Handlungsempfehlungen nach den Cookie-Entscheidungen von EuGH und BGH
16. Juli 2020

ISSN 2699-8084

Wissenschaftlicher Artikel
Datenrecht
Lesezeit 15 Min.
Rainer Robbel
Rechtsanwalt, externer Datenschutzbeauftragter | ETL-Rechtsanwälte GmbH

Nach den unlängst ergangenen Entscheidungen von EuGH und BGH sind nahezu alle Website-Betreiber gefordert, sich von den Besuchern ihrer Webseiten eine Einwilligung einzuholen, bevor auf deren Rechnern Cookies gesetzt werden, wollen sie diese und deren Surf- und Nutzungsverhalten auch weiterhin nachverfolgen. Die derzeit einzige bekannte technische Lösung sind sogenannte Consent-Banner1. Wie die genau auszusehen haben, lässt die Rechtsprechung bislang jedoch weitestgehend offen. So wird beileibe nicht jede erhältliche Consent-Banner-Lösung am Ende rechtskonform sein. Aber wie gelangt man auf die sichere Seite?

 

 

Ausgangpunkt: Die Planet49-Entscheidungen


Das Unternehmen Planet49 veranstaltete im September 2013 auf der Website „www.dein-macbook.de“ ein Gewinnspiel. Dabei waren von den Gewinnspielteilnehmern unter anderem zwei mit Ankreuzfeldern versehene Einverständniserklärungen abzugeben. Bei der ersten Erklärung, bei welcher das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden sollte, mussten die Teilnehmer aktiv ein Häkchen setzen (Opt-In). Dagegen war bei der zweiten Einverständniserklärung das Häkchen bereits voreingestellt, so dass der Teilnehmer, wollte er sein Einverständnis verweigern, das Häkchen aktiv hätte entfernen müssen (Opt-Out). Das Einverständnis sollte sich dabei auf den Einsatz eines Webanalysedienstes beziehen, wozu der Gewinnspielveranstalter nach Registrierung für das Gewinnspiel Cookies setzte. Mittels diesen Cookies ließ sich das Surf- und Nutzungsverhalten des Teilnehmers auf Websites von Werbepartnern des Gewinnspieldienstes analysieren und damit auf dessen individuelle Interessen gerichtete Werbung durch den Webanalysedienst ermöglichen. Zweck war die Erzielung höherer Werbeeinnahmen aufgrund zielgerichteter Werbung durch Planet49.

Der Bundesverband der Verbraucherzentralen (vzbv) ging unter anderem dagegen vor, dass die Teilnehmer aktiv das voreingestellte Häkchen entfernen mussten, um dem Setzen von Cookies zu widersprechen. Nach Auffassung des vzbv erfordere eine rechtswirksame Einwilligung ein aktives Tun des Nutzers, was aber durch das Opt-Out gerade nicht der Fall war. De facto war es genau umgekehrt, die Einwilligung war quasi vorgegeben, während der Nutzer aktiv werden musste, wenn er nicht einwilligen wollte. Planet49 hielt mit der Begründung dagegen, dass § 15 Abs. 3 Telemediengesetz (TMG) besagt, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht. Bei dieser Lesart wäre also eigentlich ein aktives Tun des Nutzers nur dann erforderlich, wenn er nicht einwilligen will, so jedenfalls die naheliegende Auffassung von Planet49.


Nun muss man wissen, dass der deutsche Gesetzgeber– wohl auch auf Druck der Wirtschaft – die europäischen Vorgaben, die eigentlich bis 2011 hätten umgesetzt werden müssen, mit dem TMG nur unzureichend erfüllt und die Vorgaben aus Brüssel recht großzügig interpretiert hatte, was von zahlreichen Datenschützern immer wieder kritisiert wurde. Aus diesem Grund sahen die Consent-Banner auf rein deutschen Webseiten in der Vergangenheit zumeist deutlich anders aus, als auf Seiten aus anderen Ländern. Aus denselben Gründen wurde (auch) von der deutschen Regierung die geplante neue e-Privacy-Richtlinie, die eigentlich zeitnah zur DSGVO erlassen werden sollte, immer wieder und bis heute blockiert.


Nachdem das Verfahren mit unterschiedlichen Ergebnissen durch die Instanzen gegangen war, landete es schließlich beim Bundesgerichtshof (BGH). Der BGH hatte Zweifel, ob eine solche Auslegung des § 15 Abs. 3 TMG den europäischen Vorgaben entspricht und legte die Angelegenheit – insgesamt vier Fragen – dem Europäischen Gerichtshof (EuGH) zur Entscheidung vor.


Der EuGH traf daraufhin 01.10.20192 die verständlicherweise vor allem in Deutschland vielbeachtete Entscheidung, wonach Webseiten nur dann Cookies auf dem Rechner der Nutzer speichern dürfen, wenn diese hierin zuvor ausdrücklich eingewilligt haben. Dazu genüge es nicht, wenn die Häkchen bei den jeweiligen Cookies in der Voreinstellung gesetzt sind (Opt-Out), vielmehr müssten die Nutzer aktiv werden, damit die Einwilligung wirksam sei (Opt-In). Der Nutzer solle dabei vor jedem Eingriff in seine Privatsphäre geschützt werden: „…ein voreingestelltes Ankreuzkästchen genügt nicht.


Der EuGH stellte darüber hinaus klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies unter anderem Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.


Nach der Auffassung des EuGH ist es dabei unerheblich, dass es sich bei Cookies nur um pseudonymisierte Daten handele, die keinen wirklichen Bezug zu einer konkreten Person zuließen. Selbst wenn es um nicht-personenbezogene Daten gehe, müsste die explizite Zustimmung zur Datenverarbeitung erteilt werden. "Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen", so die Mitteilung des Gerichts.


Deutlicher konnte der EuGH der dargestellten deutschen Interpretation in Gestalt von § 15 TMG kaum entgegengetreten.


In der Folge dieses Urteils des EuGH hat der BGH sodann am 28.05.20203 entschieden, dass § 15 Abs. 3 TMG richtlinienkonform, sprich entsprechend den europäischen Vorgaben auszulegen sei. Dabei spiele es keine Rolle, dass der deutsche Gesetzgeber die Vorgaben der EU bisher nicht umgesetzt habe, vielmehr müsse angenommen werden, dass der Gesetzgeber die Rechtslage in Deutschland (noch) für richtlinienkonform halte. In der Konsequenz ist daher § 15 Abs. 3 TMG richtlinienkonform auszulegen und das bedeutet, der Nutzer muss aktiv einwilligen, also das Häkchen aktiv setzen, sofern er zustimmt.


Die bisher weit verbreitete Lösung, den Websitebesucher auf den Einsatz von Cookies lediglich hinzuweisen und ihm ggf. eine Deaktivierung (für Folgebesuche) über einen Opt-Out in der Datenschutzerklärung zu ermöglichen, reicht nach den vorgenannten Entscheidungen von EuGH und BGH definitiv nicht mehr aus. Es drohen Bußgeldverfahren, Abmahnungen und eventuell sogar Schadenersatzansprüche.


Spätestens seit den Schlussanträgen des Generalanwalts in der Sitzung vom 21. März 20194 war wohl abzusehen, wie der EuGH entscheiden würde. In der Folge haben sich nach und nach zahlreiche verschiedene Consent-Banner im Markt etabliert, die ganz offensichtlich zum Ziel haben, auch weiterhin möglichst viele Nutzer dazu zu bringen, funktionale Cookies zu erlauben, um die vielfältigen Marketing- und Analysetools auch zukünftig nutzen und damit höhere Werbeeinnahmen erzielen zu können. Dabei werden die Anforderungen von EuGH und nun auch BGH an eine freiwillige und informierte Einwilligung zum Teil sehr weit ausgelegt und dürften einer gerichtlichen Überprüfung kaum standhalten.


Die bis vor kurzem noch am häufigsten anzutreffende Form war ein Banner am oberen oder unteren Rand des sichtbaren Bereichs, worin man die Einwilligung des Nutzers unterstellte, wenn er die Website nutzt (z.B. indem er nach unten scrollt). Da diese auf den ersten Blick und ohne jeden Zweifel unzulässig sind, verschwindet diese Art von Banner mehr und mehr von – vor allem stärker frequentierten – Websites.


Ein anderes Erscheinungsbild eines Consent-Banners, welches man derzeit noch häufig vorfindet, stellt die Frage an den Nutzer, ob er mit Tracking zur „Verbesserung der Nutzererfahrung“ (oder einer sinngemäßen Beschreibung) einverstanden ist. Dazu wird dann zwar ein „Ja“-, jedoch kein „Nein“-Button angeboten. Alternativ zu „Ja“ kann der Nutzer nur auf „Einstellungen“ klicken, wobei ihm sodann meist umfangreiche und mit Fachbegriffen vollgepackte Texte und Checkboxen angezeigt werden. Regelmäßig findet sich dann ganz unten am Fuße der Einstellungsmöglichkeiten, der Auswahlbutton „Einstellungen speichern“. Ob dem Nutzer dabei bewusst ist, was er genau „speichert“ und ob er sich wirklich zuvor mit den inhaltlichen Ausführungen auseinandergesetzt oder die Auswahl informiert und freiwillig vorgenommen hat, ist höchst zweifelhaft. Häufig sind auch in diesen Bannern die „Zustimmen“-Schaltflächen bereits vorausgewählt oder aber es werden missverständliche Buttons mit „Ok“ und „Speichern“ zur Auswahl angeboten, wobei das naheliegende „Ok“ tatsächlich alle Einwilligungen automatisch setzt.


In anderen Varianten wird mit Buttons in unterschiedlichen Farben und/oder Größen gearbeitet, um den Nutzer so zu beeinflussen, dass er möglichst die Einwilligung ohne großes Nachdenken erteilt. Dabei machen sich die Websitebetreiber vor allem den Umstand zunutze, dass die überwiegende Anzahl der Nutzer möglichst schnell auf den eigentlichen Inhalt der Website zugreifen will ohne sich zuvor mit langen und kaum verständlichen Informationstexten auseinandersetzen zu müssen. Man spricht hierbei von „Nudging“. Gemeint ist damit, das Verhalten von Menschen auf vorhersagbare Weise zu beeinflussen, ohne dabei jedoch auf Verbote, Gebote oder ökonomische Anreize zurückzugreifen5. In manchen Bannern geht das so weit, dass der „Ja“-Button grün leuchtend an prominentester Stelle platziert ist, während die „Einstellungen“ lediglich als Link in einem kleingedruckten Fließtext versteckt sind. Hier wird das „Nudging“ so dreist auf die Spitze getrieben, dass es wohl eher die Missbilligung des Nutzers erzielen dürfte, wenn der genauer hinsieht.


Orientierungshilfe der dänischen Datenschutzaufsichtsbehörde


Als erste Aufsichtsbehörde hat im Februar dieses Jahres und damit recht aktuell die dänische Datenschutzaufsichtsbehörde im Zusammenhang mit einer Entscheidung zu einem vom Dänischen Meteorologischen Institut (DMI) genutzten Consent-Banner eine Orientierungshilfe6 veröffentlicht, nach denen wohl eine Vielzahl der bislang in Deutschland eingesetzten Consent-Banner unzulässig wären.


Bei diesem Consent-Banner des DMI hatte der Nutzer beim Besuch der Website zwei Auswahlmöglichkeiten. Entweder er akzeptierte alle Cookies („GEM COOKIE INSTILLINGER“) oder er konnte die Cookie Einstellungen aufrufen („SKJUL DETALJER“). Wählte er die Einstellungen, konnte er in einem sich dann öffnenden Menü auswählen, welche Arten von Cookies er akzeptiert und in welche er nicht einwilligt. Hierbei wurden dem Nutzer die Kategorien „Notvendige“ (=Erforderliche), „Funktionelle“, „Statistiske“, „Marketing“ und „Uklassivicerede“ (=Unklassifiziert) vorgegeben. Die Felder waren nicht vorangehakt.

 

                                     robbel Skizze


Diese, wie oben dargestellt, auch in Deutschland immer noch verbreitete Lösung, hält die dänische Aufsicht für unzulässig.


Der Gesetzgeber wolle mit dem Erfordernis der Freiwilligkeit einer Einwilligung ein hohes Maß an Transparenz für die betroffene Person schaffen. Zum anderen soll der betroffenen Person die Wahl und die Kontrolle über ihre personenbezogenen Daten gegeben werden. Könne die betroffene Person keine echte und freie Wahl treffen, so sei anzunehmen, dass die Einwilligung nicht freiwillig erteilt wurde.


Den dänischen Datenschützern zufolge ist dabei für die Beurteilung der Freiwilligkeit einer Einwilligung erheblich, ob für jeden Zweck eine separate Einwilligung eingeholt wird, wenn die Verarbeitungsvorgänge mehreren Zwecken dienen. Man spricht hierbei vom Prinzip der „Granularität“. Der Nutzer kann nur dann frei und informiert entscheiden, wenn er die einzelnen Verarbeitungszwecke kennt und auf Basis dieser Kenntnisse passgenau also „granular“ entscheiden kann.


Dies sei bei dem Consent-Banner des DMI nicht der Fall, denn der Besucher erkläre mit Betätigung des „OK“-Buttons seine Zustimmung gleichzeitig für mehrere unterschiedliche Verarbeitungszwecke.


Auch sei es erforderlich, den Besucher mindestens über die Identität des für die jeweilige Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung zu informieren, was im Falle DMI nicht geschehen sei, da man zwar über die Werbenetzwerke „AdSense“ und „DoubleClick“ informiere, nicht aber über das hinter diesen Begriffen steckende Unternehmen Google. Das sei intransparent, denn man könne keineswegs davon ausgehen, dass diese Markenbegriffe den Besuchern bekannt seien.


Weiterhin argumentiert die dänische Datenschutzaufsichtsbehörde, dass es ebenso leicht sein müsse, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. Der Aufbau des vom DMI verwendeten Consent-Banners erfülle diese Transparenzanforderung nicht, denn anstatt eines „Ablehnen“-Buttons als Widerspiel zum „Ok“-Button, muss der Besucher zunächst zu den „Cookie-Einstellungen“ wechseln, bevor er ablehnen kann. Ein solcher “One-Click-Away“-Aufbau erfordere für die Ablehnung im Gegensatz zur Einwilligung einen zusätzlichen Schritt und sei daher intransparent.


Bedingt durch die Art der Darstellung, die sich dem Besucher auf den ersten Blick biete, werde diesem vermittelt, dass er die Wahl zwischen Akzeptieren („OK“) und der Möglichkeit, bestimmte Voreinstellungen zu treffen („Cookie-Einstellungen“), habe. Dass er die Cookies auch ablehnen könne, erschließe sich ihm auf diesen ersten Blick nicht. Nun will sich der durchschnittliche Besucher in der Regel aber weder mit kaum verständlichem Kleingedruckten noch mit irgendwelchen technischen Voreinstellungen herumschlagen, sondern so schnell wie möglich zum eigentlichen Angebot der Website gelangen. Daher habe die Darstellung des DMI-Banners zur Möglichkeit nicht einzuwilligen, nicht den gleichen „Kommunikationseffekt“, wie die Möglichkeit der Einwilligung. Hierdurch würde ein weiteres Mal gegen den Grundsatz der Transparenz verstoßen, indem die betroffene Person indirekt dazu gedrängt werde, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen (s.o. „Nudging“).


Aktualisierte Leitlinien des EDSA


Der Europäische Datenschutzausschuss (EDSA) hat jüngst seine Leitlinien7 zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Schon im Vorwort weist der EDSA darauf hin, dass mit der vorliegenden Aktualisierung insbesondere zu zwei unterschiedlichen Fragen eine rechtliche Klarstellung erfolgen soll, nämlich:

                1. Die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sogenannten

                   "Cookie-Walls" erteilt wird.

                2. Die Einwilligung durch konkludentes Handeln, wie das Scrollen auf einer Website.


Trotz des Umfangs von insgesamt 33 Seiten betreffen die Änderungen zur ursprünglichen Leitlinie im Wesentlichen die Ausführungen in den Abschnitten „Bedingtheit“ („Conditionality“) und „Eindeutige Angabe von Wünschen“ („Unambiguous indication of wishes“). Der Rest dürfte hinlänglich bekannt sein, dennoch versucht der EDSA mit diesen aktualisierten Leitlinien klarer und unmissverständlicher darzustellen, wie Consent-Banner rechtskonform gestaltet werden können und welche Lösungen wohl eher als unzulässig anzusehen sind.


Eine der Änderungen gegenüber dem vorherigen Leitfaden ist die ausdrückliche Feststellung, dass durch „Cookie-Walls“ regelmäßig keine wirksamen Einwilligungen eingeholt werden können. Als Cookie-Walls werden solche Consent-Banner bezeichnet, die das Betrachten von Inhalten von der Zustimmung abhängig machen, dass der Besucher in die Anzeige nutzerbasierter Werbung einwilligt, wozu das Setzen von Cookies zwingend erforderlich ist. Der Zugang zu einem Web-Service dürfe nicht von der Erlaubnis in das Setzen von sogenannten Cookies abhängig gemacht werden. Es fehle hier schlichtweg an der Freiwilligkeit einer solchen Einwilligung.


Das dürfte vor allem die Anbieter von journalistischen Beiträgen etwas überraschen, hielt man doch bislang solche Lösungen für zulässig.


Fakt ist, dass der EDSA mit dieser Meinung nicht alleine dasteht. Die niederländische Datenschutzbehörde teilte bereits im März 2019 mit, dass sie eine Kopplung von Cookies und der Website-Nutzung nicht mit der DSGVO für vereinbar halte.8 Dieser Auffassung stimmten in der Folge auch die Datenschützer in Großbritannien9 und Frankreich10 zu. Letztlich und maßgeblich für die Deutschen hat sich auch der Bundesbeauftragte für Datenschutz und die Informationsfreiheit in Deutschland, Professor Ulrich Kelber entsprechend positioniert und dem EDSA beigepflichtet: „Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten“11.


Allerdings gibt es eine Ausnahme. In der gleichen Mitteilung heißt es nämlich: „Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.“ Hierin dürfte dann wohl ein Ausweg für die journalistischen Angebote bestehen. Die größte deutsche Tageszeitung, die BILD macht es jedenfalls schon seit einiger Zeit recht erfolgreich vor. Der Werbeindustrie wird das gleichwohl nicht weiterhelfen.


Zur konkludenten Einwilligung durch Nutzung der Website oder Scrolling, wie man sie häufig in älteren Cookie-Hinweisen (s.o.) findet, stellt das EDSA unmissverständlich klar:

"Handlungen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten erfüllen unter keinen Umständen das Erfordernis einer eindeutigen und bestätigenden Handlung." („Based on recital 32, actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action: such actions may be difficult to distinguish from other activity or interaction by a user and therefore determining that an unambiguous consent has been obtained will also not be possible. Furthermore, in such a case, it will be difficult to provide a way for the user to withdraw consent in a manner that is as easy as granting it”)12.


Diese Aussage dürfte aber kaum überraschen, hat doch schon der Gesetzgeber in Erwägungsgrund 32 zur DSGVO festgestellt: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen...“.


In den weiteren Ausführungen des EDSA wird beschrieben, welche Voraussetzungen an eine wirksame Cookie-Einwilligung bestehen, wobei aber auf die Anforderungen zurückgegriffen wird, die der EuGH bereits für erforderlich hielt und nun auch vom BGH übernommen wurden: Eine Einwilligung ist nur dann wirksam, wenn sie freiwillig, für den konkreten Fall, informiert und unter eindeutiger Angabe der Wünsche des Einwilligenden erteilt wurde und wenn sie jederzeit widerruflich ist. Dabei liegt die Pflicht, das Vorliegen dieser Voraussetzungen in Zweifelsfällen nachzuweisen, auf Seiten des Websitebetreibers.


Auch das ist nichts Neues, dies waren für die deutschen Aufsichtsbehörden schon immer die Voraussetzungen für eine wirksame Einwilligung.


Auswirkungen der aktuellen Rechtslage auf Deutschland


Aus den Urteilsgründen des BGH lässt sich nicht konkret ableiten, in welcher Ausgestaltung ein Consent-Banner rechtskonform ist. Entscheidend war für den I. Zivilsenat vor allem, dass die Gestaltung nicht so ausgelegt ist, dass sie den Verbraucher verwirrt.


Bemängelt wurde vor allem die Liste von insgesamt 57 „Sponsoren und Kooperationspartnern“, die alle vom Gewinnspielteilnehmer einzeln abzuwählen waren. Wählte der Teilnehmer jedoch keine oder eine nicht ausreichende Anzahl ab, wählte Planet49 für diesen die Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren). Nach Auffassung des Gerichts muss eine Einwilligung "in Kenntnis der Sachlage" erteilt werden. Dies sei nur dann der Fall, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt dann "für den konkreten Fall", wenn klar werde, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasse. Daran fehlte es aber im Streitfall, weil die vom Kläger angegriffene Gestaltung der Einwilligungserklärung darauf angelegt gewesen sei, den Verbraucher mit einem aufwendigen Verfahren der Abwahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Soweit der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht wisse, welche Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, läge keine Einwilligung für den konkreten Fall vor.13


Ausreichend sei grundsätzlich auch nicht, den Einwilligungstext mittels eines Links mit weiteren erforderlichen Informationen zu erweitern. Im Falle eines Internet-Gewinnspiels der vorliegenden Art stehe der mit der angegriffenen Gestaltung verbundene Aufwand für die Auswahl von Werbepartnern für den Verbraucher schon aus zeitlichen Gründen außer Verhältnis zur angestrebten Spielteilnahme und daher sei zu erwarten, dass der Verbraucher der Auswahl durch die Beklagte zustimmen werde. Die Liste enthalte gerade keine übersichtliche Bezeichnung der Werbepartner und ihres Geschäftsbereich.14


Die Gestaltung der Einwilligung erschien dem BGH unter Berücksichtigung ihres Einsatzzwecks - der Teilnahme an einem Gewinnspiel im Internet - auch darauf angelegt zu sein, den Verbraucher von einer Kenntnisnahme abzuhalten und ihn dazu zu veranlassen, das Wahlrecht der Beklagten zu übertragen.15


Dem BGH zufolge wird ein Consent-Banner immer dann den Anforderungen an die Einwilligung nicht gerecht, wenn der zeitliche Aufwand, sich die für eine „informierte“ Einwilligung benötigten Informationen zu verschaffen nicht mehr in einem Verhältnis zum eigentlichen Anlass für den Besuch der Webseite stehen.


Weitere Hinweise darauf, wie zulässige Gestaltungen von Consent-Bannern aussehen könnten enthält die Begründung des BGH nicht, das war aber auch nicht unbedingt zu erwarten.


Hinsichtlich der Auswirkungen der neuen EDSA-Leitlinien ist zu beachten, dass der EDSA das Nachfolgegremium des europäischen Beratungsgremiums für den Schutz personenbezogener Daten und der Privatsphäre (sog. Artikel-29-Gruppe) ist. Die von diesem Gremium verfassten und veröffentlichten Leitlinien und Empfehlungen dienen der Koordination der Rechtsauffassungen unter den europäischen Aufsichtsbehörden und werden von diesen als für sie verbindlich betrachtet. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber hat die Leitlinie des EDSA jedenfalls umgehend begrüßt (s.o.).


Was die dänische Aufsichtsbehörde für richtig hält, hat natürlich keinen direkten Einfluss auf Verantwortliche in Deutschland. Gleichwohl darf man davon ausgehen, dass solche Rechtsauffassungen einer europäischen Datenschutzaufsichtsbehörde maßgeblichen Einfluss auf die Rechtsauffassungen anderer europäischer Aufsichtsbehörden haben werden. Die DSGVO ist europäisches Recht und wirkt unmittelbar in den Mitgliedsstaaten. Es wäre absurd, würde das Gesetz in den entscheidenden Detailfragen durch die Aufsichtsbehörden der Mitgliedsstaaten unterschiedlich ausgelegt. Dementsprechend  kann man in der Orientierungshilfe der dänischen Aufsichtsbehörde einen ersten Versuch erkennen, eine Harmonisierung zu diesem wirtschaftlich höchst bedeutenden Thema voranzutreiben. Auch wenn der EDSA diesen Ball mit seinen aktuellen Leitlinien noch nicht aufgefangen und ähnlich umfassend wie die Dänen Klarheit geschaffen hat, dürfte doch erkennbar sein, wohin die bevorstehende europäische Reise beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben von DSGVO und einer zukünftigen E-Privacy-Richtlinie gehen wird.

 


1 In diesem Beitrag wird der Begriff Consent-Banner verwendet. Hiermit sind die einer Website vorgeschalteten Banner gemeint, mit denen die Einwilligung der Website-Besucher in das Setzen von Cookies oder die Verwendung anderer Tracking-Technologien eingeholt werden. Andere verbreitete Bezeichnungen für Consent-Banner sind z.B. Cookie-Consent-Banner, Cookie-Banner oder Cookie-Management-Tool.
2 EuGH, 1.10.2019 – C-673/17, abrufbar unter: http://curia.europa.eu/juris/document/document.jsf;jsessionid=6A3350D1C644481B7DD83B7447CD625A?text=&docid=218462&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=2393800.
3 BGH, 28.05.2020 – I ZR 7/16, Pressemitteilung.
4 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
5 http://www.digitalwiki.de/nudging/.
6 https://www.datatilsynet.dk/media/7784/vejledning-om-behandling-af-personoplysninger-om-hjemmesidebesoegende.pdf.
7 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
8 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#mag-ik-als-organisatie-een-cookiewall-gebruiken-7111.
9 https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-we-comply-with-the-cookie-rules/#comply12.
10 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337.
11 https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/10_Leitlinien-Einwilligung-Internet-aktualisiert.html.
12  Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.1 Adopted on 4 May 2020, Seite 19, Rdnr. 86 - https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
13 Urteil des BGH vom 28.05.2020, I ZR 7/16 Rdnr. 31 ff. (https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&sid=7330d402dff8f74612e20f9b568cc4fd&nr=107623&pos=0&anz=2).
14 Urteil des BGH vom 28.05.2020, I ZR 7/16 Rdnr. 36.
15 Urteil des BGH vom 28.05.2020, I ZR 7/16 Rdnr. 37.