BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Rechtsprechung

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17).

Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen.

Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein.

Aus der Pressemitteilung lässt sich im Hinblick auf ein Erfordernis für eine Einwilligung zum Setzen von Cookies Folgendes entnehmen:

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Der BGH stellt hier zunächst fest, dass eine Einwilligung schon vor Anwendung der DSGVO nicht durch eine vorangekreuzte Checkbox erteilt werden konnte. Dies war schon mit den wesentlichen Grundgedanken von § 15 Abs. 3 TMG unvereinbar.

Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Interessant ist hier zunächst, dass der BGH bei einer zufallsgenerierten ID in einem Cookie von einem „Pseudonym“ i.S.d. § 15 Abs. 3 TMG ausgeht. Dies könnte übrigens im Gegensatz zur der Ansicht der deutschen Aufsichtsbehörden (s. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 15) gehen, die bei IDs, die der Wiedererkennung von Nutzern dienen, nicht von einer wirksamen Pseudonymisierung i.S.d. DSGVO ausgehen.

Aus den Ausführungen der Pressemitteilung des BGH lässt sich hier zunächst nur entnehmen, dass für Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ eine Einwilligung des Nutzers erforderlich ist. Das lässt durchaus etwas Spielraum für Interpretationen offen. Hier sollten wir aber die Urteilsbegründung abwarten.

In den weiteren Ausführungen der Pressmitteilung nimmt der BGH dann kurz Stellung zur ePrivacy-Richtlinie und dem TMG. Wir können das auch als Ausführungen des BGH zu seinem „Kreativ-Spagat“ der richtlinienkonformen Auslegung des TMG nennen:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das muss man sich einmal auf der Zunge zergehen lassen. Also der BGH meint, dass § 15 Abs. 3 Satz 1 TMG (noch) richtlinienkonform dahingehend ausgelegt werden kann, dass die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in nicht unbedingt erforderliche Cookies in Art. 15 Abs. 3 Satz 1 TMG „hineingelesen“ werden kann. Und zwar so, dass bei Fehlen einer Einwilligung automatisch ein Widerspruch vorliegt. Wow…das ist in der Tat ein Spagat. Aber das war ja zu erwarten.

Jedenfalls führt das im Ergebnis dazu, dass § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und der insoweit bewussten Entscheidung des deutschen Gesetzgebers wegen Art. 95 DSGVO von der DSGVO unberührt bleibt.

Schließlich macht der BGH dann noch Ausführungen dazu, dass die Definition der Einwilligung in der DSGVO im Vergleich zur vorherigen Regelung zur Einwilligung in der EG-Datenschutzrichtlinie zu demselben Ergebnis führen, so dass sich auch nach der neuen Rechtslage immer noch eine vorangehakte Checkbox keine wirksame Einwilligung darstellen könne.

Wer jetzt denkt, dass der BGH mit seinem „Kreativ-Spagat“ zu weit gegangen ist, dem möchte ich einmal die Aufzeichnung der Urteilsbegründung nahelegen. Den Start des Videos an der entsprechenden Stelle habe ich hier voreingestellt:

Die Urteilsbegründung in der gesamten Länge kannst du dir hier ansehen:

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.