Wir benutzen Cookies, um die Benutzererfahrung dieser Website zu verbessern“ – Wer kennt sie nicht, die allgegenwärtigen Banner und Pop-ups, die routinemäßig bei fast jedem Besuch einer Website weggeklickt werden müssen? Hinter diesen sogenannten Cookiebannern verbirgt sich eine Geschichte jahrelanger juristischer Diskussionen, die Ende Mai mit einer Entscheidung des Bundesgerichtshofs (BGH, Urteil vom 28.05.2020 – I ZR 7/16) ihren vorläufigen Höhepunkt, keineswegs aber ein Ende gefunden haben.
Was sind Cookies?
„Cookies“ sind eine Technologie, die beinahe so alt ist wie das World Wide Web. Sie ermöglichen es, dass eine Website ein Endgerät wiedererkennen kann. Stellt der Nutzer beispielsweise die Sprache einer Website von Englisch auf Deutsch um, muss sich die Website diese Einstellung merken und dem Endgerät zuordnen, um beim nächsten Besuch die richtige Sprache anzuzeigen. Dazu weist die Website den Internetbrowser des Endgeräts an, die Spracheinstellung in einer kleinen Textdatei auf dem Gerät abzulegen – und diese beim nächsten Besuch der Website wieder zu übermitteln.
Für zahllose Onlineanwendungen sind Cookies essentiell – vom Login beim Onlinebanking bis zur Warenkorbfunktion eines Onlineshops. Sie können aber auch genutzt werden, um umfassende Profile über das Surfverhalten von Personen zu erstellen, indem jeder Besuch einer Internetseite mittels Cookies dem entsprechenden Endgerät zugeordnet werden kann (sogenanntes „Tracking“).
Regelungen in Deutschland und Europa
Bereits im Jahr 2009 beschloss das Europäische Parlament daher, mit einer Neufassung der E-Privacy-Richtlinie 2002/22/EG Cookies den Kampf anzusagen. Nach Art. 5 Abs. 3 der neuen E-Privacy-Richtlinie ist für Websites das Lesen oder Schreiben von Informationen, also auch der Gebrauch von Cookies, auf dem Endgerät eines Nutzers nur mit vorheriger Einwilligung zulässig – es sei denn, diese sind „unbedingt erforderlich“, damit Nutzer den von ihnen abgerufenen Dienst in Anspruch nehmen können. Im Mai 2011 hätte die Bundesrepublik Deutschland die Richtlinie umsetzen müssen. Es geschah jedoch: nichts.
Erst im Jahr 2014 teilte die Bundesregierung auf Anfrage mit, sie sehe keinen Änderungsbedarf im deutschen Recht. Denn die Anforderung der E-Privacy-Richtlinie sei bereits in den datenschutzrechtlichen Regelungen des Telemediengesetzes (TMG) umgesetzt. Überraschend schloss sich die Europäische Kommission dieser Ansicht auf Anfrage an. Indes war im TMG von einer entsprechenden Regelung keine Spur. Im Gegenteil regelt § 15 Abs. 3 TMG, bis heute, dass Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung ihres Dienstes pseudonyme Nutzungsprofile erstellen dürfen, sofern der Nutzer dem nicht widerspricht. Da die Bundesregierung in diesen Regelungen eine Umsetzung der E-Privacy-Richtlinie sah, war die Verwirrung perfekt. Denn ausgerechnet für Werbecookies besteht nach dem Gesetzeswortlaut gerade keine Pflicht zur Einwilligung, sondern es genügt ein bloßes Widerspruchsrecht.
Die Entscheidung des BGH
Dementsprechend wurde mit Spannung erwartet, wie der BGH diesen Widerspruch in seiner nun ergangenen Entscheidung auflösen würde. Der Fall betraf den Anbieter eines Gewinnspieldienstes. Dieser hatte sich von Gewinnspielteilnehmern eine Einwilligung für den Gebrauch von Cookies eingeholt und hierfür ein vorausgefülltes Auswahlkästchen verwendet. Teilnehmer stimmten dem Gebrauch von Cookies also mit Teilnahme an dem Gewinnspiel zu, es sei denn, sie deaktivierten das Auswahlfeld.
Die Frage, ob eine solche Einwilligung wirksam ist, hatte der BGH bereits im Jahr 2017 dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt. Dieser entschied, dass eine Einwilligung nach Art. 5 Abs. 3 der E-Privacy-Richtlinie einer aktiven bestätigenden Handlung bedürfe (EuGH, Urt. v. 01.01.2019 – C-673/17). Ein vorausgefülltes Auswahlfeld, das standardmäßig zur Erteilung einer Einwilligung führe, genüge dafür nicht. Ob nach deutschem Recht überhaupt eine Einwilligung erforderlich ist und wie Art. 5 Abs. 3 E-Privacy-Richtlinie überhaupt in Deutschland umgesetzt ist, hatte der EuGH jedoch nicht zu entscheiden.
Diese Lücke füllte der BGH nun mit seiner Entscheidung „Cookies II“ Ende Mai. Dabei fand sich der BGH zunächst mit der Behauptung ab, dass Art. 5 Abs. 3 E-Privacy-Richtlinie ihren Niederschlag im Telemediengesetz gefunden habe. Den offensichtlichen Widerspruch, dass Art. 5 Abs. 3 E-Privacy-Richtlinie eine Einwilligung fordert, § 15 Abs. 3 TMG aber gerade ein Widerspruchsrecht für ausreichend erachtet, löste der BGH durch eine akrobatische, richtlinienkonforme Auslegung auf:
Danach ist § 15 Abs. 3 TMG dahingehend auszulegen, dass im Fehlen einer wirksamen Einwilligung des Nutzers ein Widerspruch gegen die Verarbeitung zu sehen sei. Da weder der Gesetzgeber noch die Europäische Kommission Handlungsbedarf bei der Umsetzung der E-Privacy-Richtlinie gesehen hätten, müsse § 15 Abs. 3 TMG also so ausgelegt werden, dass eine nicht erteilte Einwilligung wie ein Widerspruch zu behandeln ist. Dass diese Auslegung gewagt ist, erkennt auch der BGH, betont aber, sie sei „noch“ mit dem Wortlaut vereinbar.
Auswirkungen für die Praxis
Für die Praxis hat die Entscheidung weitreichende Folgen. Denn sie stellt klar, dass auch unter deutscher Rechtslage für alle Cookies eine Einwilligung erforderlich ist, die nicht „unbedingt erforderlich“ sind, um den vom Nutzer angefragten Dienst zur Verfügung zu stellen.
Zugleich ist damit die nächste Diskussion eingeläutet: Welche Cookies sind „unbedingt erforderlich“? In dieser Frage besteht derzeit auch der hauptsächliche Argumentationsspielraum für Anbieter von Onlinediensten. Denn klare Anhaltspunkte liefert das Gesetz hierfür nicht. Gleichzeitig erwarten Nutzer auch in zunehmendem Maße eine gewisse „Intelligenz“ und Personalisierung moderner Onlineanwendungen. Die richtige Einordnung von Cookies wird also in Zukunft eine neue Herausforderung darstellen.
Auch das Verhältnis zwischen der E-Privacy-Richtlinie und der Datenschutz-Grundverordnung (DSGVO) führt weiterhin zu Diskussionen. So stellt sich insbesondere die Frage, ob ein Verstoß gegen § 15 Abs. 3 TMG zugleich auch einen Verstoß gegen die DSGVO darstellt oder ob die E-Privacy-Richtlinie die DSGVO verdrängt, wie die Kollisionsnorm des Art. 95 DSGVO nahelegt. Praktisch ist diese Frage durchaus essentiell: Während die DSGVO exorbitante Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens androht, begnügt sich das Telemediengesetz mit einer vergleichsweise moderaten Androhung von bis zu 50.000 Euro pro Verstoß.
Ausblick
Der BGH hat also an zentraler Stelle für mehr Rechtssicherheit gesorgt und Gewissheit geschaffen, dass auch deutsche Anbieter von Onlinediensten von einer Einwilligungspflicht für nicht unbedingt erforderliche Cookies ausgehen müssen. Im Detail sind jedoch noch zahlreiche Fragen offen. Zugleich arbeitet die Europäische Kommission schon seit Jahren an der kleinen Schwester der Datenschutzgrundverordnung (DSGVO): Die E-Privacy-Verordnung hätte längst die E-Privacy-Richtlinie ablösen sollen. Immer wieder gab es hierfür neue Vorschläge – keiner davon war bisher mehrheitsfähig. Angesichts der vielen offenen Fragen dürfte es jedoch nur eine Frage der Zeit sein, bis sich die Mitgliedsstaaten auf eine Neuregelung einigen.
Das letzte Wort in der kontroversen Geschichte der Cookiebanner ist also noch lange nicht gesprochen.
Adrian.schneider@osborneclarke.com
