EuGH: Opt-Out-Lösung bei Cookies nicht ausreichend

24.12.2019

Eine voreingestellte Zustimmung zur Verwendung von Cookies auf Internetseiten ist unwirksam. Nutzer müssen vielmehr aktiv und in Kenntnis der Sachlage zur Verwendung persönlicher Daten einwilligen.

Dies entschied der Europäische Gerichtshof (EuGH) auf Vorlage des deutschen Bundesgerichtshofs (BGH) am 01. Oktober 2019 (Urteil C‑673/17, Volltext hier).

Von unserem deutschsprachigen CBBL-Anwalt in Brüssel, Herrn Rechtsanwalt und Advocaat Prof. Dr. Robin van der Hout, LL.M., vanderhout@cbbl-lawyers.de, Tel. +32 - 2 - 234 11 60, www.kapellmann.de

Hintergrund der Entscheidung

Im Ausgangsverfahren hatte der Verbraucherzentrale Bundesverband e.V. gegen den Betreiber einer Gewinnspiel-Website namens „www.dein-macbook.de“ Klage erhoben. Wer an dem Gewinnspiel teilnehmen wollte, musste zuvor Name und Adresse angeben und außerdem einwilligen, unter dieser Adresse von Werbepartnern der Website kontaktiert werden zu dürfen.

Knackpunkt des Falles war jedoch, dass ein weiteres Kästchen bereits per Voreinstellung angewählt war, wonach der Nutzer sein Einverständnis zur Verwendung von Webseite-übergreifenden Cookies erklärte. Diese würden daraufhin, mit Name und Adresse verknüpft, das Verhalten des Nutzers auf Partnerseiten zu Werbezwecken aufzeichnen.

Gegen letztere Praxis wandte sich nun der Bundesverband per Unterlassungsklage zuletzt auch vor dem BGH, der die entscheidende Fragestellung dem EuGH vorlegte: Können Nutzer auf die beschriebene Weise wirksam in die Verarbeitung ihrer Daten einwilligen?

Offen war zunächst, ob dabei der Maßstab der alten EG-Datenschutzrichtlinie von 1995 oder jener der neuen Datenschutz-Grundverordnung (DSGVO) auf den Sachverhalt Anwendung fände. Wie der EuGH feststellte, kam es hierauf jedoch letztendlich nicht an – kam er doch nach beiden Vorschriften zum selben Ergebnis.

Die Auslegung durch den EuGH

Nach Art. 5 Abs. 3 der weiterhin geltenden sog. ePrivacy-Richtlinie 2002/58 muss der Nutzer zur Speicherung und zum Abruf von Cookies, die auf seinem Endgerät gespeichert wurden, „seine Einwilligung geben“. Dieser Wortlaut suggeriert nach dem EuGH bereits ein aktives Tun, und sei auch bewusst so gewählt worden.

Bei der Auslegung des Begriffes der „Einwilligung“ ergibt sich indes eine „Weggabelung“: Hier verweist die Richtlinie 2002/58 auf die überholte Datenschutzrichtlinie 95/46. Heute wäre stattdessen die insofern strengere Datenschutz-Grundverordnung heranzuziehen.

Schon aus der alten Richtlinie ergibt sich nach dem EuGH jedoch das Erfordernis einer aktiven Zustimmung: Deren Art. 2 Buchst. f setzt nämlich zur wirksamen Einwilligung die Abgabe einer Willensbekundung voraus, „die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Durch die Voreinstellung des Ankreuz-Kästchens könne aber unmöglich sichergestellt werden, dass der Nutzer dies auch zur Kenntnis genommen hat und sich über die Sachlage im Klaren gewesen ist. Eine wirksame Einwilligung könne damit nicht angenommen werden.

Nach Ansicht des EuGHs muss dies erst recht bei Anwendung der DSGVO gelten. Diese verlangt explizit eine Willenserklärung des Nutzers, oder eine Zustimmung in Form „einer sonstigen eindeutigen bestätigenden Handlung“ (Art. 6 Abs. 1 Buchst. a DSGVO).

Demzufolge kann und konnte eine sogenannte Opt-Out-Lösung sowohl vor als auch nach dem Inkrafttreten der DSGVO nach geltendem europäischem Datenschutzrecht keine Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten darstellen.

Verwirrung um deutsche Gesetzeslage

Während also Art. 5 Abs. 3 der ePrivacy-Richtlinie ein Zustimmungserfordernis zur Verwendung und Auswertung von Cookies beinhaltet, sieht in Abweichung hiervon dessen deutsches Pendant, § 15 Abs. 3 Telemediengesetz (TMG), lediglich eine Widerspruchslösung vor („sofern der Nutzer dem nicht widerspricht“). Berichte sowohl der Kommission von 2015 als auch der Datenschutzkonferenz vom März 2019 konstatierten daher, dass die Richtlinie insofern in Deutschland nicht umgesetzt worden sei. Die Bundesregierung hatte demgegenüber bislang die Auffassung vertreten, Artikel 12 und 15 TMG würden den Anforderungen der Richtlinie genügen.

Das Urteil vom 01. Oktober 2019 wirft nun die Frage auf, ob das nach dessen Maßgabe gebotene Ergebnis – das aktive Zustimmungserfordernis – durch richtlinienkonforme Auslegung des § 15 Abs. 3 TMG zu erreichen ist. Hiervon scheint der BGH auszugehen, wie aus dessen Vorlagebeschluss hervorgeht.

Geht man demgegenüber mit der Datenschutzkonferenz davon aus, dass der Widerspruch zwischen §15 Abs. 3 TMG und Art. 5 Abs. 3 der ePrivacy-Richtlinie nicht durch Auslegung aufzulösen ist, folgt hieraus die Unanwendbarkeit der deutschen Norm. An ihre Stelle träte dann Art. 6 Abs. 1 DSGVO. Die DSGVO bedarf als Verordnung nach Art. 288 Abs. 2 S. 2 AEUV zu ihrer Geltung nicht der Umsetzung durch die Mitgliedstaaten, sondern ist unmittelbar anzuwenden. Auch sie erfordert, wie oben dargelegt, eine aktive Zustimmung der Nutzer.

So oder so können sich deutsche Anbieter von Internetdiensten damit nicht mehr auf den Wortlaut des § 15 Abs. 3 TMG berufen, sondern müssen eine aktive Einwilligung ihrer Nutzer einholen.

Derweil ist der deutsche Gesetzgeber gefordert, den Gesetzeswortlaut der nunmehr durch die Rechtsprechung geschaffenen faktischen Rechtslage anzupassen. Gelegenheit hierzu bietet die ohnehin anstehende Reform des Telemediengesetzes.