Deutsche Gesetze zum Cookie-Einverständnis mit EU-Recht unvereinbar?

Der Kläger ist der in die Liste qua­li­fi­zier­ter Ein­rich­tun­gen nach § 4 UKlaG ein­ge­tra­gene Bun­des­ver­band der Ver­brau­cher­zen­tra­len. Die Be­klagte (Pla­net49) bie­tet die Teil­nahme an Ge­winn­spie­len im In­ter­net an. Im Sep­tem­ber 2013 hatte die Be­klagte im In­ter­net ein Ge­winn­spiel ver­an­stal­tet. Nach Ein­gabe der Post­leit­zahl ge­langte der Nut­zer hier­bei auf eine Seite, auf der Name und An­schrift des Nut­zers ein­zu­tra­gen wa­ren. Un­ter den Ein­ga­be­fel­dern für die Adresse be­fan­den sich zwei mit An­kreuz­fel­dern ver­se­hene Hin­weis­texte.

Der er­ste Hin­weis­text, des­sen An­kreuz­feld nicht mit einem vor­ein­ge­stell­ten Häkchen ver­se­hen war, ent­hielt eine Ein­verständ­nis­erklärung für Wer­bung von Spon­so­ren auf pos­ta­li­schen oder te­le­fo­ni­schen Weg oder per E-Mail/SMS. Der zweite Hin­weis­text, der mit einem vor­ein­ge­stell­ten Häkchen ver­se­hen war, ent­hielt eine Ein­wil­li­gungs­erklärung, mit der der Teil­neh­mer bei sei­ner Re­gis­trie­rung dem Ein­satz von Coo­kies zu­stimmte. Mit Hilfe der Coo­kies sollte eine Aus­wer­tung des Surf- und Nut­zungs­ver­hal­tens des Teil­neh­mers auf Web­sei­ten von Wer­be­part­nern ermöglicht wer­den, da­mit künf­tig eine in­ter­es­sen­ge­rech­tere Wer­bung er­fol­gen konnte. Eine Teil­nahme am Ge­winn­spiel war nur möglich, wenn min­des­tens das Häkchen vor dem ers­ten Hin­weis­text ge­setzt wurde.

Der Kläger war der An­sicht, dass die von der Be­klag­ten ver­lang­ten Ein­verständ­nis­erklärun­gen, ins­be­son­dere das sog. "Opt-out-Ver­fah­ren", nicht den An­for­de­run­gen des § 307 BGB i.V.m. § 7 Abs. 2 Nr. 2 UWG und §§ 12 ff. TMG genügten. Den ge­setz­li­chen Re­ge­lun­gen sei ein "Opt-in"-Er­for­der­nis zu ent­neh­men. Eine vor­ge­richt­li­che Ab­mah­nung ist ohne Er­folg ge­blie­ben. LG und OLG ha­ben den Un­ter­las­sungs­an­spruch wei­test­ge­hend ab­ge­wie­sen. Auf die Re­vi­sio­nen der bei­den Par­teien hat der BGH (Be­schl. v. 5.10.2017, I ZR 7/16) das Ver­fah­ren aus­ge­setzt und dem EuGH zur Vor­ab­ent­schei­dung vor­ge­legt. Da­nach hänge der Er­folg der Re­vi­sion des Klägers von der Aus­le­gung des Art. 5 Abs. 3 u. Art. 2f der Richt­li­nie 2002/58/EG i.V.m. Art. 2h der Richt­li­nie 95/46/EG so­wie Art. 6 Abs. 1a der Ver­ord­nung (EU) 2016/679 ab.

Nach An­sicht des Ge­ne­ral­an­wal­tes ent­spre­chen die deut­schen Ge­setze zum Coo­kie-Ein­verständ­nis nicht dem eu­ropäischen Recht.

Die Gründe:

Der BGH möchte zum einen wis­sen, ob es sich um eine wirk­same Ein­wil­li­gung i.S.d. Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 2 Buchst. h der Richt­li­nie 95/46 han­delt, wenn die Spei­che­rung von In­for­ma­tio­nen oder der Zu­griff auf In­for­ma­tio­nen, die be­reits im End­gerät des Nut­zers ge­spei­chert sind, durch ein vor­ein­ge­stell­tes An­kreuzkästchen er­laubt wird, das der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwählen muss. In die­sem Zu­sam­men­hang möchte das vor­le­gende Ge­richt fer­ner wis­sen, ob es einen Un­ter­schied macht, ob die ge­spei­cher­ten oder ab­ge­ru­fe­nen In­for­ma­tio­nen per­so­nen­be­zo­gene Da­ten sind. Schließlich möchte es wis­sen, ob un­ter den oben ge­schil­der­ten Umständen eine wirk­same Ein­wil­li­gung i.S.v. Art. 6 Abs. 1 Buchst. a der Ver­ord­nung 2016/679 vor­liegt.

Un­ge­ach­tet des­sen scheint die Ant­wort auf diese Frage recht ein­deu­tig zu sein: Es macht kei­nen Un­ter­schied, ob es sich bei den ge­spei­cher­ten oder ab­ge­ru­fe­nen In­for­ma­tio­nen um per­so­nen­be­zo­gene Da­ten han­delt. Art. 5 Abs. 3 der Richt­li­nie 2002/58 be­zieht sich auf "die Spei­che­rung von In­for­ma­tio­nen oder Zu­griff auf In­for­ma­tio­nen, die be­reits ge­spei­chert sind". Es ist klar, dass alle sol­chen In­for­ma­tio­nen einen den Da­ten­schutz be­tref­fen­den As­pekt ha­ben, un­abhängig da­von, ob sie "per­so­nen­be­zo­gene Da­ten" i.S.v. Art. 4 Nr. 1 der Ver­ord­nung 2016/679 sind. Wie die Kom­mis­sion zu­tref­fend her­vor­hebt, zielt Art. 5 Abs. 3 der Richt­li­nie 2002/58 auf den Schutz des Nut­zers vor Ein­grif­fen in seine Pri­vat­sphäre ab, un­ge­ach­tet des Um­stands, ob da­bei per­so­nen­be­zo­gene Da­ten oder an­dere Da­ten be­trof­fen sind.

Ein sol­ches Verständ­nis von Art. 5 Abs. 3 der Richt­li­nie 2002/58 wird über­dies durch die Erwägungsgründe 24(58) und 25(59) die­ser Richt­li­nie so­wie durch Stel­lung­nah­men der Ar­ti­kel-29-Da­ten­schutz­gruppe bestätigt. Sie führt aus: "Ar­ti­kel 5 Ab­satz 3 gilt für "In­for­ma­tio­nen" (ge­spei­cherte In­for­ma­tio­nen und/oder In­for­ma­tio­nen, auf die Zu­griff ge­nom­men wird). Er macht hier kei­nen Un­ter­schied. Für die An­wen­dung die­ser Be­stim­mung ist es nicht er­for­der­lich, dass es sich bei den In­for­ma­tio­nen um per­so­nen­be­zo­gene Da­ten i.S.d. Richt­li­nie [95/46] han­delt."

In­fol­ge­des­sen wur­den die An­for­de­run­gen von Art. 5 Abs. 3 der Richt­li­nie 2002/58 durch § 15 Abs. 3 TMG of­fen­bar nicht in vol­lem Um­fang in deut­sches Recht um­ge­setzt. Ich schlage da­her vor, zu ant­wor­ten, dass es bei der An­wen­dung der Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 2 Buchst. h der Richt­li­nie 95/46 kei­nen Un­ter­schied macht, ob es sich bei den ge­spei­cher­ten oder ab­ge­ru­fe­nen In­for­ma­tio­nen um per­so­nen­be­zo­gene Da­ten han­delt.

Mit der zwei­ten Frage möchte der BGH wis­sen, wel­che In­for­ma­tio­nen der Diens­te­an­bie­ter im Rah­men des Er­for­der­nis­ses in Art. 5 Abs. 3 der Richt­li­nie 2002/58, dass der Nut­zer klare und um­fas­sende In­for­ma­tio­nen er­hal­ten muss, zu er­tei­len hat und ob hierzu auch die Funk­ti­ons­dauer der Coo­kies und die Frage zählen, ob Dritte auf die Coo­kies Zu­griff er­hal­ten. Dies­bezüglich schlage ich vor, zu ant­wor­ten, dass zu den kla­ren und um­fas­sen­den In­for­ma­tio­nen, die ein Nut­zer nach Art. 5 Abs. 3 der Richt­li­nie 2002/58 von einem Diens­te­an­bie­ter er­hal­ten muss, die Funk­ti­ons­dauer der Coo­kies und die Frage zählen, ob Dritte auf die Coo­kies Zu­griff er­hal­ten oder nicht.

Im Licht der vor­ste­hen­den Erwägun­gen schlage ich dem EuGH vor, die Vor­la­ge­fra­gen wie folgt zu be­ant­wor­ten:

In ei­ner Si­tua­tion wie der des Aus­gangs­ver­fah­rens, in der die Spei­che­rung von In­for­ma­tio­nen oder der Zu­griff auf In­for­ma­tio­nen, die be­reits im End­gerät des Nut­zers ge­spei­chert sind, durch ein vor­ein­ge­stell­tes An­kreuzkästchen er­laubt wird, das der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwählen muss, und in der die Ein­wil­li­gung nicht ge­son­dert ge­ge­ben wird, son­dern gleich­zei­tig mit der Bestäti­gung der Teil­nahme an einem On­line-Ge­winn­spiel, liegt keine wirk­same Ein­wil­li­gung i.S.d. Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58/EG des Eu­ropäischen Par­la­ments und des Ra­tes vom 12.7.2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten und den Schutz der Pri­vat­sphäre in der elek­tro­ni­schen Kom­mu­ni­ka­tion (Da­ten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­tion) in Ver­bin­dung mit Art. 2 Buchst. h der Richt­li­nie 95/46/EG des EU-Par­la­ments und des Ra­tes vom 24.10.1995 zum Schutz natürli­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten und zum freien Da­ten­ver­kehr vor.

Das Glei­che gilt für die Aus­le­gung der Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 4 Nr. 11 der Ver­ord­nung (EU) 2016/679 des EU-Par­la­ments und des Ra­tes vom 27.4.2016 zum Schutz natürli­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten, zum freien Da­ten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/46 (Da­ten­schutz-Grund­ver­ord­nung). Bei der An­wen­dung der Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 2 Buchst. h der Richt­li­nie 95/46 macht es kei­nen Un­ter­schied, ob es sich bei den ge­spei­cher­ten oder ab­ge­ru­fe­nen In­for­ma­tio­nen um per­so­nen­be­zo­gene Da­ten han­delt. Zu den kla­ren und um­fas­sen­den In­for­ma­tio­nen, die ein Nut­zer nach Art. 5 Abs. 3 der Richt­li­nie 2002/58 von einem Diens­te­an­bie­ter er­hal­ten muss, zählen die Funk­ti­ons­dauer der Coo­kies und die Frage, ob Dritte auf die Coo­kies Zu­griff er­hal­ten oder nicht.

Link­hin­weis:

 

Für die auf den Web­sei­ten des EuGH veröff­ent­lichte Ent­schei­dung im Voll­text kli­cken Sie bitte hier.