Cookie-Einwilligung II - BGH-Urteil vom 28.05.2020

  • In den letzten Tagen gab es im Forum unter verschiedenen Threads Beiträge, die sich auf das aktuelle Urteil vom 28.05.2020 des BGH (I ZR 7/16-Cookie-Einwilligung-II) bezogen, aber daraus falsche oder unvollständige Schlüsse zogen. Nachfolgend meine Auffassung zur Anwendung des Urteils auf die Erstellung von Webseiten (wie immer, keine Rechtsberatung, sondern nur persönliche Einschätzung bezogen auf die Gestaltung unserer Vereinswebseite).


    1. Im Rahmen der Pressemitteilung des BGH ist unter dem Abschnitt Vorinstanzen zu erkennen, dass hier seit 2014 verhandelt wurde. Der Rechtsstreit ging vom Landgericht FFM (2014) an das Oberlandesgericht FFM (2015) zum Bundesgerichtshof (2017). Beim BGH wurde damals allerdings kein Urteil gefällt, sondern der Beschluss i ZR 7/16 Cookie-Einwilligung-I gefasst, offene Auslegungsfragen zur damals geltenden EU-Datenschutzrichtlinie sowie zu möglichen Kollisionen mit geltendem deutschen Recht dem EuGH vorzulegen. Der EuGH hat mit Urteil vom 01.10.2019 C‑673/17 die Auslegungsfragen beantwortet, so dass der BGH jetzt auf dieser Grundlage entscheiden konnte.
    2. Unter Entscheidung des Bundesgerichtshofs ist der Pressemitteilung zu entnehmen, das hinsichtlich der Cookie-Einwilligung die erstinstanzliche Verurteilung der Beklagten wiederhergestellt wurde. Wir müssen hier also auf das Urteil des LG Frankfurt am Main vom 10.12.2014 2/6 O 30/14 zurückgreifen, um zu sehen, was dort eigentlich hinsichtlich Cookies entschieden wurde.
      1. Der entsprechende Abschnitt des verlinkten Urteils beginnt auf Seite 12. Hier wird auf die - damals geltende - EU-Datenschutz-Richtlinie wie folgt verwiesen: Danach ist "Einwilligung jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt." Das ist das Wesentliche, was wir zum Thema Einwilligung wissen müssen.
      2. Auf Seite 14 des Urteils wird auf die rechtliche Zulässigkeit der Verarbeitung abgestellt. Hier wird auf das damals geltende Bundesdatenschutzgesetz (BDSG-alt) verwiesen. Danach ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn entweder eine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsvorschrift dies erlaubt. Ebenfalls wird darauf verwiesen, dass der Betroffene auf den Zweck der Verarbeitung hinzuweisen ist (informierte Entscheidung).
      3. Auf Seite 15 heißt es weiter, dass bei einer vorformulierten Einwilligungserklärung klar erkennbar sein muss, dass der Betroffene eingewilligt hat. In der streitgegenständlichen Formulierung wurden diese Anforderungen nicht erfüllt, da wesentliche Informationen nicht in räumlichem Zusammenhang, sondern erst nach Betätigen eines Links lesbar wurden.
    3. In der Pressemitteilung des BGH (das komplette schriftliche Urteil liegt noch nicht vor) wird weiter begründet, dass auch die damalige EU-Datschutzrichtlinie so auszulegen ist, dass für den Einsatz von Cookies zur Erstellung von Benutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Damit ist geklärt, dass Werbung und Marktforschung nicht über "berechtigte Interessen des Verantwortlichen" begründbar sind.
    4. Unmittelbar folgend wird ausgeführt: dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an.
    5. Im weiteren geht es dann noch um die Frage, ob denn damals unter Bezug auf das Telemediengesetz so hätte geurteilt werden dürfen, obwohl die EU-Richtlinie nicht in deutsches Recht umgesetzt wurde. Dies bezieht sich aber auf den konkret verhandelten Fall und ist für uns nicht relevant.
    6. Ein Button "nicht einverstanden" ist entgegen eines hier im Forum erschienenen Beitrages weder im BGH-Urteil noch im EuGH-Urteil erwähnt;

    Schlussfolgerungen:

    1. Ich empfehle jedem Seitenbetreiber, sich zumindest die Artikel 1 bis 50 der DSGVO durchzulesen, da darin alles Wesentliche steht, was ein Seitenbetreiber mindestens wissen muss.
    2. Weder das BGH-Urteil vom 28.05.2020 noch das EuGH-Urteil vom 01.20.2019 ändern etwas an der mindestens seit 25.05.2018 bestehenden Rechtslage. Beide Urteile beziehen sich auf eine Klage, die noch unter dem BDSG-alt, dem TMG-alt sowie der EU-Datenschutzrichtlinie eingereicht wurde. Sie bestätigen lediglich, dass das Handeln der Beklagten bereits 2014 rechtswidrig war. Insoweit sollte jeder für sich selbst prüfen, seit wann er sich - nicht - an die Gesetze gehalten hat.


    konkrete Umsetzungen in Zeta-Producer:

    1. Zeta selbst verwendet keine Cookies zur Erstellung von Benutzerprofilen für Zwecke der Werbung oder Marktforschung. Dies trifft auch für sämtliche früheren Versionen von Zeta zu.
    2. Zeta-Producer stellt Widgets zur Einbindung von Drittanbieterinhalten als WERKZEUG zur Verfügung. Ob diese Drittanbieter Benutzerprofile erstellen, wie diese aufgebaut sind, welche Daten erhoben werden und wie lange diese gespeichert werden, liegt außerhalb des Kenntnis- und Entwicklungsbereiches von Zeta.
    3. Jeder Seitenbetreiber ist selbst dafür verantwortlich, welche Inhalte er von Dritten einbindet und muss daher selbst prüfen, ob dies datenschutzkonform geschehen kann. Beispielsweise bei Youtube besteht bereits seit 2018 die Möglichkeit, den "erweiterten Datenschutzmodus" zu verwenden, bei dem die Videos von einem anderen Server geladen werden und keine Cookies gesetzt werden.
    4. Von Zeta-Producer erstellte Seiten beinhalten beispielsweise die Cookies PHPSESSID, zpratinguser oder zp_consent_***. Alle diese Cookies werden nicht zur Erstellung von Benutzerprofilen verwendet. diese fallen unter "berechtigte Interessen des Verantwortlichen" nach Art. 6 Zif. 1 Buchst. f DSGVO. Davon unbeschadet gehören sie aber in die Datenschutzerklärung (Art. 12 DSGVO - transparente Information).
    5. Für das Widget "Cookie-Consent" hat das Urteil Auswirkungen dahingehend, dass sehr deutlich die Grenzen gesetzt werden, wie eine informierte Einwilligung gestaltet werden muss. Allerdings müssen wir auch prüfen, ob wir nicht momentan Dienste über das Widget Einwilligungsbedürftig machen, die keine Benutzerprofile anlegen. Eine Prüfung muss auch erfolgen, wie wir mit dem Thema Vorauswahl umgehen.
  • Also ich hatte vor ein paar Wochen diesbezüglich einen Schreiben von meinem Anwalt bekommen. Das Urteil sagt genau das aus, was das ZP Widget "Cookie-Consent" erfüllt: Der Besucher muss beim erstmaligen Betreten genau aufgeschlüsselt die Cookies angezeigt bekommen und "einzeln" wählen können, welche aktiv oder nicht aktiv sein sollen. Die Websites, die lediglich einen Infobanner mit "akzeptieren" haben, sind unzulässig. Mehr gab es da für mich eigentlich nicht zu verstehen.

  • Die Websites, die lediglich einen Infobanner mit "akzeptieren" haben, sind unzulässig. Mehr gab es da für mich eigentlich nicht zu verstehen.

    das wiederum ist eine unzulässige Verkürzung. Wenn die Seite keine Cookies enthält oder oder nur Cookies, die technisch notwendig sind, reicht nach wie vor die Information über die Verarbeitung aus. Korrekterweise sollte man dann den Button aber nicht "Einverstanden", sondern "verstanden" nennen oder gleich auf den Button verzichten.


    In der Ursprungsversion wurde das Widget Info-Banner übrigens ohne Button ausgeliefert, da konnte man das Fenster nur über "-X" schließen.