Cookie Einwilligung

Cookie Einwilligung

Voreingestellte Cookie-Setzung unwirksam

Wer Cookies setzen möchte, braucht die Einwilligung des Nutzers. Zuvor muss er über die Funktionsdauer der Cookies informieren und darüber, ob andere auf die Cookies zugreifen können.

Für Einwilligung kommt es nicht darauf an, ob Cookies peronenbezogene Daten sind

Es kommt nicht darauf an, ob es sich bei den Cookies um personenbezogene Daten handelt. Das hat der EuGH mit Urteil vom 1.10.2019 entschieden.

Ihr Rechtsanwalt

Kostenlose Ersteinschätzung

Ihr Ansprechpartner: Rechtsanwalt Thomas Seifried, seit 2007 auch Fachanwalt für gewerblichen Rechtsschutz, hat über 20 Jahre Erfahrung im Markenrecht, Wettbewerbsrecht und Designrecht mit vielen nachweisbaren Erfolgen.

Rufen Sie uns an oder schreiben Sie uns.

Wir melden uns umgehend

0800 8765544

(gebührenfrei aus dem deutschen Festnetz)

info@seifried.pro

►     Über unser Kontaktformular

Wir behandeln alle Unterlagen streng vertraulich.
Unsere Ersteinschätzung ist stets kostenlos.

 

Praktikerhandbuch zum Werberecht von Thomas Seifried

„Rechtssicher werben", 2. neubearbeite Auflage 2023, 232 Seiten, XchangeIP Verlag, im Buchhandel oder bei Amazon

Kostenloser Download "Abgemahnt - Die erste-Hilfe-Taschenfibel"

Alles über Abmahnungen und strafbewehrte Unterlassungserklärungen, mit Musterformularen

Praktikerhandbuch für die Modeindustrie von Thomas Seifried und Dr. Markus Borbach

„Schutzrechte und Rechtsschutz in der Mode- und Textilindustrie", 368 Seiten, erschienen 2014 in der dfv-Mediengruppe

EuGH, Urteil vom 1.10.2019 - C-673/17 - Planet49 GmbH/Verbraucherzentrale

Der Fall:

Die Beklagte veranstaltete im Internet ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der er seinen Namen und seine Anschrift einzutragen sollte. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, lautete:

[   ]„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“

Der mit „Sponsoren und Kooperationspartner“ und „hier“ bezeichnete Link führte zu einer Liste, die 57 Unternehmen, ihre Adresse, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E-Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:

„Durch Anklicken auf dem Link ,Abmelden’ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt P [die Beklagte] für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“

Eine Teilnahme am Gewinnspiel war nur möglich, wenn mindestens das Häkchen vor diesen Hinweistext gesetzt wurde.

Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, lautete:

[✓]  „Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter [die Beklagte] nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

Wenn man im zweiten Hinweistext auf das Wort „hier“ klickte, wurde folgende Information angezeigt:

„Bei den gesetzten Cookies […] handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden […]. Die Cookies enthalten eine bestimmte zufallsgenerierte Nr. (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners […], wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie […] die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.

Anschließend kann [die Beklagte] aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E-Mail-Werbung mehr.

Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten. […]“

Geklagt hatte der Bundesverband der Verbraucherzentralen. Er war der Meinung, die Einverständniserklärungen seien rechtswidrig.

Einwilligung und Information nach ePrivacy-Richtlinie und Cookie-Richtlinie

Nach Art. 5 III ePrivacy-Richtlinie (RL 2002/58/EG geändert durch die vom deutschen Gesetzgeber immer noch nicht umgesetzte „Cookie-Richtlinie“, RL 2009/136/EG) darf man Cookies nur dann im Endgerät eines Nutzers speichern oder auf diese Informationen zugreifen, wenn man den Nutzer zuvor „klar und umfassend“ informiert hat. Außerdem muss der Nutzer zuvor seine Einwilligung gegeben haben. Die ePrivacy-Richtlinie ist auch nach Inkrafttreten der DSGVO noch in Kraft (vgl. Art. 95 DSGVO). Auch Art. 6 I a) DSGVO sieht eine entsprechende Einwilligung für die Verarbeitung von personenbezogenen Daten vor.

Ist eine Opt-Out-Einwilligung zulässig?

Der EuGH hatte zunächst die folgende, ihm vom Bundesgerichtshof (BGH v. 5.10.2017 – I ZR 7/16 – Cookie Einwilligung) vorgelegte Frage zu beantworten: Reicht es für eine Einwilligung des Nutzers aus, wenn das Kreuzchen voreingestellt ist, der Nutzer seine Einwilligung also abwählen muss? Nein, meint der EuGH. Denn eine Einwilligung müsse „ohne jeden Zweifel“ erteilt werden. Das erfordere ein aktives Verhalten des Nutzers. Ein voreingestelltes Häkchen könne daher keine Einwilligung begründen. Denn hieraus geht nicht hervor, ob der Nutzer irgendwie aktiv wurde.

Sind Cookies personenbezogene Daten?

Der BGH hatte den EuGH gefragt, ob Cookies personenbezogene Daten sind. Dies hat der EuGH jedenfalls für den vorliegenden Fall bejaht (Rz. 45 und 67 des Urteils). Allerdings kommt es nach der durch die „Cookie-Richtlinie“ geänderten ePrivacy-Richtlinie ohnehin nicht darauf an, ob Cookies personenbezogene Daten sind oder nicht. Die Richtlinie knüpft an das Setzen von „Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ an, unabhängig davon, ob diese einen Personenbezug ermöglichen oder nicht.

Informationspflichten beim Cookie-Setzen

Schließlich hat der EuGH auch auch zu den Informationspflichten beim Cookie-Setzen Stellung genommen. Angaben zur Funktionsdauer der Cookies gehören ebenso hierzu, wie Angaben, ob Dritte auf die Cookies zugreifen können, so der EuGH.

Konsequenzen der Entscheidung

Die ePrivacy-Richtlinie erlaubt zwar in Art. 5 III in der durch die„Cookie-Richtlinie“ geänderten Fassung, technisch „unbedingt erforderliche“ Cookies auch ohne Einwilligung zu setzen. Technische unbedingt erforderliche Cookies werden die Ausnahme sein. Viele Cookies, z.B. Session-Cookies oder solche, die Spracheinstellungen steuern, erleichtern zwar die Bedienung für den Nutzer. Sie sind aber nicht „unbedingt“ erforderlich. Für Cookies, die einen Personenbezug herstellen, gelten diese Ausnahmen ohnehin nicht.

Auch der Umstand, dass die Cookie-Richtlinie an sich bis zum 25.5.2011 in deutsches Recht hätte umgesetzt werden müssen, dies aber immer noch nicht geschehen ist, ändert daran nichts. Denn nach Ablauf der Umsetzungsfrist müssen die Gerichte innerstaatliches Recht so weit wie möglich am Wortlaut und Zweck der Richtlinie auslegen (EuGH EuZW 2004, S. 691, Rn. 100 – 113; OLG Bremen v. 3.4.2007 – Verg 2/07). Wer Cookies setzen möchte, tut also gut daran, vorher den Nutzer über die betreffenden Cookies zu informieren und dessen Zustimmung einzuholen.

Zum Urteil:EuGH, Urteil vom 1.10.2019 – C-673/17 – Planet49 GmbH/Verbraucherzentrale

BGH: Voreingestellte Cookie-Setzung in AGB unwirksam

Unter Verweis auf dieses Urteil hat der BGH das voreingestellte Setzen von Cookies als unwirksam angesehen. Die entsprechende Klausel war nach § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB als "unangemessene Benachteiligung" des Nutzers unwirksam (BGH Urteil vom 28.05.2020 - I ZR 7/16 - Cookie-Einwilligung II).

 

Autor: Thomas Seifried, Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz