Zum Inhalt

BGH: Vorangekreuzte Cookie-Einwilligung unzulässig

Nach Klage des deutschen Bundesverbands der Verbraucherzentralen (VZBV) urteilte der deutsche Bundesgerichtshof (BGH), dass voreingestellte Ankreuzkästchen keine zulässige Einwilligung in die Verwendung von Cookies darstellen.

Die Beklagte Planet49 GmbH veranstaltete im September 2013 auf Ihrer Webseite ein Gewinnspiel.

Im Zuge der Teilnahme wurden Verbraucher gefragt, ob sie damit einverstanden sind, Werbung von Sponsoren und Kooperationspartnern per Post, Telefon, E-Mail oder SMS zu erhalten und dass der Webanalysedienst Remintrex Cookies auf die Endgeräte der Nutzer setzt, welche eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartner und damit interessengerichtete Werbung durch Remintrex ermöglicht. Sowohl für den Erhalt von Werbung als auch der Verwendung von Cookies war ein gesondertes Ankreuzkästchen vorgesehen. Die Worte "Sponsoren und Kooperationspartner" führten zu einer Liste mit 57 Unternehmen, denen der Verbraucher einzeln das Werbeeinverständnis entziehen konnte. Wurden jedoch zu viele Unternehmen abgewählt, konnte Planet49 nach freiem Ermessen bis zu 30 Unternehmen auswählen.

Das erste Ankreuzfeld zur Zusendung von Werbung war nicht mit einem voreingestellten Häkchen versehen. Das zweite Ankreuzfeld zur Verwendung von Cookies allerdings schon.

Der deutsche BGH hatte dem Europäischen Gerichtshof (EuGH) verschiedene Frage zur Auslegung vorgelegt, ua ob ein voreingestelltes Ankreuzkästchen eine wirksame Einwilligung gemäß Art 5 Abs 3 iVm Art 2 lit f der ePrivacy-RichtlinieL (RL 2002/58/EG idF RL 2009/136) für die Platzierung von Cookies darstellt.

Dies hat der EuGH verneint. Vorangekreuzte Einwilligungen (Opt-Out) stellen folglich keine rechtskonforme Zustimmung dar.

Die deutsche Umsetzungsbestimmung von Art 5 Abs 3 ePrivacy-Richtlinie in § 15 Abs 3 dTMG (Telemediengesetz) sieht vor, dass Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen dürfen, sofern der Nutzer dem nicht widerspricht. Das Gesetz selbst erachtete der deutsche BGH als richtlinienkonform. Die Beklagte verwendete hier jedoch ein vorangekreuztes Zustimmungsfeld. Dieses beurteilte der BGH als einen Verstoß gegen § 15 Abs 3 dTMG und demnach für rechtswidrig. Die Verwendung von Cookies war folglich unzulässig.

Weiters befand der BGH die Einwilligung in den Erhalt von Werbung für unzulässig, weil diese darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Dies stellt laut BGH keine rechtskonforme Einwilligung "für den konkreten Fall" gemäß Art 2 lit h der damals geltenden Dateschutz-Richtlinie (RL 95/46/EG) dar. Darüber hinaus betont der BGH, dass diese Praxis ebenfalls nach der nun geltenden Rechtslage unzulässig ist und keine "für den bestimmten Fall" konforme Einwilligung im Sinne von Art 4 Z 11 DSGVO darstellt.

Zusammengefasst zeigt sich, dass auch der deutsche BGH einen strengen Maßstab an die datenschutzrechtliche Einwilligung stellt. Vorangekreuzte Zustimmungen bzw aufwendige Abwählprozedere betrachtet dieser für unzulässig.

BGH (deutscher Bundesgerichtshof) 28.5.2020, I ZR 7/16

Anmerkung:
Die Verwendung von Cookies ist in Österreich in § 96 Abs 3 TKG geregelt. Entgegen Art 5 Abs 3 der Richtlinie 2002/58/EG, sieht die österreichische Umsetzungsbestimmung eine Einschränkung auf personenbezogene Daten vor. Dies sollte Webseitenbetreiber jedoch nicht dazu veranlassen, bei Verwendung von Cookie-Diensten mittels (teil-)anonymisierten IP-Adressen auf eine rechtskonforme Einwilligung zu verzichten. Wie im gegenständlichen Fall ist in einem Cookie üblicherweise eine zufallsgenerierte, aber eindeutige Kennung (ID) gespeichert. Diese Kennung beurteilt der deutsche Bundesgerichtshof nun als Pseudonym im Sinne des deutschen § 15 Abs 3 dTMG. Dies indiziert auch ErwGr 30 der DSGVO. Dieser Schluss liegt folglich auch in Österreich nahe. Pseudonymisierte Daten stellen eine Unterkategorie von personenbezogenen Daten dar. Folglich fordert die Verwendung von Cookies - trotz der eingeschränkten Anwendung auf personenbezogene Daten in § 96 Abs 3 TKG - eine verpflichtende rechtskonforme Einwilligung. Voreingestellte Ankreuzkästchen sind somit auch in Österreich unzulässig.

Das Urteil im Volltext.

Lesen Sie mehr:

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

unterstützt durch das

Sozialministerium
Zum Seitenanfang