Cookies und die Nutzung aller vergleichbarer Technologien bedarf einer Einwilligungserklärung.
  • Die Anforderungen an die Einwilligungserklärung sind sehr hoch.
  • Die Abmahnung eines entsprechenden Verstoßes ist zumindest für Verbraucherschutzverbände ohne weiteres möglich (obwohl die Möglichkeit der Abmahnung von DSGVO-Verstößen umstritten ist).
  • Ob § 15 Abs. 3 TMG auch als „Erlaubnistatbestand“ im Sinne der DSGVO herangezogen werden kann, lässt sich ohne die Entscheidungsgründe nicht sicher beantworten.
Der Sachverhalt in Kürze

Als Sachverhalt lag der Entscheidung eine Konstellation zugrunde, die so in der Praxis selten vorkommt: Mit einer separaten Checkbox wurde um Zustimmung zur Nutzung eines einzelnen Remarketing-Tools (Remintrex) und zur Speicherung entsprechender Cookies gebeten. Ein Verstoß gegen § 15 Abs. 3 TMG lag nur deshalb vor, weil die Checkbox vorangekreuzt war. Für weitere Details zum Sachverhalt verweisen wir auf unser vorangegangenes Update zum EuGH-Urteil in dieser Sache.

Wiederauferstehung von § 15 Abs. 3 TMG

§ 15 Abs. 3 TMG war lange Zeit die wichtigste Rechtsgrundlage für Onlinemarketing in Deutschland. Nach dem Wortlaut von § 15 Abs. 3 TMG war Tracking auf Basis pseudonymer Daten (wie z.B. Cookie-IDs) zu Analyse- und Marketingzwecken erlaubt, solange eine Opt-Out-Möglichkeit gewährt wurde.

Nachdem die DSGVO in Kraft trat, wurden die Datenschutzaufsichtsbehörden nicht müde zu betonen, dass die datenschutzrechtlichen Normen des TMG keine Anwendung mehr fänden (siehe z.B. S. 2 der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien). Die Argumentation der Behörden lief darauf hinaus, dass für sämtliche Drittanbietertools von Google Analytics bis hin zu komplexen Werbenetzwerken regelmäßig Einwilligungserklärungen erforderlich sein sollten.

EuGH und BGH erteilten dem wiederum eine Absage: Der deutsche Gesetzgeber habe in § 15 Abs. 3 TMG die so genannte Cookie-Richtlinie als Teil der RL 2002/58/EG umgesetzt. Sämtliche Umsetzungen der RL 2002/58 gehen gemäß Art. 95 DSGVO den Regeln der DSGVO vor. § 15 Abs. 3 TMG genießt somit Anwendungsvorrang vor den Regeln der DSGVO und ist damit weiterhin bestehendes und anzuwendendes Recht.

Einwilligungserklärung erforderlich – aber wofür genau?

Obwohl der Wortlaut von § 15 Abs. 3 TMG keine Einwilligungserklärung verlangt, haben EuGH und BGH entschieden, dass nach richtlinienkonformer Auslegung ein Einwilligungserfordernis in § 15 Abs. 3 TMG hineinzulesen ist.

Der deutsche Gesetzgeber hatte die Cookie-Richtlinie nie aktiv umgesetzt, weshalb in Deutschland lange Zeit unklar war, ob eine solche Zustimmung erforderlich ist. Nun ist nach dem BGH-Urteil eindeutig klargestellt: Wer Cookies oder ähnliche Technologien einsetzen will, benötigt hierfür eine Einwilligungserklärung.

Unklar ist im Übrigen, ob eine Einwilligungserklärung auch für die anschließende Datenverarbeitung oder zu Analysezwecken nach § 15 Abs. 3 TMG erforderlich ist. Die richtlinienkonforme Auslegung der Cookie-Richtlinie zwingt nur zur Einholung einer Einwilligungserklärung für die Nutzung von Cookies (oder einer vergleichbaren Technologie) als den „Ankerpunkt“ des Trackings. Die Zustimmung muss sich also nur darauf beziehen, dass Daten aus dem Endgerät eines Nutzers herausgelesen oder auf diesem gespeichert werden. Der Wortlaut von § 15 Abs. 3 TMG gestattet im Übrigen die Verwendung der so gewonnenen Daten zu Werbezwecken, ohne dass es hierfür einer Einwilligungserklärung bedarf. Näheres hierzu wird man erst mit Sicherheit sagen können, wenn die Entscheidungsgründe des BGH vorliegen.

Hohe Anforderungen an Einwilligungserklärungen für Cookies

In der bislang vorliegenden Presseerklärung wird angedeutet, dass der BGH die gleichen Maßstäbe für Einwilligungen in Cookies ansetzt, die in der bisherigen Rechtsprechung zu § 7 UWG Anwendung fanden. In beiden Fällen zog der BGH letztlich die Kriterien der Einwilligung aus der alten Datenschutzrichtlinie (RL 95/46/EG) heran. Dies entspricht auch dem vorangegangenen EuGH-Urteil. Die Zustimmung zum Auslesen von Daten aus einem Endgerät muss also „in Kenntnis der Sachlage“, „für einen bestimmten Fall“ und „freiwillig“ erfolgen. Viele Cookie-Banner müssen nun daraufhin überprüft werden, ob diese Anforderungen eingehalten werden.

IAB TCF keine „Pauschallösung“ in der Praxis

Auch in der deutschen Praxis haben immer mehr Unternehmen eine komplexe Einwilligungslösung in Form einer „Consent Management Plattform“ (CMP) gewählt. Hierbei wird vor allem auf CMPs zurückgegriffen, die sich nach den Regeln des „Transparency & Consent Frameworks“ (TCF) des Interactive Advertising Bureau (IAB), einem Branchenverband der Onlinemarketingindustrie, zertifiziert haben (siehe iabeurope.eu/tcf-2-0/). Die Vorgaben des IAB TCF haben das Gesamtniveau der Einwilligungsmechanismen und der zur Verfügung gestellten Informationen sicherlich insgesamt deutlich erhöht. Dennoch ist auch hier Vorsicht geboten: Die unterschiedlichen CMP-Anbieter setzen das IAB TCF in sehr vielfältiger Art und Weise um. Einige CMPs sind deutlich transparenter und nutzerfreundlicher, während andere deutlicher darauf hinwirken, dass der Nutzer eine umfassende Einwilligungserklärung abgibt. Einige konzentrieren sich nur auf Cookies, während andere auf eine vollständige DSGVO-Compliance abzielen. Das IAB TCF kann zudem als internationales Regelwerk keine nationalen Erlaubnistatbestände berücksichtigen: § 15 Abs. 3 TMG kommt daher im Kosmos des IAB TCF nicht vor. Unternehmen müssen ihre Einwilligungstechnologie im Lichte des BGH-Urteils nun deutlich sorgfältiger auswählen.

Abmahnung durch die Hintertür des UKlaG

Aktuell wird umfassend um die Abmahnfähigkeit von DSGVO-Verstößen gestritten; verschiedene Gerichte kommen hier zu unterschiedlichen Ergebnissen. Für die Nutzung von Cookies und ähnlichen Technologien wird die mit neuen Argumenten und einigen Urteilen vorangebrachte Diskussion nun wieder auf den Stand von vor Mai 2018 versetzt. Denn der Anknüpfungspunkt für eine Abmahnung durch Wettbewerber ist nicht länger ein (möglicherweise) geschlossenes System von Sanktionen aus der DSGVO, sondern § 15 Abs. 3 TMG als „Marktverhaltensregel“ i.S.v. § 3a UWG.

Für Verbände bestätigt der BGH die Möglichkeit der Abmahnung über das UKlagG, da er vorformulierte Einwilligungserklärungen – wie bereits in vielen Urteilen – letztlich als AGB einstuft. Neu ist hierbei nur die Anwendung auf die vorformulierte Zustimmung zur Nutzung von Cookies. Ansatzpunkt für eine Abmahnung ist in diesem Fall der Verstoß gegen AGB-Recht, insbesondere gegen das Verbot einer unangemessenen Benachteiligung, die in einer Abweichung vom gesetzlichen Leitbild aus § 15 Abs. 3 TMG besteht (siehe § 307 Abs. 2 Nr. 1 BGB).

Kein DSGVO-Bußgeld für Verstoß gegen „Planet49-Grundsätze“?

Fraglich ist nach dem Urteil weiterhin, wie eine Sanktion gegen das widerrechtliche Setzen eines Cookies jenseits einer Abmahnung aussehen könnte. Sind Bußgelder von bis zu EUR 50.000 gemäß § 16 TMG möglich (vermutlich nicht, weil der entsprechende Verstoß dort nicht explizit genannt wird)? Ist für eine Verwendung der Daten entgegen der DSGVO ein Bußgeld möglich oder „überschreibt“ § 15 Abs. 3 TMG und das Sanktionssystem des TMG auch die Erlaubnistatbestände der DSGVO und lässt demnach kein Millionenbußgeld nach Art. 83 DSGVO zu? Es ist leider noch zu früh um diese Fragen intensiv zu diskutieren; hierzu müssen die Urteilsgründe abgewartet werden.

Fazit

Die Aufmerksamkeit auf Cookie-Banner war in Deutschland noch nie so groß wie sie in den nächsten Tagen und Wochen sein wird. Jedes Unternehmen sollte für jede Webseite und jede App prüfen, ob die Anforderungen eingehalten werden. Auch wenn eine nach IAB TCF zertifizierte CMP eingesetzt wird, muss eine solche Prüfung erfolgen, um etwaigen Haftungsproblemen zu entgehen.

Autor


Dr. Lutz Martin Keppeler ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf







Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2020 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de