Aktiv zustimmen oder nur nicht widersprechen? Für das Setzen von Cookies im Internet hat der BGH eine Unklarheit zwischen deutschem und europäischen Gesetzestext ausgeräumt.
Karlsruhe - Cookies sind allgegenwärtig im Internet. Wer sie auf seinen Internetseiten setzen will, braucht nach einem Urteil des Bundesgerichtshofs (BGH) vom Donnerstag aber in jedem Fall die aktive Zustimmung der Nutzer. Konkret ging es um den Streit zwischen dem Anbieter von Online-Gewinnspielen, Planet49, und dem Bundesverband der Verbraucherzentralen. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.
Der Senat habe für seine Entscheidung das deutsche Telemediengesetz (TMG) mit seiner Widerspruchsregelung nach den Vorgaben der seit 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) ausgelegt, sagte der Vorsitzende Richter Thomas Koch. Zuvor hatten die Richter dem Europäischen Gerichtshof Fragen zur Vorabentscheidung vorgelegt. Der deutsche Gesetzgeber habe das TMG nach Einführung der DSGVO zwar nicht überarbeitet, es sei aber klar, dass er keinen Widerspruch zum europäischen Recht sehe. (I ZR 7/16).
Rechtsunsicherheit für Unternehmen erheblich reduziert
Cookies speichern beim Surfen im Internet Daten auf der Festplatte des Nutzers. Bei einem späteren Besuch der Webseite werden mit ihrer Hilfe die Nutzer und ihre Einstellungen wiedererkannt. Cookies werden auch dazu verwendet, Verbrauchern individuelle Werbung zu präsentieren. Wenn ein Nutzer im vorliegenden Fall das voreingestellte Häkchen nicht entfernte, stimmte er einer Auswertung seines Surfverhaltens und interessengerichteter Werbung zu.
Das Urteil des Bundesgerichtshofs sorge dafür, dass die Rechtsunsicherheit für Unternehmen erheblich reduziert werde, ist Lutz Martin Keppeler, IT-Rechtsexperte bei der Sozietät Heuking Kühn Lüer Wojtek, überzeugt. „Denn endlich ist klar, was in Sachen Cookies erlaubt ist und was nicht.“ Gleichzeitig steige mit sofortiger Wirkung auch das Abmahn- und Haftungsrisiko bei Verstößen - etwa, wenn Unternehmen nicht sofort handeln und ihre Webseiten und Apps nicht anpassen.
Der Verband der Internetwirtschaft (eco) begrüßte die BGH-Entscheidung „Das Urteil gibt Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies“, sagte Eco-Geschäftsführer Alexander Rabe.
Streit zwischen Verbraucherschützern und Facebook
Der Branchenverband Bitkom kritisierte dagegen das Urteil scharf. Es treffe die Webseitenbetreiber schwer und es nerve viele Internetnutzer, erklärte Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Alle Cookies, die als nicht unbedingt erforderlichen gelten, dürften jetzt nur noch mit aktiver Einwilligung gesetzt werden. „Welche Cookies damit gemeint sind, bleibt jedoch unklar. Dieser Unsicherheit wird für alle Seiten zu höheren Aufwänden führen.“ Für Internetnutzer entstehe mit dem BGH-Urteil ein weiterer Komfortverlust: „Sie müssen häufiger Banner wegklicken oder Häkchen setzen, bevor sie die gewünschten Inhalte sehen.“ Dabei dienten Cookies den Webseitenbetreibenden und Usern gleichermaßen, etwa bei Warenkörben in Online-Shops oder um das Webseitenerlebnis für Nutzer zu verbessern.
In einem zweiten Fall ging es am Donnerstag im Streit zwischen Verbraucherschützern und Facebook um einen nach Angaben des Richters Koch relativ eindeutigen Verstoß von Facebook gegen das Datenschutzrecht. Dennoch fällten die Richter kein Urteil, sondern setzten das Verfahren aus und legten dem Europäischen Gerichtshof (EuGH) Fragen zur Vorabentscheidung vor. Schwierig wird der Fall durch die DSGVO. Die Frage ist, ob allein Datenschutzbeauftragten berechtigt sind, Verstöße zu ahnden. (Az. I ZR 186/17).
Automatische Übermittlung verschiedener Daten
Der Dachverband der Verbraucherzentralen monierte, dass Facebook mit seinem „App-Zentrum“ mit kostenlosen Spielen anderer Anbieter gegen den Datenschutz verstoßen habe. Zumindest in der Version von 2012 stimmten Nutzer mit ihrem Klick auf „Sofort spielen“ automatisch der Übermittlung verschiedener Daten an den Spielebetreiber zu. Sie berechtigten die Anwendungen auch zu posten - „Statusmeldungen, Fotos und mehr“. Der Nutzer bleibe im Unklaren, was mit seinen Daten geschehe, sagte Koch.
In Deutschland können nicht nur die Aufsichtsbehörden gegen Datenschutzverstöße vorgehen. Auch Mitbewerber und Verbände, Einrichtungen und Kammern können ohne Auftrag einer Betroffenen Person klagen. Nach Angaben des BGH-Senats ist umstritten, ob die DSGVO dem entgegensteht. Der EuGH habe für die alte EU-Datenschutzrichtlinie entschieden, dass Verbände klagen können. Aus dem Urteil gehe aber nicht hervor, ob das auch für die seit Mai 2018 geltenden DSGVO zutrifft.