BundesgerichtshofWerbetreibende dürfen Nutzer:innen keine Tracking-Cookies unterjubeln

Der BGH nimmt manipulatives Design in den Blick: Cookie-Einwilligungen dürfen nicht vorausgefüllt werden, stellte das Gericht heute unter anderem klar. Notwendig geworden war die Entscheidung, weil Bundesregierung und Große Koalition seit Jahren eine Gesetzesaktualisierung verschleppen.

Ich mag Kekse
„Your patience with others is good“: Der BGH hat heute ein längst überfälliges Urteil zur Freiwilligkeit von Cookie-Einwilligungen gesprochen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Elena Koycheva

Wer sich eine Einwilligung von Nutzer:innen holen möchte, um auf ihren Geräten Werbe-Cookies zu speichern, darf das Ankreuzkästchen nicht vorher für sie ausfüllen. Das hat am heutigen Donnerstag der Bundesgerichtshof in einem jahrelangen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Glücksspiel-Unternehmen Planet 49 entschieden.

Planet 49 wollte bei einem Online-Gewinnspiel die Einwilligung der Teilnehmenden dafür einholen, auf ihren Geräten Cookies zu speichern. Mit diesen können Werbepartner:innen ihre Nutzer:innen wiedererkennen und Informationen über ihr Online-Verhalten sammeln, um Werbung auf sie zuzuschneiden. Der vzbv hatte argumentiert, dass dieses Vorausfüllen nicht den Vorgaben von EU-Datenschutzgesetzen entspricht, nach denen Einwilligungen aktiv, informiert und freiwillig erteilt werden müssen.

Der BGH hat sich nun auf die Seite der Verbraucherschützer:innen gestellt. Er folgt damit der Rechtsauffassung des Europäischen Gerichtshofes, der 2019 mehrere Grundsatzfragen zu dem Fall entschieden hat. Das Gericht sieht in vorausgefüllten Cookie-Einwilligungen eine unangemessene Benachteiligung der Nutzer:innen. Dies gelte sowohl unter der EU-Datenschutzgrundverordnung als auch unter älteren Datenschutzregeln der EU. Nicht von der Entscheidung betroffen sind Cookies, die für den Betrieb von Websites notwendig sind.

BGH kritisiert manipulatives Design

Auch eine zweite Einwilligung von Planet 49 war laut dem BGH nicht rechtskonform. Mit dieser sollten Teilnehmer:innen des Gewinnspiels bestätigten, dass sie von diversen Firmen telefonisch und schriftlich für Werbezwecke kontaktiert werden dürfen. Dabei bestand die Möglichkeit, die Werbefirmen aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich Planet49 das Recht vor, selbst die Entscheidung zu treffen.

Diese Einwilligung habe nicht den rechtlichen Vorschriften an die Informiertheit der Nutzer:innen entsprochen, „weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen“, so der BGH.

Mit der Entscheidung rücken einmal mehr die Gestaltungsfragen von Nutzungsoberflächen in den Vordergrund. Datenschützer:innen kritisieren seit langem, dass durch manipulatives Interface-Design, auch „Dark Patterns“ genannt, die Entscheidungshoheit von Nutzer:innen eingeschränkt werde. Die Datenethikkommission der Bundesregierung hatte 2019 empfohlen, wirksamer gegen die Masche vorzugehen. 2018 hatten mehrere zivilgesellschaftliche Organisationen Datenschutzbeschwerden wegen der Verwendung von Dark Patterns durch Google eingelegt. Erst vor wenigen Tagen hatte ein Think Tank mehrere konkrete Vorschläge gemacht, wie Politik und Behörden das Thema aktiver angehen können.

Wie das Telemediengesetz zum Problem wurde

Das Gericht setzt mit seiner Entscheidung zur Gestaltung von Online-Einwilligungen auch einen Schlussstrich unter eine jahrelange Debatte zwischen Werbeindustrie und Daten- sowie Verbraucherschützer:innen. Denn auch wenn die Datenschutzgrundverordnung (DSGVO) klare Anforderungen an die Einwilligung formuliert, herrscht beim Thema Online-Tracking in Deutschland bisher Chaos, weil Parlament und Regierung die Aktualisierung des Telemediengesetzes jahrelang verschlafen haben.

In dem Gesetz heißt es nämlich heute noch, dass die Betreiber:innen von Websites und anderen Telemediendiensten für Werbezwecke individuelle Nutzungsprofile erstellen dürfen. Einzige Einschränkung: Die Daten dürfen nicht unter Klarnamen gespeichert werden, sondern unter einem Pseudonym. Nutzer:innen haben außerdem ein Widerspruchsrecht.

Für Seitenbetreiber:innen ist das eine ziemlich komfortable Regelung, doch mit der Datenschutzgrundverordnung ist sie nicht vereinbar.

Das jedenfalls sagen die deutschen Datenschutzbehörden. Einen Monat vor Inkrafttreten der DSGVO im Mai 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine Positionsbestimmung zum Online-Tracking [PDF]. Die entsprechenden Regelungen des Telemediengesetzes seien unter der DSGVO nicht mehr anwendbar. Stattdessen bräuchten Tracking-Dienste, die individuelle Profile erstellen wollen, eine explizite und vorherige Einwilligung – Opt-In statt Opt-Out.

Zwischen Einwilligungsmüdigkeit und Entmündigung

Wenig überraschend lehnt die Online-Werbewirtschaft diese Sichtweise der Datenschutzkonferenz ab. Viele Websites haben daher ihre Praxis nicht geändert. Selbst wenn Einwilligungs-Banner erscheinen, sind sie oft vorausgefüllt oder lassen Nutzer:innen gar keine Entscheidungsmöglichkeit. Die Folge: allgemeine Einwilligungsmüdigkeit. Fast automatisch klicken wohl die meisten auf „Zustimmen“, sobald sich der Cookie-Hinweis ins Bild schiebt.

Ein Jahr später hat die Datenschutzkonferenz deshalb nochmal nachgelegt. In einer ausführlichen Orientierungshilfe [PDF] stellten die Aufsichtsbehörden im April 2019 dar, unter welchen Bedingungen Tracking erlaubt ist. Wieder kommen die Datenschützer zu dem Ergebnis: In den allermeisten Fällen benötigen Anbieter eine explizite Einwilligung der Betroffenen. Eine Abwägung zwischen den Interessen der Betroffenen und denen der Werbetreibenden müsse in den meisten Fällen ergeben, dass das Schutzbedürfnis der Nutzer:innen überwiege.

Außerdem könne es nicht als Einwilligung angesehen werden, wenn Menschen nicht auf das Tracking-Banner reagieren, sondern einfach weiter auf der Seite surfen. Auch vorausgefüllte Kästchen seien nicht erlaubt.

Irreführende Rechtslage seit 2009

Es gibt zudem bereits eine EU-Richtlinie, die das Thema Online-Tracking seit 2009 explizit regelt: die 2002 verabschiedete und 2009 überarbeitete ePrivacy-Richtlinie. Als kleine Schwester der Datenschutzgrundverordnung ergänzte und spezifizierte sie die alte EU-Datenschutzrichtlinie von 1995.

Eigentlich sollte sie im Anschluss an die Verabschiedung der Datenschutzgrundverordnung generalüberholt und spätestens im Frühjahr 2018 verabschiedet werden. Gerade in Sachen Online-Tracking sollte die Richtlinie, die dann zur ePrivacy-Verordnung aufgewertet worden wäre, Nutzer:innen mehr Selbstbestimmung ermöglichen. Verabschiedet wurde die Verordnung jedoch bis heute nicht, zu groß ist der Druck der Werbeindustrie.

Das führt zu der bizarren Situation, dass die Datenschutzgrundverordnung dem Online-Tracking nach Auslegung der Datenschutzbehörden engere Grenzen setzt als es das deutsche Datenschutzrecht formell tut.

Aktive Zustimmung oder aktive Ablehnung?

Noch dazu kommt, dass bereits die deutsche Umsetzung der alten ePrivacy-Richtlinie mangelhaft gewesen ist. Denn schon in ihr heißt es seit 2009, dass Nutzer:innen Online-Tracking bewusst zustimmen müssen. Die deutsche Opt-Out-Regelung hat dieser Vorgabe nicht entsprochen. Das sagen die deutschen Datenschutzbehörden und das sagte auch der EuGH in seiner Erklärung zum Fall Planet 49.

Der BGH ermöglicht der Bundesregierung mit seiner kreativen Rechtsauslegung nun aber ihr Gesicht zu wahren. Er bestätigt zwar, dass Werbe-Cookies ein aktives Opt-In voraussetzen, sagt aber, dass dies auch aus der alten Formulierung im Telemediengesetz hervorgehe. Dort steht zwar, dass Nutzer:innen aktiv widersprechen müssen, wenn sie mit der Sammlung ihrer Daten nicht einverstanden sind, der Gesetzgeber habe damit aber in Wirklichkeit gemeint, dass sie aktiv zustimmen müssen.

Für die Praxis ist diese Frage am Ende egal. Denn so oder so stellt der BGH mit seinem Urteil klar: Wer Nutzer:innen heute noch Cookie-Einwilligungen unterjubelt, handelt illegal.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Eine technische Frage: Stimmt es, dass bestimmte Cookies zwingend notwendig für die Gestaltung einer Website (Design) sind, woran liegt das und ist das wirklich unabdingbar oder wird möglicherweise noch geforscht in dieser Richtung um Privacy und wirklicher Trackingschutz in Einklang zu bringen??

  2. Zum Beispiel bei Login-Verfahren: Lässt sich der Prozess so gestalten bzw. designen ohne permanent wieder rauszufliegen, weil eben jener Cookie dazu dient sich zu merken, dass man eingeloggt ist??? Hintergrund ist, dass ein ein Bekannter und Webentwickler mir genau das so erklären wollte und ich es kaum glauben konnte..

    1. @solidarmarket: es gibt durchaus Login-Verfahren ohne expliziten Cookie. Macht das Verfahren aber i.d.R. unsicher, solange nicht mit lokalen Speicher oder dergleichen mittels Webtoken gearbeitet wird. Früher wurden beispielsweise häufig entsprechende Tokens / Sitzungs-IDs an URLs angehängt und damit bei jedem Request an den Server geschickt. Aber wie gesagt, das erhöht die Gefahr, dass beim Teilen von Links oder dergleichen andere Leute die Sitzung relativ problemfrei übernehmen können. Das möchte in der Regel keiner.
      Auch Funktionen wie „Login merken“ würde dann nicht mehr funktionieren.

      Alternativen wären dann Dinge wie: stateless Backend bei dem über Tokens gearbeitet wird – der Token oder diverse Einstellungen können dann im lokalen Speicher gelegt werden. Das heißt, es wird über Scriptsprachen mehr und mehr Funktionen clientseitig abgebildet, sodass die Informationen nicht mehr permanent bei jedem Request an den Server gesendet werden muss. Erhöht die Last clientseitig und erfordert damit auch mehr und mehr Rechenleistung auf Nutzerseite.

      Andere Funktionen könnten bspw. Customized Webseiten sein. Wo also der Nutzer bspw. die Möglichkeit hat, die Seite umzugestalten, zu personalisieren. Kannte man früher von so Dashboard-Seiten (gibts die noch?), wo man Widgets einfügen und verschieben konnte. Da wollte man ja auch, dass das alles so bleibt. Auch solche Dingen landen aber mehr und mehr im lokalen Speicher und löst Cookies ab.

      Es gibt also definitiv (noch) valide und auch gute Gründe technische Cookies zu setzen (die natürlich automatisch nach einer gewissen Zeitspanne gelöscht werden [sollten] durch ein Ablaufzeitpunkt, der mit den Cookie-Daten gesetzt werden kann). Die sind per se auch erstmal nicht schlimm, solange verantwortungsvoll damit umgegangen wird. Und das ist immer erforderlich, denn auch wenn ich keine Cookies nutze, kann man clientseitig mit einem Browserfingerprint einen Nutzer recht zielsicher identifizieren und tracken.

  3. Meines Erachtens gibt es bei dieser Dikussion einige Dinge, die völlig außen vor gelassen werden:
    1.) Die Einwilligung erfolgt in aller Regel ausschliesslich aus dem Grund, weil der Besucher einer Website diese auch … oh Wunder … besuchen möchte. Es ist ein Unding, dass aufgrund der Cookie-Richtlinie praktisch keine Website mehr aufgerufen werden kann, ohne sich zuvor durch ein mehr oder weniger gut gemeintes Gewirr an Einstellknöpfen o.ä. zu wursteln. Am Ende wird man – ähnlich wie bei EULAs oder bereits bei Windows Vista – alles anklicken, was hilft, um endlich den gewünschten Inhalt aufrufen zu können. Ich wage mal die Prognose, dass sehr viele Nutzer mit der früheren Praxis keine Probleme hatte, im Gegenteil die Cookie-Richtlinie es gerade erst möglich gemacht hat, dass Unternehmen noch weit reichendere Informationen speichern können (man kann z. B. leicht prüfen, was ausgewöhlt wurde und dann entsprechende Inhalte gar nicht mehr anzeigen, es sei denn, der Besucher gewährt vollumfängliche Rechte).
    2.) Niemand denkt an sehbehinderte Menschen oder personen mit motorischen Störungen. Diese sind darauf angewiesen, dass sich Inhalte voreingestellt leicht und einfach öffnen lassen oder benötigen gar einen Screen-Reader bzw. andere Hilfsmittel, wie eine Bildschirmlupe. Die Cookie-Popups sorgen dafür, dass diese Menschen ein viel grösseres Problem haben, gewünschte Seiten aufzurufen oder anzeigen zu lassen, als Menschen ohne Handicap. Ich habe dies schon mehrfach erlebt (das Selbe gilt auch für die unsägliche 2-Faktor-Authentifizierungen via Smartphone) und das Ergebnis ist katastrophal. Betroffene fühlen sich ausgegrenzt und benötigen plötzlich externe Hilfe, um die kleinsten Dinge zu erledigen.

    Ich halte diese ganz Debatte in weiten Teilen für eine Scheindebatte, die davon ablenkt, wie exzessiv staatliche Einrichtungen ohne jede Einwilligung immer mehr Daten sammeln und auswerten.

  4. Ich finde es wirklich unfassbar, wie das jetzt nach dem Gerichtsurteil gelöst wurde.
    Die ersten Änderungen waren schon genau das, was ich mir gewünsht hatte:
    Cookies Ja oder Nein klicken, fertig.
    Jetzt wird unterschieden in „notwendigen“ Cookies und anderen.
    Wähle ich die notwendigen Cookies ab (wenn es möglich ist bzw. ich das finde), dann kann ich kaum noch die Webseite benutzen.
    Ok, wird vielleicht für Login oder ähnliches verwendet, aber wenn ich mich nicht einloggen will ?
    Die Datenschutzinformationen gibt es natürlich auch oft in englisch, versteht ja jeder.
    (ok, auf deutsch schon fast nicht zu verstehen und ellenlang).

    Weitere Informationen:
    https://tcf.cookiepedia.co.uk/?lang=de
    https://cookiepedia.co.uk/

  5. Hallo,

    es geht um Einwilligungen für Tracking-Cookies und vergleichbare Mechanismen. Ein Login-Cookie kann, muss aber nicht die Funktion erfüllen. Auch einfache Ja/Nein-Buttons halte ich für legitim, wenn vorher die Möglichkeit besteht, sich ausführlich über die Funktion der verwendeten Cookies und Ähnliches zu informieren. Das wird aber nicht generell so gesehen. Datenschutzbeauftragte fordern immer wieder, dass einzelne Cookies aktiviert oder deaktiviert werden können. Ich halte einzelne Zustimmungen einzig dann für erforderlich, wenn dadurch Funktionen für den Anwender eingeschränkt werden. Ob jetzt bei Werbeanbieter A oder B getrackt wird, halte ich nicht für so eine Einschränkung und dürfte auch kaum relevant sein für die User.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.