de en
Nexia Ebner Stolz

Rechtsberatung

Deutsche Gesetze zum Cookie-Einverständnis mit EU-Recht unvereinbar?

EuGH, C‑673/17: Schlussanträge des Generalanwalts vom 21.3.2019

In einer Situation, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung i.S.d. europäischen Rechts vor.

Der Sach­ver­halt:

Der Klä­ger ist der in die Liste qua­li­fi­zier­ter Ein­rich­tun­gen nach § 4 UKlaG ein­ge­tra­gene Bun­des­ver­band der Ver­brau­cher­zen­tra­len. Die Beklagte (Pla­net49) bie­tet die Teil­nahme an Gewinn­spie­len im Inter­net an. Im Sep­tem­ber 2013 hatte die Beklagte im Inter­net ein Gewinn­spiel ver­an­stal­tet. Nach Ein­gabe der Post­leit­zahl gelangte der Nut­zer hier­bei auf eine Seite, auf der Name und Anschrift des Nut­zers ein­zu­tra­gen waren. Unter den Ein­ga­be­fel­dern für die Adresse befan­den sich zwei mit Ank­reuz­fel­dern ver­se­hene Hin­weis­texte.

Der erste Hin­weis­text, des­sen Ank­reuz­feld nicht mit einem vor­ein­ge­s­tell­ten Häk­chen ver­se­hen war, ent­hielt eine Ein­ver­ständ­ni­s­er­klär­ung für Wer­bung von Spon­so­ren auf pos­ta­li­schen oder tele­fo­ni­schen Weg oder per E-Mail/SMS. Der zweite Hin­weis­text, der mit einem vor­ein­ge­s­tell­ten Häk­chen ver­se­hen war, ent­hielt eine Ein­wil­li­gung­s­er­klär­ung, mit der der Teil­neh­mer bei sei­ner Regi­s­trie­rung dem Ein­satz von Coo­kies zustimmte. Mit Hilfe der Coo­kies sollte eine Aus­wer­tung des Surf- und Nut­zungs­ver­hal­tens des Teil­neh­mers auf Web­sei­ten von Wer­be­part­nern ermög­licht wer­den, damit künf­tig eine inter­es­sen­ge­rech­tere Wer­bung erfol­gen konnte. Eine Teil­nahme am Gewinn­spiel war nur mög­lich, wenn min­des­tens das Häk­chen vor dem ers­ten Hin­weis­text gesetzt wurde.

Der Klä­ger war der Ansicht, dass die von der Beklag­ten ver­lang­ten Ein­ver­ständ­ni­s­er­klär­un­gen, ins­be­son­dere das sog. "Opt-out-Ver­fah­ren", nicht den Anfor­de­run­gen des § 307 BGB i.V.m. § 7 Abs. 2 Nr. 2 UWG und §§ 12 ff. TMG genüg­ten. Den gesetz­li­chen Rege­lun­gen sei ein "Opt-in"-Erfor­der­nis zu ent­neh­men. Eine vor­ge­richt­li­che Abmah­nung ist ohne Erfolg geb­lie­ben. LG und OLG haben den Unter­las­sungs­an­spruch wei­test­ge­hend abge­wie­sen. Auf die Revi­sio­nen der bei­den Par­teien hat der BGH (Beschl. v. 5.10.2017, I ZR 7/16) das Ver­fah­ren aus­ge­setzt und dem EuGH zur Vor­a­b­ent­schei­dung vor­ge­legt. Danach hänge der Erfolg der Revi­sion des Klä­gers von der Aus­le­gung des Art. 5 Abs. 3 u. Art. 2f der Richt­li­nie 2002/58/EG i.V.m. Art. 2h der Richt­li­nie 95/46/EG sowie Art. 6 Abs. 1a der Ver­ord­nung (EU) 2016/679 ab.

Nach Ansicht des Gene­ral­an­wal­tes ent­sp­re­chen die deut­schen Gesetze zum Coo­kie-Ein­ver­ständ­nis nicht dem euro­päi­schen Recht.

Die Gründe:

Der BGH möchte zum einen wis­sen, ob es sich um eine wirk­same Ein­wil­li­gung i.S.d. Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 2 Buchst. h der Richt­li­nie 95/46 han­delt, wenn die Spei­che­rung von Infor­ma­tio­nen oder der Zugriff auf Infor­ma­tio­nen, die bereits im End­ge­rät des Nut­zers gespei­chert sind, durch ein vor­ein­ge­s­tell­tes Ank­reuz­käst­chen erlaubt wird, das der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwäh­len muss. In die­sem Zusam­men­hang möchte das vor­le­gende Gericht fer­ner wis­sen, ob es einen Unter­schied macht, ob die gespei­cher­ten oder abge­ru­fe­nen Infor­ma­tio­nen per­so­nen­be­zo­gene Daten sind. Sch­ließ­lich möchte es wis­sen, ob unter den oben geschil­der­ten Umstän­den eine wirk­same Ein­wil­li­gung i.S.v. Art. 6 Abs. 1 Buchst. a der Ver­ord­nung 2016/679 vor­liegt.

Unge­ach­tet des­sen scheint die Ant­wort auf diese Frage recht ein­deu­tig zu sein: Es macht kei­nen Unter­schied, ob es sich bei den gespei­cher­ten oder abge­ru­fe­nen Infor­ma­tio­nen um per­so­nen­be­zo­gene Daten han­delt. Art. 5 Abs. 3 der Richt­li­nie 2002/58 bezieht sich auf "die Spei­che­rung von Infor­ma­tio­nen oder Zugriff auf Infor­ma­tio­nen, die bereits gespei­chert sind". Es ist klar, dass alle sol­chen Infor­ma­tio­nen einen den Daten­schutz betref­fen­den Aspekt haben, unab­hän­gig davon, ob sie "per­so­nen­be­zo­gene Daten" i.S.v. Art. 4 Nr. 1 der Ver­ord­nung 2016/679 sind. Wie die Kom­mis­sion zutref­fend her­vor­hebt, zielt Art. 5 Abs. 3 der Richt­li­nie 2002/58 auf den Schutz des Nut­zers vor Ein­grif­fen in seine Pri­vat­sphäre ab, unge­ach­tet des Umstands, ob dabei per­so­nen­be­zo­gene Daten oder andere Daten betrof­fen sind.

Ein sol­ches Ver­ständ­nis von Art. 5 Abs. 3 der Richt­li­nie 2002/58 wird über­dies durch die Erwä­g­ungs­gründe 24(58) und 25(59) die­ser Richt­li­nie sowie durch Stel­lung­nah­men der Arti­kel-29-Daten­schutz­gruppe bestä­tigt. Sie führt aus: "Arti­kel 5 Absatz 3 gilt für "Infor­ma­tio­nen" (gespei­cherte Infor­ma­tio­nen und/oder Infor­ma­tio­nen, auf die Zugriff genom­men wird). Er macht hier kei­nen Unter­schied. Für die Anwen­dung die­ser Bestim­mung ist es nicht erfor­der­lich, dass es sich bei den Infor­ma­tio­nen um per­so­nen­be­zo­gene Daten i.S.d. Richt­li­nie [95/46] han­delt."

Infol­ge­des­sen wur­den die Anfor­de­run­gen von Art. 5 Abs. 3 der Richt­li­nie 2002/58 durch § 15 Abs. 3 TMG offen­bar nicht in vol­lem Umfang in deut­sches Recht umge­setzt. Ich schlage daher vor, zu ant­wor­ten, dass es bei der Anwen­dung der Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 2 Buchst. h der Richt­li­nie 95/46 kei­nen Unter­schied macht, ob es sich bei den gespei­cher­ten oder abge­ru­fe­nen Infor­ma­tio­nen um per­so­nen­be­zo­gene Daten han­delt.

Mit der zwei­ten Frage möchte der BGH wis­sen, wel­che Infor­ma­tio­nen der Diens­te­an­bie­ter im Rah­men des Erfor­der­nis­ses in Art. 5 Abs. 3 der Richt­li­nie 2002/58, dass der Nut­zer klare und umfas­sende Infor­ma­tio­nen erhal­ten muss, zu ertei­len hat und ob hierzu auch die Funk­ti­ons­dauer der Coo­kies und die Frage zäh­len, ob Dritte auf die Coo­kies Zugriff erhal­ten. Dies­be­züg­lich schlage ich vor, zu ant­wor­ten, dass zu den kla­ren und umfas­sen­den Infor­ma­tio­nen, die ein Nut­zer nach Art. 5 Abs. 3 der Richt­li­nie 2002/58 von einem Diens­te­an­bie­ter erhal­ten muss, die Funk­ti­ons­dauer der Coo­kies und die Frage zäh­len, ob Dritte auf die Coo­kies Zugriff erhal­ten oder nicht.

Im Licht der vor­ste­hen­den Erwä­gun­gen schlage ich dem EuGH vor, die Vor­la­ge­fra­gen wie folgt zu beant­wor­ten:

In einer Situa­tion wie der des Aus­gangs­ver­fah­rens, in der die Spei­che­rung von Infor­ma­tio­nen oder der Zugriff auf Infor­ma­tio­nen, die bereits im End­ge­rät des Nut­zers gespei­chert sind, durch ein vor­ein­ge­s­tell­tes Ank­reuz­käst­chen erlaubt wird, das der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwäh­len muss, und in der die Ein­wil­li­gung nicht geson­dert gege­ben wird, son­dern gleich­zei­tig mit der Bestä­ti­gung der Teil­nahme an einem Online-Gewinn­spiel, liegt keine wirk­same Ein­wil­li­gung i.S.d. Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58/EG des Euro­päi­schen Par­la­ments und des Rates vom 12.7.2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphäre in der elek­tro­ni­schen Kom­mu­ni­ka­tion (Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­tion) in Ver­bin­dung mit Art. 2 Buchst. h der Richt­li­nie 95/46/EG des EU-Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum freien Daten­ver­kehr vor.

Das Glei­che gilt für die Aus­le­gung der Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 4 Nr. 11 der Ver­ord­nung (EU) 2016/679 des EU-Par­la­ments und des Rates vom 27.4.2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum freien Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/46 (Daten­schutz-Grund­ver­ord­nung). Bei der Anwen­dung der Art. 5 Abs. 3 und 2 Buchst. f der Richt­li­nie 2002/58 i.V.m. Art. 2 Buchst. h der Richt­li­nie 95/46 macht es kei­nen Unter­schied, ob es sich bei den gespei­cher­ten oder abge­ru­fe­nen Infor­ma­tio­nen um per­so­nen­be­zo­gene Daten han­delt. Zu den kla­ren und umfas­sen­den Infor­ma­tio­nen, die ein Nut­zer nach Art. 5 Abs. 3 der Richt­li­nie 2002/58 von einem Diens­te­an­bie­ter erhal­ten muss, zäh­len die Funk­ti­ons­dauer der Coo­kies und die Frage, ob Dritte auf die Coo­kies Zugriff erhal­ten oder nicht.

Link­hin­weis:

 

Für die auf den Web­sei­ten des EuGH ver­öf­f­ent­lichte Ent­schei­dung im Voll­text kli­cken Sie bitte hier.
 

nach oben