BGH, Beschl. 5.10.2017 - I ZR 7/16
Opt-in bei Cookie-Einwilligung?
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 02/2018
Aus: IT-Rechtsberater, Heft 02/2018
Handelt es sich um eine wirksame Einwilligung i.S.d. Art. 5 Abs. 3 und Art. 2 lit. f RL 2002/58/EG i.V.m. Art. 2 lit. h RL 95/46/EG bzw. i.S.d. Art. 6 Abs. 1 lit. a EGV 2016/679, wenn Speicherung von und Zugriff auf Cookies durch ein abwählbares Ankreuzkästchen erlaubt wird? Macht es dabei einen Unterschied aus, wenn es sich um personenbezogene Daten handelt? Zählen zu den Informationen, die nach Art. 5 Abs. 3 RL 2002/58/EG dem Nutzer zu erteilen sind, auch die Funktionsdauer der Cookies und der Drittzugriff auf sie?
BGH, Beschl. v. 5.10.2017 - I ZR 7/16
Vorinstanz: OLG Frankfurt v. 17.12.2015 - 6 U 30/15
Vorinstanz: LG Frankfurt/M. v. 10.12.2014 - 2/6 O 30/14
RL 2002/58/EG Art. 5 Abs. 3, Art. 2 lit. f; RL 2009/136/EG Art. 2 Nr. 5; RL 95/46/EG Art. 2 lit. h; EGV 2016/679 Art. 6 Abs. 1 lit. a; BGB § 307; TMG § 12 Abs. 1, § 13 Abs. 1, § 15 Abs. 3
„Ich bin einverstanden, dass [Webanalysedienst] bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter nach Registrierung für das Gewinnspiel Cookies setzt, welches ihm eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R. ermöglicht.”
Ergänzend erfolgte per Hyperlink u.a. der Hinweis, dass die Cookies eine bestimmte zufallsgenerierte Nummer (ID) enthalten, die den Registrierungsdaten zugeordnet ist.
Der vzbv hat geltend gemacht, dass die von dem Gewinnspielanbieter verlangten Einverständniserklärungen nicht den Anforderungen des § 307 BGB i.V.m. §§ 12 ff. TMG genügen. Nach Abmahnung wurde keine Unterlassungserklärung abgegeben.
AGB-Verstoß: Die vorgesehene elektronisch zu erklärende Einwilligung des Nutzers in Form eines voreingestellten Ankreuzkästchens i.S.v. § 307 Abs. 2 Nr. 1 BGB sei u.U. nicht mit wesentlichen Grundgedanken von Art. 5 Abs. 3 und Art. 2 lit. f RL 2002/58/EG i.V.m. Art. 2 lit. h RL 95/46/EG und des Art. 6 Abs. 1 lit. a DSGVO vereinbar.
Pseudonyme Nutzungsprofile: Nach der Ursprungsfassung des durch § 15 Abs. 3 TMG umgesetzten Art. 5 Abs. 3 RL 2002/58/EG habe der Diensteanbieter im Fall der Speicherung von Informationen auf dem Endgerät des Nutzers (typischerweise mithilfe von Cookies) oder des Zugriffs auf sie den Nutzer nicht nur klar und umfassend insb. über den Zweck der Verarbeitung zu informieren, sondern ihn auch auf das Recht hinzuweisen, die Verarbeitung zu verweigern (Opt-out). Nach der bis zum 25.5.2011 umzusetzenden Neufassung des Art. 5 Abs. 3 RL 2002/58/EG i.V.m. Art. 2 Nr. 5 RL 2009/136/EG (sog. Cookie-RL) sei Speicherung und Zugriff abgesehen von Fällen technischer Notwendigkeit nur gestattet, wenn der Nutzer seine Einwilligung gegeben habe.
Begriff der Einwilligung: Nach Art. 2 lit. h RL 95/46/EG i.V.m. Art. 2 Satz 2 lit. f RL 2002/58/EG erfordere die Einwilligung eine „Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolge”. Nach Erwgrd. 17 RL 2002/58/EG könne die Einwilligung auch durch das Markieren eines Felds auf einer Internet-Website erfolgen. Erwgrd. 66 RL 2009/136/EG spreche vom Recht auf Ablehnung.
Personenbezogene Daten: Der Abruf von Daten, bei denen – wie vorliegend – ein Personenbezug i.S.d. § 3 Abs. 1 des BDSG i.V.m. § 12 Abs. 3 TMG mithilfe von Cookies vorhanden sei, stelle eine Erhebung von Daten dar, die dem Einwilligungserfordernis des Art. 7 lit. a RL 95/46/EG, der durch § 12 Abs. 1 TMG umgesetzt werde, unterliege. Wenn die Einwilligung zusammen mit anderen Erklärungen erfolge, sei sie nach dem Art. 2 lit. h RL 95/46/EG umsetzenden § 4a Abs. 1 BDSG besonders hervorzuheben (vgl. BGH v. 16.7.2008 – VIII ZR 348/06, Rz. 21, ITRB 2008, 219 = CR 2008, 720). In der Rechtsprechung des BGH werde hier ein Opt-out-Verfahren durch Ankreuzen eines Kästchens (vgl. BGH v. 16.7.2008 – VIII ZR 348/06, Rz. 5, ITRB 2008, 219 = CR 2008, 720) oder Streichung des Einwilligungstexts (vgl. BGH v. 11.11.2009 – VIII ZR 12/08, Rz. 2, ITRB 2010, 153 = CR 2010, 87) für ausreichend gehalten.
DSGVO: Nach Art. 6 Abs. 1 lit. a der ab 25.5.2018 geltenden DSGVO sei die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung i.S.v. Art. 4 Nr. 11 DSGVO für einen oder mehrere bestimmte Zwecke gegeben habe. Erwgrd. 32 DSGVO spreche dafür, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit” nicht als hinreichende Einwilligung anzusehen seien.
Umfang der Informationspflicht: Nach § 13 Abs. 1 Satz 2 TMG sei der Nutzer bei einem automatisierten Verfahren, das eine spätere Identifizierung ermögliche und eine Erhebung oder Verwendung personenbezogener Daten vorbereite (z.B. Cookie-Verfahren), zu Beginn dieses Verfahrens u.a. bzgl. der Zwecke der Datenerhebung und -nutzung zu unterrichten. Nach richtlinienkonformer Auslegung zu Art. 5 Abs. 3 RL 2002/58/EG i.V.m. Art. 10 lit. b und c RL 95/46/EG müssten bei einer Einwilligung in Cookies Informationen u.a. zu Verarbeitungszwecken und Empfänger oder Kategorien der Empfänger der Daten erteilt werden. Vorliegend sei nicht hinsichtlich Drittzugriff und Funktionsdauer der Cookies informiert worden, obwohl es sich um für die Aufklärung des Nutzers wichtige Umstände handle (vgl. Working Document 02/2013 der Article 29 Data Protection Working Party vom 2.10.2013, 1676/13/EN, S. 3).
BGH, Beschl. v. 5.10.2017 - I ZR 7/16
Vorinstanz: OLG Frankfurt v. 17.12.2015 - 6 U 30/15
Vorinstanz: LG Frankfurt/M. v. 10.12.2014 - 2/6 O 30/14
RL 2002/58/EG Art. 5 Abs. 3, Art. 2 lit. f; RL 2009/136/EG Art. 2 Nr. 5; RL 95/46/EG Art. 2 lit. h; EGV 2016/679 Art. 6 Abs. 1 lit. a; BGB § 307; TMG § 12 Abs. 1, § 13 Abs. 1, § 15 Abs. 3
Das Problem
Am 24.9.2013 wurde unter einer Internetadresse ein Gewinnspiel veranstaltet. Nach Eingabe der Postleitzahl gelangte der Nutzer hierbei auf eine Seite, auf der Name und Anschrift einzutragen waren. Unter den Eingabefeldern für die Adresse befand sich u.a. ein bereits voreingestelltes, aber abwählbares Ankreuzfeld mit folgendem Hinweistext:„Ich bin einverstanden, dass [Webanalysedienst] bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter nach Registrierung für das Gewinnspiel Cookies setzt, welches ihm eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R. ermöglicht.”
Ergänzend erfolgte per Hyperlink u.a. der Hinweis, dass die Cookies eine bestimmte zufallsgenerierte Nummer (ID) enthalten, die den Registrierungsdaten zugeordnet ist.
Der vzbv hat geltend gemacht, dass die von dem Gewinnspielanbieter verlangten Einverständniserklärungen nicht den Anforderungen des § 307 BGB i.V.m. §§ 12 ff. TMG genügen. Nach Abmahnung wurde keine Unterlassungserklärung abgegeben.
Die Entscheidung des Gerichts
Die Vorlage an den EuGH sei erforderlich, weil der Erfolg der Unterlassungsklage des vzbv von der Auslegung der Art. 5 Abs. 3, 2 f RL 2002/58/EG i.V.m. Art. 2 lit. h RL 95/46/EG sowie des Art. 6 Abs. 1 lit. a EGV 2016/679 (DSGVO) abhänge.AGB-Verstoß: Die vorgesehene elektronisch zu erklärende Einwilligung des Nutzers in Form eines voreingestellten Ankreuzkästchens i.S.v. § 307 Abs. 2 Nr. 1 BGB sei u.U. nicht mit wesentlichen Grundgedanken von Art. 5 Abs. 3 und Art. 2 lit. f RL 2002/58/EG i.V.m. Art. 2 lit. h RL 95/46/EG und des Art. 6 Abs. 1 lit. a DSGVO vereinbar.
Pseudonyme Nutzungsprofile: Nach der Ursprungsfassung des durch § 15 Abs. 3 TMG umgesetzten Art. 5 Abs. 3 RL 2002/58/EG habe der Diensteanbieter im Fall der Speicherung von Informationen auf dem Endgerät des Nutzers (typischerweise mithilfe von Cookies) oder des Zugriffs auf sie den Nutzer nicht nur klar und umfassend insb. über den Zweck der Verarbeitung zu informieren, sondern ihn auch auf das Recht hinzuweisen, die Verarbeitung zu verweigern (Opt-out). Nach der bis zum 25.5.2011 umzusetzenden Neufassung des Art. 5 Abs. 3 RL 2002/58/EG i.V.m. Art. 2 Nr. 5 RL 2009/136/EG (sog. Cookie-RL) sei Speicherung und Zugriff abgesehen von Fällen technischer Notwendigkeit nur gestattet, wenn der Nutzer seine Einwilligung gegeben habe.
Begriff der Einwilligung: Nach Art. 2 lit. h RL 95/46/EG i.V.m. Art. 2 Satz 2 lit. f RL 2002/58/EG erfordere die Einwilligung eine „Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolge”. Nach Erwgrd. 17 RL 2002/58/EG könne die Einwilligung auch durch das Markieren eines Felds auf einer Internet-Website erfolgen. Erwgrd. 66 RL 2009/136/EG spreche vom Recht auf Ablehnung.
Personenbezogene Daten: Der Abruf von Daten, bei denen – wie vorliegend – ein Personenbezug i.S.d. § 3 Abs. 1 des BDSG i.V.m. § 12 Abs. 3 TMG mithilfe von Cookies vorhanden sei, stelle eine Erhebung von Daten dar, die dem Einwilligungserfordernis des Art. 7 lit. a RL 95/46/EG, der durch § 12 Abs. 1 TMG umgesetzt werde, unterliege. Wenn die Einwilligung zusammen mit anderen Erklärungen erfolge, sei sie nach dem Art. 2 lit. h RL 95/46/EG umsetzenden § 4a Abs. 1 BDSG besonders hervorzuheben (vgl. BGH v. 16.7.2008 – VIII ZR 348/06, Rz. 21, ITRB 2008, 219 = CR 2008, 720). In der Rechtsprechung des BGH werde hier ein Opt-out-Verfahren durch Ankreuzen eines Kästchens (vgl. BGH v. 16.7.2008 – VIII ZR 348/06, Rz. 5, ITRB 2008, 219 = CR 2008, 720) oder Streichung des Einwilligungstexts (vgl. BGH v. 11.11.2009 – VIII ZR 12/08, Rz. 2, ITRB 2010, 153 = CR 2010, 87) für ausreichend gehalten.
DSGVO: Nach Art. 6 Abs. 1 lit. a der ab 25.5.2018 geltenden DSGVO sei die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung i.S.v. Art. 4 Nr. 11 DSGVO für einen oder mehrere bestimmte Zwecke gegeben habe. Erwgrd. 32 DSGVO spreche dafür, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit” nicht als hinreichende Einwilligung anzusehen seien.
Umfang der Informationspflicht: Nach § 13 Abs. 1 Satz 2 TMG sei der Nutzer bei einem automatisierten Verfahren, das eine spätere Identifizierung ermögliche und eine Erhebung oder Verwendung personenbezogener Daten vorbereite (z.B. Cookie-Verfahren), zu Beginn dieses Verfahrens u.a. bzgl. der Zwecke der Datenerhebung und -nutzung zu unterrichten. Nach richtlinienkonformer Auslegung zu Art. 5 Abs. 3 RL 2002/58/EG i.V.m. Art. 10 lit. b und c RL 95/46/EG müssten bei einer Einwilligung in Cookies Informationen u.a. zu Verarbeitungszwecken und Empfänger oder Kategorien der Empfänger der Daten erteilt werden. Vorliegend sei nicht hinsichtlich Drittzugriff und Funktionsdauer der Cookies informiert worden, obwohl es sich um für die Aufklärung des Nutzers wichtige Umstände handle (vgl. Working Document 02/2013 der Article 29 Data Protection Working Party vom 2.10.2013, 1676/13/EN, S. 3).