Der Sachverhalt:
Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, enthielt eine Einverständniserklärung für Werbung von Sponsoren auf postalischen oder telefonischen Weg oder per E-Mail/SMS. Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, enthielt eine Einwilligungserklärung, mit der der Teilnehmer bei seiner Registrierung dem Einsatz von Cookies zustimmte. Mit Hilfe der Cookies sollte eine Auswertung des Surf- und Nutzungsverhaltens des Teilnehmers auf Webseiten von Werbepartnern ermöglicht werden, damit künftig eine interessengerechtere Werbung erfolgen konnte. Eine Teilnahme am Gewinnspiel war nur möglich, wenn mindestens das Häkchen vor dem ersten Hinweistext gesetzt wurde.
Der Kläger war der Ansicht, dass die von der Beklagten verlangten Einverständniserklärungen, insbesondere das sog. "Opt-out-Verfahren", nicht den Anforderungen des § 307 BGB i.V.m. § 7 Abs. 2 Nr. 2 UWG und §§ 12 ff. TMG genügten. Den gesetzlichen Regelungen sei ein "Opt-in"-Erfordernis zu entnehmen. Eine vorgerichtliche Abmahnung ist ohne Erfolg geblieben. LG und OLG haben den Unterlassungsanspruch weitestgehend abgewiesen. Auf die Revisionen der beiden Parteien hat der BGH (Beschl. v. 5.10.2017, I ZR 7/16) das Verfahren ausgesetzt und dem EuGH zur Vorabentscheidung vorgelegt. Danach hänge der Erfolg der Revision des Klägers von der Auslegung des Art. 5 Abs. 3 u. Art. 2f der Richtlinie 2002/58/EG i.V.m. Art. 2h der Richtlinie 95/46/EG sowie Art. 6 Abs. 1a der Verordnung (EU) 2016/679 ab.
Nach Ansicht des Generalanwaltes entsprechen die deutschen Gesetze zum Cookie-Einverständnis nicht dem europäischen Recht.
Die Gründe:
Der BGH möchte zum einen wissen, ob es sich um eine wirksame Einwilligung i.S.d. Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 i.V.m. Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. In diesem Zusammenhang möchte das vorlegende Gericht ferner wissen, ob es einen Unterschied macht, ob die gespeicherten oder abgerufenen Informationen personenbezogene Daten sind. Schließlich möchte es wissen, ob unter den oben geschilderten Umständen eine wirksame Einwilligung i.S.v. Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vorliegt.
Ungeachtet dessen scheint die Antwort auf diese Frage recht eindeutig zu sein: Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf "die Speicherung von Informationen oder Zugriff auf Informationen, die bereits gespeichert sind". Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie "personenbezogene Daten" i.S.v. Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.
Ein solches Verständnis von Art. 5 Abs. 3 der Richtlinie 2002/58 wird überdies durch die Erwägungsgründe 24(58) und 25(59) dieser Richtlinie sowie durch Stellungnahmen der Artikel-29-Datenschutzgruppe bestätigt. Sie führt aus: "Artikel 5 Absatz 3 gilt für "Informationen" (gespeicherte Informationen und/oder Informationen, auf die Zugriff genommen wird). Er macht hier keinen Unterschied. Für die Anwendung dieser Bestimmung ist es nicht erforderlich, dass es sich bei den Informationen um personenbezogene Daten i.S.d. Richtlinie [95/46] handelt."
Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt. Ich schlage daher vor, zu antworten, dass es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 i.V.m. Art. 2 Buchst. h der Richtlinie 95/46 keinen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
Mit der zweiten Frage möchte der BGH wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten. Diesbezüglich schlage ich vor, zu antworten, dass zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
Im Licht der vorstehenden Erwägungen schlage ich dem EuGH vor, die Vorlagefragen wie folgt zu beantworten:
In einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung i.S.d. Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des EU-Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vor.
Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 i.V.m. Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des EU-Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung). Bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 i.V.m. Art. 2 Buchst. h der Richtlinie 95/46 macht es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, zählen die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
Linkhinweis:
Für die auf den Webseiten des EuGH veröffentlichte Entscheidung im Volltext klicken Sie bitte hier.