News Recht & Datenschutz

BGH Urteil Planet49 Cookies

Der Bundesgerichtshof (BGH) hat am 28.05.2020 in einer Pressemittelung sein Urteil zum sogenannten „Planet49“ vorgestellt. Der zuständige I. Zivilsenat des Bundesgerichtshofs hatte über die Frage zu entscheiden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

Wenngleich die abschließende Urteilsbegründung noch nicht vorliegt, damit ist frühestens in einigen Wochen zu rechnen, möchten wir die wichtigsten Konsequenzen aus dem Urteil kurz zusammenfassen:

Sachverhalt und Urteil des BGH:

Dreh- und Angelpunkt im Fall „Planet 49“ war die Frage, ob Webseiten, die Cookies bei ihren Besuchern setzen, eine aktive Zustimmung der Seitenbesucher benötigen. Insbesondere ging es um die Frage nach einer „echten Einwilligung“ und nicht den Einsatz eines bloßen „Info-Banners“ (der über den Einsatz von Cookies informiert und bei „weitersurfen“ von einem Einverständnis ausgeht) und damit verbunden, ob eine in einem solchen Banner befindliche Checkbox bereits vorangekreuzt sein darf.

Bisher bezogen sich insbesondere Werbenetzwerke auf § 15 Abs. 3 TMG, wonach ein Opt-Out (also die Möglichkeit eines späteren Widerspruchs) ausreichend und damit eine ausdrückliche Einwilligung nicht notwendig sein sollte. Besagte Norm stand zwar in Widerspruch zu der seit 2009 geltenden Cookie-Richtlinie, der deutsche Gesetzgeber änderte diese Norm jedoch nicht.

Vorliegend wurde der Anbieter Planet49 zunächst von Verbraucherzentralen - wegen einer bereits vorangekreuzten Checkbox – abgemahnt und schließlich vom Bundesverband der Verbraucherzentralen verklagt.  Der Fall führte letztendlich bis zum BGH.

Wichtig:  das Vorstehende gilt nicht für alle Cookies – wenngleich in einigen Medien teilweise anders dargestellt. Nicht notwendig ist eine Einwilligung zum Setzen von Cookies dann, wenn es sich gemäß Art. 5 Abs. 3 S. 2 der „Cookie-Richtlinie“ um Cookies handelt, die unbedingt erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Relevanz für Webseitenbetreiber in Kürze:

Wenige Webseiten funktionieren ohne Cookies, die in der Lage sind Nutzer später  „wiederzuerkennen“, wenn sie auf eine Webseite zurück kommen, die sie schon einmal besucht haben bzw. im Falle von Tracking-Cookies die Nutzer über verschiedene Webseiten hinweg erkennen können.

Der EuGH und aktuell auch der BGH (I ZR 7/16 ) haben entschieden, dass der Nutzer „aktiv“ einwilligen muss. Seitenbesucher müssen vor dem Einsatz von Cookies der besuchten Webseite aktiv zustimmen bevor diese gesetzt werden dürfen.

Folge und Ausblick:

Webseitenbetreiber benötigen insbesondere beim Einsatz von Tracking Cookies, wie auch für zahlreiche andere Tools und sog. Plug-Ins etc., die Cookies setzen - eine vorherige aktive Einwilligung der Nutzer auf Ihrer Webseite. Eine bloße Info, dass dies durch sog. „weitersurfen“ akzeptiert wird oder mittels vorangekreuzter Checkbox erfolgt, ist nicht ausreichend. Diese Cookies dürfen erst gesetzt werden, wenn diese Einwilligung erfolgt ist.

Dieser Pflicht kann der Webseitenbetreiber mittels einer sogenannten Consent-Management-Plattformen (CMP) nachkommen. Sicherlich werden sich um die Fragestellung, ob im Einzelnen eine Einwilligung notwendig ist oder nicht, sowie um die Frage, wie genau solche Einwilligungen auszusehen haben (z.B. im Rahmen einer CMP) auch die künftigen Entscheidungen drehen.

Weitere Infos und Details zum Sachverhalt sowie zum bisherigen Prozessverlauf – Auszug aus der Pressemitteilung des BGH:

Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.
Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Das Einverständnis konnte nach dem Hinweistext jederzeit widerrufen werden.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:

Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet sind, der sich mit Namen und Adresse in das bereitgestellte Webformular einzutragen hatte. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.
Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Soweit im Revisionsverfahren relevant, begehrt der Kläger, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Dabei betrifft der Antrag hinsichtlich des zweiten Textes zur Einverständniserklärung auch die Voreinstellung im Ankreuzfeld. Der Kläger verlangt außerdem Ersatz der Abmahnkosten.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der voreingestellten Einwilligungserklärung in die Nutzung von Cookies Erfolg. Das Oberlandesgericht hat angenommen, allein der Unterlassungsanspruch hinsichtlich der Werbung durch Dritte bestehe nach § 1 UKlaG in Verbindung mit § 307 Abs. 1 BGB. Die von der Beklagten vorformulierte und im Zusammenhang mit der Teilnahme an dem von ihr veranstalteten Gewinnspiel verwendete Erklärung zur Einwilligung in Werbung stelle eine gemäß § 307 Abs. 1 BGB unwirksame Allgemeine Geschäftsbedingung dar. Die Ausgestaltung der Klausel trage den Vorgaben des § 7 Abs. 2 Nr. 2 UWG nicht hinreichend Rechnung. Demgegenüber halte die vorformulierte Erklärung über die Einwilligung in die Nutzung von Cookies einer Inhaltskontrolle stand. Die verlangte Erklärung werde den Anforderungen an eine Einwilligung in die Cookie-Nutzung nach den insoweit maßgeblichen Vorschriften (§ 4a, § 28 Abs. 3a Satz 2 BDSG aF sowie § 13 Abs. 2, § 15 Abs. 3 TMG aF) gerecht.

Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt. Der Kläger will auch die Stattgabe seines Antrags bezogen auf die Einwilligungserklärung in die Setzung und Nutzung von Cookies erreichen. Die Beklagte verfolgt ihren Antrag auf vollständige Klageabweisung weiter.

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union verschiedene Fragen zur Auslegung des Unionsrechts hinsichtlich der Wirksamkeit einer Einwilligung in die Setzung von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Das Vorabentscheidungsersuchen betrifft Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) sowie Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 1. Oktober 2019 (C-673/17, WRP 2019, 1455 - PLANET49) beantwortet. Der Bundesgerichtshof wird nun die mündliche Verhandlung in dem Rechtsstreit fortsetzen.