Am Donnerstag, 28. Mai 2020, hat der BGH entschieden (Az. I 49 7/16), dass eine aktive Zustimmung der Nutzer von Webseiten erforderlich ist, damit diese Seiten „Werbe-Cookies“ setzen dürfen. Die Entscheidung war zu erwarten, nachdem der EuGH am 1. Oktober 2019 (Az. C-673/17) bereits die entsprechende Vorlagefrage des BGH vergleichbar entschieden hatte (siehe ESCHE Blog-Beitrag „Verbotene Kekse“ vom 14. Oktober 2019).
Internetnutzer haben sich inzwischen an sie gewöhnt: Cookie-Banner. Wenn man eine neue Website aufruft, fragen die Betreiber der Seite mit den Bannern ab, ob mit einem sogenannten Cookie (englisch „Keks“) Daten auf der Festplatte des Nutzers gespeichert werden dürfen. Die Daten können auch dazu genutzt werden, um individualisierte Werbung zu präsentieren. Um solche „Werbe-Cookies“ ging es in der BGH-Entscheidung.
Seit Jahren wird darüber gestritten, wie solche Cookie-Banner ausgestaltet und aufgebaut sein müssen, damit eine Zustimmung der Nutzer datenschutzkonform ist. Nun haben die Karlsruher Richter Klarheit geschaffen, denn laut der Entscheidung ist „für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich".
Damit liegt der BGH auf einer Linie mit den eher strengen deutschen Aufsichtsbehörden. Befürworter eines werbewirtschaftlich orientierten Ansatzes waren der Meinung, dass eine „Opt-Out“-Lösung für diese technisch nicht erforderlichen Cookies ausreicht. Sie beriefen sich auf ein Schlupfloch im deutschen Telemediengesetz (TMG), nach der die Zustimmung für solche Cookies beim Aufruf einer Webseite voreingestellt sein konnte und der Nutzer der Seite der Nutzung seiner Daten aktiv widersprechen musste. Dieser Sichtweise schiebt jetzt der BGH einen Riegel vor. Dem BGH zufolge steht diese Auslegung des TMG im Widerspruch zur europäischen E-Privacy-Richtlinie. Danach ist der Betreiber einer Webseite verpflichtet, den Nutzer aktiv zustimmen zu lassen, wenn persönliche Daten gespeichert werden.
Gestritten hatten vor dem BGH Planet49, ein Anbieter von Online-Gewinnspielen, und der Bundesverband der Verbraucherzentralen. Die Verbraucherschützer hatten beanstandet, dass bei Planet49 bereits ein voreingestellter Haken im Feld zur Cookie-Einwilligung gesetzt war. Sie hielten es für unzulässig, dass Nutzer so automatisch der Cookie-Nutzung zustimmten, ohne den Haken selbst aktivieren zu müssen.
Der Streit war bereits im Jahr 2013 entbrannt, in dem die europäische Datenschutz-Grundverordnung (DSGVO) noch nicht galt. Nach deren Inkrafttreten im Jahr 2018 musste der BGH sie bei der Auslegung des TMG mit berücksichtigen. Dem BGH zufolge benachteiligt die „Opt-Out“-Lösung den Nutzer der Webseite unangemessen.
Die Ironie der BGH-Entscheidung liegt darin, dass sie zu einem Zeitpunkt kommt, zu dem das Ende der Cookie-Ära bereits absehbar ist und es bereits Nachfolgetechnologien gibt wie das „Fingerprinting“ oder der Log-in für Betreiber geschlossener Systeme wie Google, Apple, Facebook oder Amazon.
Praxistipp
Der Schutz personenbezogener Daten und eine transparente Datenverarbeitung sind auch bei Webseiten essentiell. Ein „Opt-Out“-Verfahren für technisch nicht erforderliche Cookies ist nicht mehr zu empfehlen. Der Nutzer muss vielmehr vor dem Setzen dieser Cookies über sie informiert werden und dem Setzen dieser Cookies aktiv zustimmen. Das gilt auch dann, wenn mit dem Cookie keine personenbezogenen Daten gesammelt werden.
