Cookie Einwilligung

Cookie Einwilligung

Voreingestellte Cookie-Setzung unwirksam

Wer Cookies setzen möchte, braucht die Einwilligung des Nutzers. Zuvor muss er über die Funktionsdauer der Cookies informieren und darüber, ob andere auf die Cookies zugreifen können.

Für Einwilligung kommt es nicht darauf an, ob Cookies peronenbezogene Daten sind

Es kommt nicht darauf an, ob es sich bei den Cookies um personenbezogene Daten handelt. Das hat der EuGH mit Urteil vom 1.10.2019 entschieden.

Fragen zum Internet- oder Datenschutzrecht?

Sofortige Ersteinschätzung

Rufen Sie uns einfach unverbindlich an oder senden Sie uns eine Nachricht per Email oder über unser Kontaktformular. Wir antworten umgehend. Ihr Ansprechpartner: Thomas Seifried, Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz

info@seifried.pro

"Rechtssicher werben" - Der Praxisratgeber für Werbung und Akquise

Jetzt bestellen und Abmahnungen vermeiden

Wer nicht wirbt, der stirbt, heißt es. Aber auch wer wirbt, generiert nicht immer nur Umsätze. Die Verwendung von nicht lizensierten Medien oder geschützter Bezeichnungen oder Designs kann ebenso teure Abmahnungen verursachen, wie rechtswidrige Werbung. Dieses Buch hilft, Abmahnungen zu vermeiden. Häufige rechtliche Risiken bei der Kreation und Durchführung von Werbekampagnen werden für den Laien verständlich erläutert. Viele Beispiele und Praxistipps machen das Buch zum unverzichtbaren Begleiter für jeden, der wirbt.

Thomas Seifried, Rechtssicher werben, XchangeIP Verlag; Auflage: 1. (13. September 2019), 180 Seiten, ISBN 978-3-00-063110-8.

Erhältlich im Buchhandel oder bei Amazon

Leseproben:

Inhaltsverzeichnis

Aus KAPITEL 3 - DIE AUSWAHL DES MATERIALS

Aus KAPITEL 4 - INHALT DER WERBUNG

Aus KAPITEL 7 - SUCHMASCHINENWERBUNG (SEARCH ENGINE ADVERTISING - SEA)

Kostenloser Download "Rechtssicher werben 2019"

Das Ebook zum Werberecht: Print, Online, SEA und SEO, Influencer, mit vielen Beispielen aus der Rechtsprechung

Kostenloser Download "Abgemahnt - Die erste-Hilfe-Taschenfibel"

Alles über Abmahnungen und strafbewehrte Unterlassungserklärungen, mit Musterformularen

Praktikerhandbuch Seifried/Borbach

„Schutzrechte und Rechtsschutz in der Mode- und Textilindustrie", 368 Seiten, erschienen 2014 in der dfv-Mediengruppe

EuGH, Urteil vom 1.10.2019 - C-673/17 - Planet49 GmbH/Verbraucherzentrale

Der Fall:

Die Beklagte veranstaltete im Internet ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der er seinen Name und seine Anschrift einzutragen sollte. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, lautete:

[   ]„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“

Der mit „Sponsoren und Kooperationspartner“ und „hier“ bezeichnete Link führte zu einer Liste, die 57 Unternehmen, ihre Adresse, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E-Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:

„Durch Anklicken auf dem Link ,Abmelden’ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt P [die Beklagte] für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“

Eine Teilnahme am Gewinnspiel war nur möglich, wenn mindestens das Häkchen vor diesen Hinweistext gesetzt wurde.

Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, lautete:

[✓]  „Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter [die Beklagte] nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

Wenn man im zweiten Hinweistext auf das Wort „hier“ klickte, wurde folgende Information angezeigt:

„Bei den gesetzten Cookies […] handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden […]. Die Cookies enthalten eine bestimmte zufallsgenerierte Nr. (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners […], wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie […] die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.

Anschließend kann [die Beklagte] aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E-Mail-Werbung mehr.

Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten. […]“

Geklagt hatte der Bundesverband der Verbraucherzentralen. Er war der Meinung, die Einverständniserklärungen seien rechtswidrig.

Einwilligung und Information nach ePrivacy-Richtlinie und Cookie-Richtlinie

Nach Art. 5 III ePrivacy-Richtlinie (RL 2002/58/EG geändert durch die vom deutschen Gesetzgeber immer noch nicht umgesetzte „Cookie-Richtlinie“, RL 2009/136/EG) darf man Cookies nur dann im Endgerät eines Nutzers speichern oder auf diese Informationen zugreifen, wenn man den Nutzer zuvor „klar und umfassend“ informiert hat. Außerdem muss der Nutzer zuvor seine Einwilligung gegeben haben. Die ePrivacy-Richtlinie ist auch nach Inkrafttreten der DSGVO noch in Kraft (vgl. Art. 95 DSGVO). Auch die inzwischen durch durch die DSGVO ersetzte Datenschutzrichtlinie sah eine eine entsprechende Einwilligung für die Verarbeitung von personenbezogenen Daten vor. Ebenso tut dies natürlich die ebenfalls anwendbare DSGVO (Art. 6 I a) DSGVO).

Ist eine Opt-Out-Einwilligung zulässig?

Der EuGH hatte zunächst die folgende, ihm vom Bundesgerichtshof (BGH v. 5.10.2017 – I ZR 7/16 – Cookie Einwilligung) vorgelegte Frage zu beantworten: Reicht es für eine Einwilligung des Nutzers aus, wenn das Kreuzchen voreingestellt ist, der Nutzer seine Einwilligung also abwählen muss? Nein, meint der EuGH. Denn eine Einwilligung müsse „ohne jeden Zweifel“ erteilt werden. Das erfordere ein aktives Verhalten des Nutzers. Ein voreingestelltes Häkchen könne daher keine Einwilligung begründen. Denn hieraus geht nicht hervor, ob der Nutzer irgendwie aktiv wurde.

Sind Cookies personenbezogene Daten?

Der BGH hatte den EuGH gefragt, ob Cookies personenbezogene Daten sind. Dies hat der EuGH jedenfalls für den vorliegenden Fall bejaht (Rz. 45 und 67 des Urteils). Allerdings kommt es nach der durch die „Cookie-Richtlinie“ geänderten ePrivacy-Richtlinie ohnehin nicht darauf an, ob Cookies personenbezogene Daten sind oder nicht. Die Richtlinie knüpft an das Setzen von „Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ an, unabhängig davon, ob diese einen Personenbezug ermöglichen oder nicht.

Informationspflichten beim Cookie-Setzen

Schließlich hat der EuGH auch auch zu den Informationspflichten beim Cookie-Setzen Stellung genommen. Angaben zur Funktionsdauer der Cookies gehören ebenso hierzu, wie Angaben, ob Dritte auf die Cookies zugreifen können, so der EuGH.

Konsequenzen der Entscheidung

Die ePrivacy-Richtlinie erlaubt zwar in Art. 5 III in der durch die„Cookie-Richtlinie“ geänderten Fassung, technisch „unbedingt erforderliche“ Cookies auch ohne Einwilligung zu setzen. Technische unbedingt erforderliche Cookies werden die Ausnahme sein. Viele Cookies, z.B. Session-Cookies oder solche, die Spracheinstellungen steuern, erleichtern zwar die Bedienung für den Nutzer. Sie sind aber nicht „unbedingt“ erforderlich. Für Cookies, die einen Personenbezug herstellen, gelten diese Ausnahmen ohnehin nicht.

Auch der Umstand, dass die Cookie-Richtlinie an sich bis zum 25.5.2011 in deutsches Recht hätte umgesetzt werden müssen, dies aber immer noch nicht geschehen ist, ändert daran nichts. Denn nach Ablauf der Umsetzungsfrist müssen die Gerichte innerstaatliches Recht so weit wie möglich am Wortlaut und Zweck der Richtlinie auslegen (EuGH EuZW 2004, S. 691, Rn. 100 – 113; OLG Bremen v. 3.4.2007 – Verg 2/07). Wer Cookies setzen möchte, tut also gut daran, vorher den Nutzer über die betreffenden Cookies zu informieren und dessen Zustimmung einzuholen.

Zum Urteil:EuGH, Urteil vom 1.10.2019 – C-673/17 – Planet49 GmbH/Verbraucherzentrale

BGH: Voreingestellte Cookie-Setzung in AGB unwirksam

Unter Verweis auf dieses Urteil hat der BGH das voreingestellte Setzen von Cookies als unwirksam angesehen. Die entsprechende Klausel war nach § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB als "unangemessene Benachteiligung" des Nutzers unwirksam (BGH Urteil vom 28.05.2020 - I ZR 7/16 - Cookie-Einwilligung II).

 

Aktuelles zum Datenschutzrecht:

Haben Sie Fragen zum Thema?

Rufen Sie uns kostenlos an: (069) 915076-0 Ihr Ansprechpartner:

Thomas Seifried, Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz