Wenn Sie beim Surfen im Internet von ständig aufpoppenden, immer komplexeren Fenstern genervt sind, mit denen Sie um Ihre Zustimmung zur Verwendung von Cookies gebeten werden, dann sei Ihnen versichert: Nach dem anstehenden BGH-Urteil wird es wahrscheinlich noch schlimmer.
Insbesondere jene, die selbst Cookies verwenden, z.B. um statistische Auswertungen des Nutzerverhaltens auf ihren Webseiten zu erstellen, sollten sich den 28. Mai 2020 im Kalender anstreichen. An diesem Tag wird der BGH sein Urteil in Sachen „Planet49“ (Az. I 49 7/16) verkünden. Gegenstand dieses Verfahrens ist die Frage, ob und wie eine Einwilligung bei der Verwendung sogenannter Cookies erteilt werden muss.
Ein Cookie ist eine kleine Textdatei, die für nutzerfreundliche Funktionen einer Website erforderlich ist und im Endgerät des Nutzers gespeichert wird. Er kann jedoch auch z.B. zur Verfolgung des Surfverhaltens von Nutzern im Internet (sog. Tracking) und dem Aufbau von Nutzerprofilen eingesetzt werden, wenn der im Endgerät gespeicherte Cookie bei Aufrufen von Webseiten wiederholt abgerufen und ausgewertet wird.
Gilt die ePrivacy-Richtlinie für deutsche Cookies?
Der BGH hatte dem EuGH bereits 2017 vorab einige für das Urteil relevante Fragen zur Auslegung des einschlägigen Europarechts vorgelegt. Das Urteil des EuGH zu „Planet49“ am 1. Oktober 2019 war den meisten Medien eine ausführlichere Meldung wert. Aufgrund der üblichen Verkürzung der Zusammenhänge hieß es dort, der EuGH habe entschieden, Cookies dürften nun generell nur mit vorheriger Einwilligung des Nutzers verwendet werden. Tatsächlich hat der EuGH ‚lediglich‘ bestätigt, dass Cookies entsprechend Art. 5 Abs. 3 der sog. Cookie-Richtlinie (RL 2009/136/EG) einer Einwilligung bedürften.
Diese Regelung wurde jedoch vom deutschen Gesetzgeber nie in nationales Recht umgesetzt. Der I. Senat des BGH hat aber noch einmal seine Einschätzung bekräftigt, dass er es dennoch für möglich halte, das deutsche Recht richtlinienkonform auszulegen und fortzubilden. In der Konsequenz dürfte dies heißen, dass der BGH für Cookies, für die die Richtlinie keine Ausnahme vorsieht, generell eine Einwilligung nach den Vorgaben der DSGVO fordern wird.
Oder ist die Zulässigkeit nur nach der DSGVO zu prüfen?
Damit steht die Ansicht des BGH gegen die Einschätzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die eine unmittelbare Anwendung der ePrivacy-Richtlinie verneint und stattdessen prüft, ob die mit Hilfe eines Cookies betriebene Verarbeitung personenbezogener Daten nach den Grundsätzen der DSGVO zulässig ist.
Für die meisten Cookies ergibt sich aus diesen widerstreitenden Ansichten keine abweichende Konsequenz. Wenn z. B. eine Kanzlei durch Google Analytics statistische Auswertungen der Nutzung ihrer Webseiten (sog. Reichweitenmessung) zwecks Optimierung ihres Online-Angebots durchführt, sieht die DSK hierin wegen der Weitergabe der Daten an den Analysedienst, der Daten auch webseitenübergreifend zusammenführt, eine einwilligungsbedürftige Verarbeitung.
Eine Messung ohne Weitergabe von Nutzerdaten an Dritte, bei der die Datenverarbeitung also allein auf den Zweck der Messung beschränkt wird, wäre dagegen inklusive der verwendeten Cookies aufgrund des berechtigten Interesses an der Optimierung ohne Einwilligung zulässig. Urteilt der BGH wie erwartet, wäre seiner Meinung nach aber auch für diesen Fall eine Einwilligung des Nutzers erforderlich.
Wie geht es weiter?
Die Beratungen zur kommenden ePrivacy-Verordnung, die auch die Einwilligung zur Nutzung von Cookies neu regeln wird, gerieten Ende 2019 ins Stocken. Aktuell ist davon auszugehen, dass sie frühestens 2023/2024 unmittelbar anwendbar wird. Die Diskussion ist aber längst über die undifferenzierte Einwilligungspflicht der ePrivacy-Richtlinie hinausgewachsen. Im aktuellen Entwurf zur ePrivacy-Verordnung vom 21. Februar 2020 der kroatischen Ratspräsidentschaft findet sich z.B. in Erwägungsgrund 21a die Aussage, dass Cookies ein legitimes und nützliches Instrument sein können, u.a. auch für Reichweitenmessungen oder z.B. die Bewertung der Wirksamkeit von Online-Werbung.
Für die unklare Situation in Deutschland ist daher festzuhalten, dass die Analyse des Nutzerverhaltens und Erstellung von Profilen zu Werbezwecken mittels Cookies in jedem Fall eine Einwilligung voraussetzen muss. Dass aber auch Reichweitenmessungen oder z.B. die reine Abrechnung des Erfolgs von Online-Werbung wegen der Nichterteilung von Einwilligungen durch die Nutzer in jedem Fall kaum noch möglich sein sollen, geht auch unter Einbeziehung der Abwägung der betroffenen Interessen an der digitalen Realität vorbei.
Das Bundeswirtschaftsministerium hatte bereits für 2019 in Aussicht gestellt, einen Entwurf zur Änderung des Telemediengesetzes (TMG) vorzulegen, der das Online-Tracking regeln soll. Zu hoffen ist, dass diese Änderung nicht nur eine Übernahme der Leitsätze des EuGH-Urteils bedeutet, sondern unter Abwägung der Interessen der Beteiligten die Möglichkeit zur Gestaltung rechtlicher Vorgaben nutzt, die zumindest einige der nervigen Cookie-Banner entbehrlich machen.
Fazit: Websitebetreiber weiter in rechtlicher Grauzone
Das zu erwartende Urteil des BGH am 28. Mai 2020 wird zu weiterem Druck auf Websitebetreiber führen, sich durch die Einholung von Einwilligungen bei Verwendung von Cookies abzusichern. Es bleibt nur zu hoffen, dass der Gesetzgeber bei der überfälligen Überarbeitung des TMG Fingerspitzengefühl beweist und im Rahmen der Möglichkeiten Erleichterungen zulassen wird.
Quelle; mkg-online
Insbesondere jene, die selbst Cookies verwenden, z.B. um statistische Auswertungen des Nutzerverhaltens auf ihren Webseiten zu erstellen, sollten sich den 28. Mai 2020 im Kalender anstreichen. An diesem Tag wird der BGH sein Urteil in Sachen „Planet49“ (Az. I 49 7/16) verkünden. Gegenstand dieses Verfahrens ist die Frage, ob und wie eine Einwilligung bei der Verwendung sogenannter Cookies erteilt werden muss.
Ein Cookie ist eine kleine Textdatei, die für nutzerfreundliche Funktionen einer Website erforderlich ist und im Endgerät des Nutzers gespeichert wird. Er kann jedoch auch z.B. zur Verfolgung des Surfverhaltens von Nutzern im Internet (sog. Tracking) und dem Aufbau von Nutzerprofilen eingesetzt werden, wenn der im Endgerät gespeicherte Cookie bei Aufrufen von Webseiten wiederholt abgerufen und ausgewertet wird.
Gilt die ePrivacy-Richtlinie für deutsche Cookies?
Der BGH hatte dem EuGH bereits 2017 vorab einige für das Urteil relevante Fragen zur Auslegung des einschlägigen Europarechts vorgelegt. Das Urteil des EuGH zu „Planet49“ am 1. Oktober 2019 war den meisten Medien eine ausführlichere Meldung wert. Aufgrund der üblichen Verkürzung der Zusammenhänge hieß es dort, der EuGH habe entschieden, Cookies dürften nun generell nur mit vorheriger Einwilligung des Nutzers verwendet werden. Tatsächlich hat der EuGH ‚lediglich‘ bestätigt, dass Cookies entsprechend Art. 5 Abs. 3 der sog. Cookie-Richtlinie (RL 2009/136/EG) einer Einwilligung bedürften.
Diese Regelung wurde jedoch vom deutschen Gesetzgeber nie in nationales Recht umgesetzt. Der I. Senat des BGH hat aber noch einmal seine Einschätzung bekräftigt, dass er es dennoch für möglich halte, das deutsche Recht richtlinienkonform auszulegen und fortzubilden. In der Konsequenz dürfte dies heißen, dass der BGH für Cookies, für die die Richtlinie keine Ausnahme vorsieht, generell eine Einwilligung nach den Vorgaben der DSGVO fordern wird.
Oder ist die Zulässigkeit nur nach der DSGVO zu prüfen?
Damit steht die Ansicht des BGH gegen die Einschätzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die eine unmittelbare Anwendung der ePrivacy-Richtlinie verneint und stattdessen prüft, ob die mit Hilfe eines Cookies betriebene Verarbeitung personenbezogener Daten nach den Grundsätzen der DSGVO zulässig ist.
Für die meisten Cookies ergibt sich aus diesen widerstreitenden Ansichten keine abweichende Konsequenz. Wenn z. B. eine Kanzlei durch Google Analytics statistische Auswertungen der Nutzung ihrer Webseiten (sog. Reichweitenmessung) zwecks Optimierung ihres Online-Angebots durchführt, sieht die DSK hierin wegen der Weitergabe der Daten an den Analysedienst, der Daten auch webseitenübergreifend zusammenführt, eine einwilligungsbedürftige Verarbeitung.
Eine Messung ohne Weitergabe von Nutzerdaten an Dritte, bei der die Datenverarbeitung also allein auf den Zweck der Messung beschränkt wird, wäre dagegen inklusive der verwendeten Cookies aufgrund des berechtigten Interesses an der Optimierung ohne Einwilligung zulässig. Urteilt der BGH wie erwartet, wäre seiner Meinung nach aber auch für diesen Fall eine Einwilligung des Nutzers erforderlich.
Wie geht es weiter?
Die Beratungen zur kommenden ePrivacy-Verordnung, die auch die Einwilligung zur Nutzung von Cookies neu regeln wird, gerieten Ende 2019 ins Stocken. Aktuell ist davon auszugehen, dass sie frühestens 2023/2024 unmittelbar anwendbar wird. Die Diskussion ist aber längst über die undifferenzierte Einwilligungspflicht der ePrivacy-Richtlinie hinausgewachsen. Im aktuellen Entwurf zur ePrivacy-Verordnung vom 21. Februar 2020 der kroatischen Ratspräsidentschaft findet sich z.B. in Erwägungsgrund 21a die Aussage, dass Cookies ein legitimes und nützliches Instrument sein können, u.a. auch für Reichweitenmessungen oder z.B. die Bewertung der Wirksamkeit von Online-Werbung.
Für die unklare Situation in Deutschland ist daher festzuhalten, dass die Analyse des Nutzerverhaltens und Erstellung von Profilen zu Werbezwecken mittels Cookies in jedem Fall eine Einwilligung voraussetzen muss. Dass aber auch Reichweitenmessungen oder z.B. die reine Abrechnung des Erfolgs von Online-Werbung wegen der Nichterteilung von Einwilligungen durch die Nutzer in jedem Fall kaum noch möglich sein sollen, geht auch unter Einbeziehung der Abwägung der betroffenen Interessen an der digitalen Realität vorbei.
Das Bundeswirtschaftsministerium hatte bereits für 2019 in Aussicht gestellt, einen Entwurf zur Änderung des Telemediengesetzes (TMG) vorzulegen, der das Online-Tracking regeln soll. Zu hoffen ist, dass diese Änderung nicht nur eine Übernahme der Leitsätze des EuGH-Urteils bedeutet, sondern unter Abwägung der Interessen der Beteiligten die Möglichkeit zur Gestaltung rechtlicher Vorgaben nutzt, die zumindest einige der nervigen Cookie-Banner entbehrlich machen.
Fazit: Websitebetreiber weiter in rechtlicher Grauzone
Das zu erwartende Urteil des BGH am 28. Mai 2020 wird zu weiterem Druck auf Websitebetreiber führen, sich durch die Einholung von Einwilligungen bei Verwendung von Cookies abzusichern. Es bleibt nur zu hoffen, dass der Gesetzgeber bei der überfälligen Überarbeitung des TMG Fingerspitzengefühl beweist und im Rahmen der Möglichkeiten Erleichterungen zulassen wird.
Quelle; mkg-online
