BGH-Urteil Zustimmung zu Cookies darf nicht voreingestellt sein

Die Aufforderung der Cookie-Nutzung zuzustimmen darf nicht mit »ja« vorgegeben sein. Das entschied heute der Bundesgerichtshof.
Die Aufforderung der Cookie-Nutzung zuzustimmen darf nicht mit »ja« vorgegeben sein. Das entschied heute der Bundesgerichtshof.

Aktiv zustimmen oder nur nicht widersprechen? Für das Setzen von Cookies im Internet hat der BGH eine Unklarheit zwischen deutschem und europäischen Gesetzestext ausgeräumt.

Cookies sind allgegenwärtig im Internet. Wer sie auf seinen Internetseiten setzen will, braucht nach einem Urteil des Bundesgerichtshofs (BGH) aber in jedem Fall die aktive Zustimmung der Nutzer. Konkret ging es um den Streit zwischen dem Anbieter von Online-Gewinnspielen, Planet49, und dem Bundesverband der Verbraucherzentralen. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.

Der Senat habe für seine Entscheidung das deutsche Telemediengesetz (TMG) mit seiner Widerspruchsregelung nach den Vorgaben der seit 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) ausgelegt, sagte der Vorsitzende Richter Thomas Koch. Zuvor hatten die Richter dem Europäischen Gerichtshof Fragen zur Vorabentscheidung vorgelegt. Der deutsche Gesetzgeber habe das TMG nach Einführung der DSGVO zwar nicht überarbeitet, es sei aber klar, dass er keinen Widerspruch zum europäischen Recht sehe. (I ZR 7/16).

Cookies speichern beim Surfen im Internet Daten auf der Festplatte des Nutzers. Bei einem späteren Besuch der Webseite werden mit ihrer Hilfe die Nutzer und ihre Einstellungen wiedererkannt. Cookies werden auch dazu verwendet, Verbrauchern individuelle Werbung zu präsentieren. Wenn ein Nutzer im vorliegenden Fall das voreingestellte Häkchen nicht entfernte, stimmte er einer Auswertung seines Surfverhaltens und interessengerichteter Werbung zu.

Der Verband der Internetwirtschaft (eco) begrüßte die BGH-Entscheidung »Das Urteil gibt Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies«, sagte Eco-Geschäftsführer Alexander Rabe.

Wer darf DSGVO-Verstöße ahnden?

In einem zweiten Fall ging es am Donnerstag im Streit zwischen Verbraucherschützern und Facebook um einen nach Angaben des Richters Koch relativ eindeutigen Verstoß von Facebook gegen das Datenschutzrecht. Dennoch fällten die Richter kein Urteil, sondern setzten das Verfahren aus und legten dem Europäischen Gerichtshof (EuGH) Fragen zur Vorabentscheidung vor. Schwierig wird der Fall durch die DSGVO. Die Frage ist, ob allein Datenschutzbeauftragte berechtigt sind, Verstöße zu ahnden. (Az. I ZR 186/17).

Der Dachverband der Verbraucherzentralen monierte, dass Facebook mit seinem »App-Zentrum« mit kostenlosen Spielen anderer Anbieter gegen den Datenschutz verstoßen habe. Zumindest in der Version von 2012 stimmten Nutzer mit ihrem Klick auf »Sofort spielen« automatisch der Übermittlung verschiedener Daten an den Spielebetreiber zu. Sie berechtigten die Anwendungen auch zu posten – »Statusmeldungen, Fotos und mehr«. Der Nutzer bleibe im Unklaren, was mit seinen Daten geschehe, sagte Koch.

In Deutschland können nicht nur die Aufsichtsbehörden gegen Datenschutzverstöße vorgehen. Auch Mitbewerber und Verbände, Einrichtungen und Kammern können ohne Auftrag einer Betroffenen Person klagen. Nach Angaben des BGH-Senats ist umstritten, ob die DSGVO dem entgegensteht. Der EuGH habe für die alte EU-Datenschutzrichtlinie entschieden, dass Verbände klagen können. Aus dem Urteil gehe aber nicht hervor, ob das auch für die seit Mai 2018 geltenden DSGVO zutrifft.