Das OLG Köln hat entschieden, dass ein Cookie-Banner so gestaltet sein muss, dass das Ablehnen genauso bequem wie das Akzeptieren ist. Zudem hat das Gericht entschieden, dass das Schließen des Cookie-Banners mit "X" keine wirksame Einwilligung darstellt.
Aus den Entscheidungsgründen: Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine gleichwertige, mithin auf klaren und umfassenden Informationen beruhende, Ablehnungsoption angeboten, weshalb er – wie vom Landgericht zutreffend ausgeführt – zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies abgehalten wird, so dass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO angesehen werden kann. Die erste Ebene enthält überhaupt keine Ablehnungsoption für den Verbraucher. Vielmehr kann dieser durch den Button „Einstellungen“ lediglich auf die zweite Ebene gelangen. Hier hat der Verbraucher dann die Auswahl zwischen dem Button „Alles Akzeptieren“ und dem Button „Speichern“. Wie vom Landgericht zutreffend ausgeführt, erschließt sich dem Durchschnittsnutzer aber bereits nicht, welche Funktion sich konkret hinter dem jeweiligen Button verbirgt bzw. mit welchem Button er nunmehr tatsächlich die Ablehnung der Cookies erreichen kann. Die Beklagte hat in erster Instanz selbst wiederholt ausgeführt, dass für den Verbraucher eine echte Wahlmöglichkeit gegeben sein müsse. Dies ist indes bei der hier aufgezeigten Gestaltung der Cookie-Banner gerade nicht der Fall.
Die Zurückweisung des Antrages zu b) – den der Kläger in der Berufungsinstanz in unveränderter Form gestellt hat – ist durch das Landgericht zu Unrecht erfolgt. Auch wenn der Kläger sich in der mündlichen Verhandlung zunächst dahingehend positioniert hat, dass es ihm gerade auf den Einschub zu a) ankomme und daher allenfalls dieser von dem beantragten Verbot isoliert erfasst sein solle, hat er letztlich den Antrag wie angekündigt gestellt und demgemäß hieran gerade nicht festgehalten. Durch die Verknüpfung und/oder bestand zwischen den Anträgen zu a) und b) ein echtes Alternativverhältnis, weshalb das Landgericht auch isoliert über den Antrag zu b) hätte entscheiden müssen. Eine andere Auslegung lässt entgegen der Auffassung der Beklagten auch das den Antrag zu b) einleitende Wort „dabei“ nicht zu, da dies ohne weiteres auch Sinn ergibt, wenn dieser Antrag nur isoliert geltend gemacht wird.
Dieser hinreichend bestimmte Antrag hat in der Sache ebenfalls Erfolg. Die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung und führt zu deren Unwirksamkeit. Insoweit kann wiederum auf die zutreffenden Ausführungen des Landgerichts verwiesen werden. Das „X“-Symbol ist Nutzern bekannt als Möglichkeit, um ein Fenster zu schließen, nicht aber, um in die Verwendung von Cookies und anderen Technologien durch den Websitebetreiber einzuwilligen. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer nicht bewusst sein. Zwar steht unmittelbar neben dem „X“- Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und denselben Button handelt. Vor diesem Hintergrund kann die Einwilligung mithilfe des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend, noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DSGVO bewertet werden
Das LG Berlin hat entschieden, dass das Setzen von Werbecookies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers zulässig ist. Insbesondere dürfen die Cookies nicht automatisch mit Aufruf der Website gesetzt werden. Die hier streitgegenständliche Verwendung von Cookies auf welt.de war - so das Gericht - wettbewerbswidrig.
Aus dem Entwurf: A. Problem und Ziel § 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) bestimmt, dass eine zuständige unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten.
Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies. Anhand der im Cookie gespeicherten Informationen kann der Webserver u. a. den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 216/679 eingewilligt hat. Eine Ausnahme vom Einwilligungserfordernis in Cookies besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder ein Cookie unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, ob personenbezogene Daten verarbeitet werden. Die Möglichkeiten der Verordnung (EU) 216/679, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach den Einwilligungen der Endnutzer in die unterschiedlichen Arten von Cookies fragen. In der Praxis erfolgt dies häufig mittels sogenannter Cookie-Einwilligungs-Banner.
Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffenen Entscheidungen, ob sie eine Einwilligung nach § 25 Absatz 1 TTDSG gegenüber einem Anbieter von Telemedien erteilen oder nicht, und übermitteln die Entscheidung an den Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einstellungen des Endnutzers zur Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Abfrage der Einwilligung nach § 25 Absatz 1 TTDSG angewiesen.
§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung zu regeln:
- die Anforderungen an die Nutzerfreundlichkeit und Wettbewerbskonformität, die ein Dienst zu Einwilligungsverwaltung erfüllen muss, um anerkannt werden zu können,
- das Anerkennungsverfahren und
- die technischen und organisatorischen Maßnahmen, die Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbietern von Telemedien ergreifen können, damit diese die Einstellungen, die ein Endnutzer über einen anerkannten Dienst zur Einwilligungsverwaltung vornimmt, befolgen und sie die Einbindung des anerkannten Dienstes bei der Abfrage der Einwilligung nach § 25 TTDSG berücksichtigen.
Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.
B. Lösung
Die EinwV regelt die erforderlichen Anforderungen für nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der von den Endnutzern erteilten Einwilligungen nach § 25 Absatz 1 TTDSG. Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung wird den Endnutzern ein transparentes Werkzeug zur Verfügung gestellt, durch das sie Einstellungen zur Einwilligung vornehmen, jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine zuständige Stelle soll für die Endnutzer und Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne die Inanspruchnahme ihres Dienstes durch die Einblendung eines Cookie-Einwilligungs-Banner stören zu müssen.
Das LG Köln hat entschieden, dass ein Unterlassungsanspruch gegen die Deutsche Telekom wegen der Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung besteht.
Aus den Entscheidungsgründen: Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.
Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.
a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.
Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).
So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „142.250.185.228“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.
b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).
Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.
Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand InternetNutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).
Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).
Ob an die Dienste Heap und Xandr ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.
c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.
d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.
Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.
In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:
„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“ (Schrems II, Rn. 126).
Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).
Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.
Dies entspricht auch der Wertung des EuGH:
„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ (Schrems II, Rn. 133).
Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.
Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.
e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.
Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.
Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).
Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.
Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. 5 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.
Das LG München hat entschieden, dass der Cookie-Banner nach TCF-Standard von FOCUS-Online datenschutzwidrig ist. Insbesondere rügt das Gericht, dass der Cookie-Banner angesichts der Vielzahl technisch nicht notwendiger Cookies unübersichtlich ist und der Aufwand zum Ablehnen aller Cookies zu aufwändig ist, da kein "Alle-Ablehnen"-Button vorgehalten wird.
Aus dem Entwurf: A. Problem und Ziel
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligung in das Speichern von Informationen auf Endeinrichtungen der Endnutzer oder in den Abruf von Informationen, die bereits auf Endeinrichtungen gespeichert sind, ermöglichen. Unabhängige Dienste zur Einwilligungsverwaltung sollen es den Endnutzern unter Mitwirkung von Software zum Abrufen und Darstellen von Informationen aus dem Internet (in der Regel Browser) und der verantwortlichen Telemedienanbieter ermöglichen, über die erforderliche Einwilligung in den Zugriff auf ihre Endeinrichtungen durch Dritte in informierter Weise zu entscheiden. Vor allem geht es dabei um die Einwilligung in Cookies oder ähnliche Technologien, die von Telemedienanbietern zum Zwecke der Ausspielung von Werbung eingesetzt werden. Ziel ist die Überwindung der derzeitigen Praxis der Telemedienanbieter, die einzelnen Einwilligungen bei jedem Besuch der Webseite mittels sog. Einwilligungs-Cookie-Banner einzuholen. Diese Praxis überfordert die meisten Endnutzer. Durch die Einbindung anerkannter Dienste zur Einwilligungsverwaltung soll für die Endnutzer eine anwenderfreundliche Alternative zur bisherigen Praxis geschaffen und die Endnutzer von vielen Einzelentscheidungen entlastet werden. § 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung Anforderungen an das nutzerfreundliche und wettbewerbskonforme Verfahren der Einwilligungsverwaltung und technische Anwendungen, an das Verfahren der Anerkennung von Diensten der Einwilligungsverwaltung und die technischen und organisatorischen Anforderungen an Browser-Software und Telemedienanbieter zur Befolgung von Endnutzer-Einstellungen und Berücksichtigung von anerkannten Diensten zu regeln. Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.
B. Lösung
Die Einw-VO enthält die Anforderungen, bei deren Einhaltung die Erteilung einer wirksamen Einwilligung in das Speichern von Informationen auf Endeinrichtungen sowie in den Abruf von Informationen, die auf Endeinrichtungen gespeichert sind, in nutzerfreundlicher und wettbewerbskonformer Weise möglich ist. Damit können wiederholende Aufforderungen zur Erteilung von Einwilligungen insbesondere beim Besuch von Webseiten und die damit verbundene Belastung der Endnutzer vermieden werden. Zugleich wird sichergestellt, dass Telemedienanbieter, die im Rahmen ihrer Geschäftsmodelle Einwilligungen benötigen,diese durch Dienste zur Einwilligungsverwaltung auch wirksam und nachweisbar erhalten können und nicht diskriminiert werden.
Die Beschwerde der Antragsgegnerin gegen den im Tenor genannten Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 ist zulässig. Sie ist insbesondere statthaft, soweit sich die Antragsgegnerin gegen die erlassene einstweilige Anordnung wendet. Erkennbar greift die Antragsgegnerin den Beschluss vom 1. Dezember 2021 nicht an, soweit damit das erstinstanzliche Eilverfahren teilweise eingestellt worden ist, zumal diese Entscheidung unanfechtbar ist (§ 92 Abs. 3 Satz 2 VwGO). Die so verstandene Beschwerde der Antragsgegnerin ist rechtzeitig gestellt und fristgerecht begründet worden. Der angefochtene Beschluss ist der Antragsgegnerin am Tag seines Erlasses am 1. Dezember 2021 zugestellt worden. Mit dem am 15. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag ist daher die Beschwerdefrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO gewahrt worden. Die Beschwerde ist mit am 3. Januar 2022, einem Montag, beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die einmonatige Begründungsfrist des § 146 Abs. 4 Satz 4 VwGO eingehalten worden ist. Die vorgelegte Begründung genügt auch den hieran zu stellenden gesetzlichen Anforderungen.
Die Beschwerde der Beigeladenen ist ebenfalls zulässig.
Die vom Verwaltungsgericht mit Beschluss vom 14. Dezember 2021 vorgenommene Beiladung der Beigeladenen, die diese mit am 13. Dezember 2021 beim Verwaltungsgericht eingegangenem Schriftsatz vom selben Tag beantragt hatte, ist wirksam. Dies gilt ungeachtet des Umstandes, dass das Verwaltungsgericht zunächst den Schriftsatz der Beigeladenen mit dem Antrag auf Beiladung vom 13. Dezember 2021 am 14. Dezember 2021 den (bisherigen) Beteiligten übermittelt hatte mit Gelegenheit zur Stellungnahme hierzu innerhalb von zwei Tagen, jedoch noch am 14. Dezember 2021 den Beiladungsbeschluss erlassen hat, ohne die von ihm selbst gesetzte Frist abzuwarten. Auch wenn diese Vorgehensweise ungewöhnlich oder gar bedenklich erscheinen mag, ist die Beiladung nicht unwirksam. Der Beiladungsbeschluss ist mit der laut Empfangsbekenntnis (Bl. 764 der Gerichtsakte) am 14. Dezember 2021 erfolgten Zustellung wirksam geworden und zwar unabhängig davon, dass dieser Beschluss entgegen der ausdrücklichen Regelung in § 65 Abs. 4 Satz 1 VwGO den (bisherigen) Beteiligten nicht zugestellt, sondern nur einfach zur Kenntnis gebracht worden ist (vgl. Kopp/Schenke, VwGO, 27. Aufl. 2021, § 65, Rn. 25 und 35). Obwohl zum Zeitpunkt des Erlasses und der Zustellung des Beiladungsbeschlusses am 14. Dezember 2021 der die Instanz abschließende Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 noch am selben Tag an die (bisherigen) Beteiligten zugestellt worden war (Empfangsbekenntnisse Bl. 728a und 728b der Gerichtsakte), war das erstinstanzliche Verfahren zum Zeitpunkt des Erlasses des Beiladungsbeschlusses am 14. Dezember 2021 mangels Ablaufs der Rechtsmittelfrist noch nicht rechtskräftig abgeschlossen im Sinne von § 65 Abs. 1 VwGO. Das Verfahren war auch noch nicht im Sinne der genannten Vorschrift in der höheren Instanz anhängig. Die Beschwerde der Antragsgegnerin ist erst einen Tag später, am 15. Dezember 2021, beim Verwaltungsgericht eingegangen, so dass frühestens zu diesem Zeitpunkt der Devolutiveffekt der Rechtsmitteleinlegung eingetreten sein kann, wodurch die Zuständigkeit der höheren Instanz begründet und die bisherige Instanz beendet worden ist. Da die Beiladung nach alldem als wirksam anzusehen ist, ist hiermit die Beigeladene Beteiligte des Verfahrens geworden und gem. § 146 Abs. 1 VwGO berechtigt, Beschwerde gegen den angefochtenen Beschluss einzulegen, obwohl sie selbst bis zum Erlass dieses Beschlusses an dem Verfahren nicht beteiligt gewesen ist.
Die Rechtsmittelfrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO lief für die Beigeladene erst ab der zusammen mit dem Beiladungsbeschluss vom 14. Dezember 2021 erfolgter Zustellung des (hier angefochtenen) Beschlusses vom 1. Dezember 2021 an diese am 14. Dezember 2021, so dass mit dem am 19. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag die Rechtsmittelfrist gem. § 147 Abs. 1 Satz 1 VwGO durch die Beigeladene gewahrt worden ist. Die Beschwerde ist mit am 14. Januar 2022 beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die Begründungsfrist von einem Monat (§ 146 Abs. 4 Satz 4 VwGO) eingehalten worden ist. Die Begründung entspricht auch den hieran zu stellenden Anforderungen (§ 146 Abs. 4 Satz 3 VwGO).
Randnummer5
Die Beschwerden sind auch begründet. Das Verwaltungsgericht hätte die vom Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen.
Gemäß § 146 Abs. 4 Satz 1 VwGO ist die Beschwerde gegen Beschlüsse des Verwaltungsgerichts in Verfahren des vorläufigen Rechtsschutzes unter anderem gemäß § 123 VwGO - wie im vorliegenden Fall - innerhalb eines Monats nach Bekanntgabe der Entscheidung zu begründen. Die Begründung muss nach Satz 3 der Vorschrift einen bestimmten Antrag enthalten, die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Gemäß § 146 Abs. 4 Satz 6 VwGO prüft das Oberverwaltungsgericht - in Hessen der Hessische Verwaltungsgerichtshof - nur die dargelegten Gründe.
Es bedarf keines abschließenden Eingehens darauf, ob dem Vorbringen der Beigeladenen zu folgen ist, der Antragsteller sei der Verpflichtung im Tenor des angefochtenen Beschlusses, innerhalb von vier Wochen Klage zum Verwaltungsgericht zu erheben, deswegen nicht hinreichend nachgekommen, weil er zwar innerhalb der Frist Klage erhoben habe, diese jedoch einen anderen Gegenstand betreffe, weil der Antragsteller im Rahmen der begehrten einstweilen Anordnung eine Unterlassung der Antragsgegnerin beantragt hatte, während er im Klageverfahren ein Handeln fordere. Damit sei der Beschluss wegen fehlender Klageerhebung unwirksam geworden, so dass er im Beschwerdeverfahren aufzuheben sei. Es bedarf auch keines Eingehens darauf, ob dem Einwand des Antragstellers zu folgen ist, aus der Begründung in der Klageschrift sei hinreichend deutlich zu erkennen, dass er von der dortigen Beklagten - der hiesigen Antragsgegnerin - ein Unterlassen begehre, und bei der Antragsfassung in der Klageschrift handele es sich insofern lediglich um einen Schreibfehler. Allerdings hat der Antragsteller dem Verwaltungsgericht zwar mitgeteilt, er begehre ein Unterlassen, jedoch keine konkrete Korrektur des Klageantrags vorgenommen.
Das Verwaltungsgericht hätte die einstweilige Anordnung bereits deswegen nicht erlassen dürfen, weil der Antragsteller einen Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht glaubhaft gemacht hat. Sowohl die Antragsgegnerin als auch die Beigeladene haben im Rahmen ihres Beschwerdevorbringens geltend gemacht, der angefochtene Beschluss lasse keine Ausführungen zum Anordnungsgrund erkennen. Zudem liege ein Anordnungsgrund nicht vor, weil der Antragsteller nicht auf die Nutzung der Website der Antragsgegnerin angewiesen sei und nicht glaubhaft gemacht habe, dass ihm ohne Nutzung dieser Seite wesentliche Nachteile im Sinne von § 123 Abs. 1 Satz 2 VwGO drohten. Dieser Einwand greift durch.
Gemäß § 123 Abs. 1 Satz 2 VwGO ist eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis zulässig, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern oder aus anderen Gründen nötig erscheint. Gemäß § 123 Abs. 3 ZPO i.V.m. § 920 Abs. 2 ZPO sind der geltend gemachte Anspruch sowie der Anordnungsgrund glaubhaft zu machen. Anordnungsanspruch und Anordnungsgrund sind jeweils eigene Voraussetzungen für den Erlass einer einstweiligen Anordnung. Die Glaubhaftmachung eines Anordnungsanspruchs führt nicht automatisch zur Annahme auch eines Anordnungsgrundes. Für das Vorliegen eines Anordnungsgrundes ist Voraussetzung, dass es dem Antragsteller unter Berücksichtigung seiner Interessen und der öffentlichen Interessen sowie etwaiger Interessen anderer Personen nicht zumutbar ist, die Hauptsacheentscheidung abzuwarten (Hess. VGH, Beschluss vom 5. Februar 1993 – 7 TG 2479/92 –, juris; Kopp/Schenke, a. a. O., § 123 Rn. 26). Nach der Konzeption der Verwaltungsgerichtsordnung wird Rechtsschutz grundsätzlich im Klageverfahren gewährt. Nur ausnahmsweise erscheint es notwendig, bereits vor einer Entscheidung im Hauptsacheverfahren eine Regelung zu treffen, wenn dies aufgrund der in § 123 Abs. 1 VwGO genannten Umstände zwingend notwendig erscheint. Das einstweilige Anordnungsverfahren ist dabei ein eigenständiges „Sicherungsverfahren“ und kein verkürztes oder komprimiertes Hauptsacheverfahren. Die erlassene einstweilige Anordnung steht immer unter dem Vorbehalt einer anderen Entscheidung im Klageverfahren. Dabei gilt grundsätzlich das Verbot der Vorwegnahme der Hauptsache (Kopp/Schenke, a. a. O., § 123 Rn. 13ff.). Ausnahmsweise kommt die Vorwegnahme der Hauptsache im Verfahren des vorläufigen Rechtsschutzes im Betracht, wenn das Abwarten der Hauptsacheentscheidung für den Antragsteller schwere und unzumutbare, nachträglich nicht mehr zu beseitigende Nachteile zur Folge hätte, wobei dem jeweils betroffenen Grundrecht und den Erfordernissen eines effektiven Rechtsschutzes Rechnung zu tragen ist (BVerwG, Beschluss vom 26. November 2013 - 6VR 3/13 -, NVwZ-RR 2014, 558, juris, Rn. 5).
Randnummer10
Gemessen hieran hat der Antragsteller einen Anordnungsgrund nicht glaubhaft gemacht. Er begehrt mit dem Erlass einer einstweiligen Anordnung eine Regelung, die der im Klageverfahren zu erlangenden Regelung gleichkäme, so dass hierin eine jedenfalls zeitweilige Vorwegnahme der Hauptsache zu sehen ist. Die hierfür erforderliche Voraussetzung, dass ein Abwarten der Hauptsacheentscheidung zu nachträglich nicht mehr zu beseitigenden schwerwiegenden Nachteilen auf Seiten des Antragstellers führen könnte, ergibt sich aus seinen Darlegungen nicht.
In seinem Antragsschriftsatz vom 8. Juni 2021 hat der Antragsteller auf Seite 1 vorgetragen, er nutze die Website der Antragstellerin zur Information über Fachliteratur. Auf Seite 14 des Schriftsatzes hat er ausgeführt, ein Anordnungsgrund liege vor, weil die ständige und mehrfache rechtswidrige Erfassung von Surfprofilen (und Übermittlung) an unzuverlässige und undurchsichtige US-amerikanische Unternehmen des Google-Konzerns nebst weiterer Übermittlung an ungenannte Kooperationspartner einen Kontrollverlust seiner Surfprofile bedeute, der irreversibel sei, so dass ein Abwarten der Hauptsacheentscheidung nicht zumutbar sei. Bereits hieraus ergibt sich entgegen seiner Behauptung das Vorliegen eines Anordnungsgrundes nicht.
Mit der begehrten und im angefochtenen Beschluss erlassenen einstweiligen Anordnung wird eine Regelung nur für die Zukunft erreicht. Soweit bereits in der Vergangenheit bei Zugriffen des Antragstellers auf die Website der Antragsgegnerin personenbezogene Daten erfasst, gespeichert und gegebenenfalls verarbeitet und weitergegeben worden sein sollten, würde sich hieran durch die begehrte einstweilige Anordnung nichts ändern. Die Gefahr einer erneuten - eventuell rechtswidrigen - Erfassung, Speicherung und Verarbeitung von Daten des Antragstellers bestünde indessen nur dann, wenn dieser erneut auf die Website der Antragstellerin zugreift und Fragen nach der Verwendung von Cookies beantwortet. Aus seinem Vortrag ist nicht zu entnehmen, dass für ihn auch in Zukunft die Notwendigkeit besteht, auf die Website der Antragsgegnerin zuzugreifen. Er ist nicht Mitglied der Antragsgegnerin - einer Universität - so dass er auf die die Forschung und Lehre betreffenden Inhalte dieser Website nicht zugreifen muss. Zwar mag die fragliche Website auch außenstehenden Internetnutzern zur Verfügung stehen. Jedoch steht es einem Interessenten frei, ob er diese nutzt oder nicht, falls ihm damit verbundene Nutzungsmodalitäten oder dergleichen nicht zusagen und er seine persönlichen Daten als nicht hinreichend geschützt ansieht. Auch der Antragsteller kann aus diesen Gründen den Zugriff auf die Website der Antragsgegnerin unterlassen. Für die vom Antragsteller geltend gemachte Recherche nach Fachliteratur ist er nicht zwingend auf die Nutzung der Website der Antragsgegnerin angewiesen. Vielmehr stehen hierfür zahlreiche Alternativen zur Verfügung, die der Antragsteller nutzen kann. Es ist daher nicht ersichtlich, welche schweren, unzumutbaren und nachträglich nicht mehr rückgängig zu machenden Nachteile dem Antragsteller drohen sollten, wenn er zeitweilig bis zu einer rechtskräftigen Entscheidung in der Hauptsache von etwaigen Zugriffen auf die Website der Antragsgegnerin keinen Gebrauch macht, was er vermutlich auch weiterhin machen würde, sollte er im Hauptsacheverfahren unterliegen. Zutreffend macht daher die Antragsgegnerin geltend, der Antragsteller habe nicht dargelegt und glaubhaft gemacht, dass die Nutzung der Website der Antragsgegnerin für seine Berufsausübung oder sonstige Grundrechtsausübung notwendig sei. Dies gilt erst recht, wenn der Vortrag der Antragsgegnerin auf Seite 12 des Begründungsschriftsatzes zutreffen sollte, deren Richtigkeit der Antragsteller allerdings in Abrede stellt, bei Befolgung der erlassenen einstweiligen Anordnung müsse sie letztlich die Website in Gänze abschalten. Unter diesen Umständen könnte auch der Antragsteller diese nicht mehr nutzen, so dass er auch keine Vorteile aus dieser Website mehr ziehen könnte. In diesem Fall hätte er mit der erlassenen einstweiligen Anordnung nicht eine datenschutzrechtlich konforme Möglichkeit erlangt, auf die Website der Antragsgegnerin zuzugreifen, sondern hätte gar keine Möglichkeit mehr zu einem Zugriff.
Aufgrund dieser Überlegungen liegen im vorliegenden Fall auch die Voraussetzungen nicht vor, unter denen das Bundesverfassungsgericht angenommen hat, das Vorliegen eines Anordnungsgrundes sei von Verfassungs wegen durch die Rechtsweggarantie des Art. 19 Abs. 4 GG indiziert. Dies ist nach dieser Rechtsprechung nämlich nur dann der Fall, wenn zum einen eine hohe Wahrscheinlichkeit für einen Erfolg des Antragstellers im Hauptsacheverfahren angenommen werden kann, und bei Versagung des vorläufigen Rechtsschutzes die Gefahr fortschreitender Rechtsvereitelung von Grundrechtspositionen besteht (BVerfG, Kammerbeschluss vom 28. September 2009 – 1 BvR 1702/09 – juris, Rn. 24). Ohne dass Veranlassung besteht, den Grad der Wahrscheinlichkeit des Obsiegens des Antragstellers im Hauptsacheverfahren näher zu prüfen, besteht hier eine solche Gefahr fortschreitender Rechtsvereitelung nicht. Die Antragsgegnerin erfasst, speichert oder verarbeitet im vorliegenden Fall keine persönlichen Daten des Antragstellers ohne dessen Zutun, sondern allenfalls, wenn dieser bewusst und gewollt auf ihre Website zugreift. Wie bereits ausgeführt ist nicht ersichtlich, dass der Antragsteller darauf angewiesen sein könnte, ohne schwerwiegende Nachteile zu erleiden, auch in Zukunft auf die Website der Antragsgegnerin zuzugreifen, so dass es ihm zuzumuten ist, hierauf zeitweilig zu verzichten.
Die Ausführungen des Antragstellers in seinem Beschwerdeerwiderungsschriftsatz vom 5. Januar 2022 zum Vorliegen eines Anordnungsgrundes auf Seite 31 bis 35 des Schriftsatzes rechtfertigen keine andere Entscheidung. Der Antragsteller trägt auch hier nicht vor, aufgrund welcher Erwägungen er auf die Nutzung der Website der Antragsgegnerin und der hierin enthaltenen Informationen über deren Universitätsbibliothek zwingend angewiesen sein soll oder zumindest ihrer so dringend bedarf, dass für ihn bei zeitweiliger Nichtnutzung der Website erhebliche und nicht anderweitig zu behebende und nicht wiedergutzumachende Nachteile entstünden. Der Antragsteller macht vielmehr Ausführungen, die allenfalls einen Anordnungsanspruch zu begründen geeignet sind. Hieraus ergibt sich jedoch kein Anordnungsgrund, da dieser – wie oben bereits gesagt – eigene Voraussetzungen hat, die selbstständig darzulegen und zu prüfen sind.
So trägt er etwa vor, es sei daran zu erinnern, dass schon bei der Vorratsdatenspeicherung trotz der dort weniger sensiblen Datenarten der einstweilige Rechtsschutzantrag erfolgreich gewesen sei, und verweist insofern auf einen Beschluss des Bundesverfassungsgerichts vom 4. April 2008 mit dem Az. 1 BvR 256/08. In juris findet sich mit dem vom Antragsteller angegebene Aktenzeichen keine Entscheidung des Bundesverfassungsgerichts unter dem von dem Antragsteller genannten Datum 4. April 2008, jedoch ein Beschluss vom 11. März 2008, den der Antragsteller vermutlich meint. Dort hat zwar das Bundesverfassungsgericht mehreren Verfassungsbeschwerden teilweise stattgegeben. Jedoch lag dem eine andere Fallgestaltung als vorliegend zu Grunde, da die Vorratsdatenspeicherung, die Gegenstand der dortigen Entscheidung gewesen ist, erfolgte, ohne dass die eigentlichen Inhaber der gespeicherten Daten hierauf Einfluss hatten. Gleiches gilt für die vom Antragsteller aufgeführte Entscheidung des OVG Nordrhein-Westfalen (Beschluss vom 22. Juni 2017 – 13 B 238/17 -, NVwZ-RR 2018, 43, juris, Rn. 16). Antragstellerin dort war zudem ein IT-Unternehmen, das für rund 1.200 Geschäftskunden aus Deutschland und andere Mitgliedstaaten der Europäischen Union Internetdienstleistungen einschließlich Internetzugangsleistungen erbringt. Dieses Unternehmen war durch Regelungen des Telekommunikationsgesetzes zur Vorratsdatenspeicherung verpflichtet worden, wogegen es sich gewandt hatte. Dieser Verpflichtung zur Datenspeicherung konnte sich die dortige Antragstellerin somit nicht auf anderem Wege entziehen. Im vorliegenden Fall kann der Antragsteller jedoch insofern auf die Erfassung und Speicherung seiner Daten Einfluss nehmen, als er den Zugriff auf die Website der Antragsgegnerin unterlässt. Ohne einen solchen Zugriff werden seine persönlichen Daten nicht erfasst und auch nicht weitergegeben. Dass ihm ein solches Unterlassen jedenfalls für den begrenzten Zeitraum bis zu einer rechtskräftigen Entscheidung im Hauptsacheverfahren nicht möglich oder auch nur unzumutbar wäre, hat er nicht glaubhaft gemacht.
Auch der Hinweis des Antragstellers darauf, im Hinblick auf die Drittlandsübermittlung und sonstige Verarbeitung sei eine unionrechtskonforme Auslegung von § 123 VwGO und Art. 19 Abs. 4 GG geboten, weil der EuGH in einer näher bezeichneten Entscheidung dahingehend erkannt habe, dass eine Datenschutz-Aufsichtsbehörde nach Art. 58 Datenschutzgrundverordnung unzulässige Drittlandsübermittlungen unterbinden müsse, wenn die Erfordernisse der Art. 45 und 46 Datenschutzgrundverordnung nicht anderweitig sichergestellt werden könnten, greift schon deswegen nicht durch, weil eine Aufsichtsbehörde im vorliegenden Fall nicht beteiligt ist, so dass auch etwaige Pflichten einer solchen Behörde hier nicht zum Tragen kommen können. Entgegen der Annahme des Antragstellers kann auch keine Rede davon sein, dass durch fragwürdige Auslegungen deutschen Rechts die Durchsetzung des Vorrangs europäischen Verordnungsrechts in unzulässiger Weise behindert werde. Diesem Aspekt kann nämlich im Hauptsacheverfahren hinreichend Rechnung getragen werden, ohne dass es insofern einer vorläufigen Regelung in einem Verfahren einstweiligen Rechtsschutzes bedarf. Vorläufiger Rechtsschutz ist nur ausnahmsweise zu gewähren, wenn sonst ein irreparabler Rechtsverlust durch eine Hauptsacheentscheidung nicht mehr verhindert werden könnte, wie der Antragsteller selbst auf Seite 35, letzter Absatz, seines Schriftsatzes vom 5. Januar 2022 vorträgt. Dies ist jedoch hier deswegen nicht zu gewärtigen, weil nicht vorgetragen und ersichtlich ist, dass der Antragsteller notwendigerweise auf die Nutzung der Website der Antragsgegnerin angewiesen ist und hierauf auch nicht zeitweilig bis zum rechtskräftigen Abschluss des Verfahrens verzichten könnte, ohne wesentliche Nachteile zu erleiden.
Auch der Hinweis des Antragstellers darauf, der Europäische Gerichtshof habe in einer näher bezeichneten Entscheidung dahingehend erkannt, dass es einem nationalen Verfassungsgericht aufgrund des Vorrangs des Unionsrechts versagt sei, im einstweiligen Rechtsschutz jedenfalls bei anhängiger EuGH-Vorlage eine einstweilige nicht grundrechtskonforme Regelung zu treffen und den EuGH auch nur zeitweise zu präjudizieren, gebietet keine andere Entscheidung. Im vorliegenden Fall geht es nicht um eine den europarechtlichen Regelungen widersprechende Rechtslage, die vorläufig aufrechterhalten werden soll. Vielmehr ist im Streit, ob die Handlungsweise der Antragsgegnerin mit den Regelungen und Vorgaben der Datenschutzgrundverordnung in Einklang stehen und ob und in welchem Umfang sich gegebenenfalls Abwehr- oder Unterlassungsansprüche des Antragstellers ergeben können. Von der auch nur zeitweilig erfolgenden „Aufrechterhaltung entgegenstehenden nationalen Rechts“ kann daher hier keine Rede sein.
Zu Unrecht wendet sich der Antragsteller auch gegen die Auffassung der Beigeladenen, im Verfahren des vorläufigen Rechtsschutzes sei nur eine summarische Prüfung angezeigt, so dass eine komplexe Rechtslage in einem Verfahren des vorläufigen Rechtsschutzes nicht geklärt werden könne. Diese Auffassung der Beigeladenen trifft vielmehr zu. Allein der Umfang der von den Beteiligten eingereichten Schriftsätze und ihre Anlagen sowie die Vielzahl der infrage stehenden tatsächlichen und rechtlichen Fragen sprechen deutlich gegen die Geeignetheit einer Klärung in einem Verfahren des vorläufigen Rechtsschutzes. Erneut sei darauf hingewiesen, dass es sich hierbei nur um ein Sonderverfahren zur Sicherung der Rechte der Beteiligten handelt, und um kein abgekürztes Hauptsacheverfahren.
Schließlich ist auch der Hinweis des Antragstellers auf Seite 35 seines Schriftsatzes vom 5. Januar 2022, eine Regelung eines vorläufigen Zustandes sei nach § 123 Abs. 1 VwGO ausdrücklich auch schon vor Klageerhebung vorgesehen, nicht geeignet, eine für ihn günstigere Entscheidung herbeizuführen. Diese Regelung bedeutet lediglich, dass das Verwaltungsgericht bereits dann eine Sicherungsanordnung nach § 123 Abs. 1 Satz 1 VwGO oder auch eine Regelungsanordnung nach Satz 2 der Vorschrift treffen kann, wenn ein Hauptsacheverfahren noch nicht anhängig ist, so dass es an einer „Hauptsache“ im Sinne von § 123 Abs. 2 Satz 1 VwGO (noch) fehlt. Dies bedeutet jedoch nicht, dass die sonstigen spezifischen gesetzlichen Voraussetzungen für den Erlass einer einstweiligen Anordnung unbeachtet gelassen werden könnten. Vielmehr kann eine einstweilige Anordnung nur unter den mit Absicht und zu Recht sehr enggefassten gesetzlichen Voraussetzungen des § 123 Abs. 1 VwGO ergehen, die nach den obigen Ausführungen hier nicht erkennbar sind und sich insbesondere nicht aus dem Vortrag des Antragstellers ergeben.
Auf die zulässigen Beschwerden ist daher der angefochtene Beschluss aufzuheben, ohne dass es eines Eingehens auf die übrigen Einwendungen der Antragsgegnerin und der Beigeladenen bedarf. Dabei sind allerdings die Einstellungsentscheidung in Satz 1 des Tenors sowie die Streitwertfestsetzung im letzten Satz des Tenors hiervon auszunehmen. Die Anträge der Antragsgegnerin und der Beigeladenen auf Aussetzung der Vollziehung des angefochtenen Beschlusses sind damit ebenfalls erledigt.
Über die Kosten des Verfahrens beider Rechtszüge ist hier zu entscheiden (§ 161 Abs. 1 VwGO). Die Kosten fallen grundsätzlich nach § 154 Abs. 1 VwGO dem Antragsteller als unterliegendem Teil zur Last. Dabei ist jedoch zu berücksichtigen, dass die Einstellungsentscheidung hinsichtlich des von den (ursprünglichen) Beteiligten im Termin vor der Kammer des Verwaltungsgerichts für erledigt erklärten Teils des Verfahrens unanfechtbar ist und auch nicht angefochten worden ist. Von der Unanfechtbarkeit ist nach § 158 Abs. 2 VwGO auch die diesen Teil betreffende Kostenentscheidung umfasst. Das Verwaltungsgericht hat in den Gründen des angefochtenen Beschlusses ausgeführt, dass die Kosten des erledigten Teils dem Antragsteller zur Last fielen und die Kosten des verbliebenen Teils, der zu seinen Gunsten entschieden worden ist, der Antragsgegnerin aufzuerlegen seien. Es hat daher unter Annahme einer kostenmäßigen Gleichwertigkeit beider Teile die Kosten des Verfahrens insgesamt gegeneinander aufgehoben. Dies hat zur Folge, dass die Gerichtskosten jedem der Beteiligten zur Hälfte zur Last fallen (§ 155 Abs. 1 Satz 2 VwGO) und beide Beteiligte ihre außergerichtlichen Kosten selbst tragen. Nach der Aufhebung der erlassenen einstweiligen Anordnung hat der Antragsteller auch die hierauf entfallenden Gerichtskosten zu tragen. Gleiches gilt für die Gerichtskosten des Beschwerdeverfahrens, so dass ihm die Gerichtskosten des gesamten Verfahrens beider Instanzen aufzuerlegen sind. Die Hälfte der außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren müssen jedoch bei ihr verbleiben, weil insofern die Entscheidung des Verwaltungsgerichts über die gegenseitige Aufhebung der Kosten aufrechtzuerhalten ist. Dem Antragsteller können daher von den außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren nur die Hälfte auferlegt werden, die sich auf den hier noch streitigen Teil des erstinstanzlichen Verfahrens bezogen haben. Hingegen hat er die außergerichtlichen Kosten der Antragsgegnerin im Beschwerdeverfahren in vollem Umfang zu tragen. Die außergerichtlichen Kosten der Beigeladenen sind unter Anwendung von § 162 Abs. 3 VwGO ebenfalls dem Antragsteller aufzuerlegen, zumal sich die Beigeladene durch Einlegung des Rechtsmittels und Stellung eines Antrags selbst in ein Kostenrisiko begeben hat (§ 154 Abs. 3 Satz 1 VwGO).
Die Streitwertfestsetzung beruht auf § 47 Abs. 1 Satz 1, Abs. 2 Satz 1 i.V.m. § 53 Abs. 2 Nr. 1 und § 52 Abs. 1 und Abs. 2 GKG. Wegen der Vorläufigkeit der Entscheidung im einstweiligen Rechtsschutz ist der Auffangwert des § 52 Abs. 2 VwGO in Anlehnung an die Empfehlung in Nr. 1.5 des Streitwertkatalogs für die Verwaltungsgerichtsbarkeit um die Hälfte zu reduzieren. Im vorliegenden Beschwerdeverfahren war nur noch ein ursprünglich vom Antragsteller verfolgter Antragsteil Beschwerdegegenstand, so dass nur vom einfachen Auffangwert des § 52 Abs. 2 VwGO auszugehen und dieser zu halbieren ist.
VG Wiesbaden
Beschluss vom 01.12.2021 6 L 738/21.WI
Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.
Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen
Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.
Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.
Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.
Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.
„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.
Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.
Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.
Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]
Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]
Das LG Frankfurt hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne vorherige rechtskonforme Einholung der Einwilligung des Nutzers vorliegt. Insofern liegt ein Verstoß gegen § 3a UWG i.V.m § 15 Abs. 3 TMG vor. Ein Website-Betreiber haftet dabei für etwaige Fehler seines Cookie-Banner-Dienstleisters. Geklagt hatte die Wettbewerbszentrale.
Das LG Köln hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß vorliegt, wenn ein Website-Betreiber einen Cookie-Banner verwendet, wonach der Nutzer durch weitere Nutzung der Website dem Setzen technisch nicht notwendiger Cookies zustimmt.
Die Entscheidung:
Tenor:
Im Wege der einstweiligen Verfügung wird gemäß §§ 935 ff. ZPO, 1, 5 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1BGB, 15 Abs. 3 S. 1 TMG wegen der Dringlichkeit des Falles ohne vorherige mündliche Verhandlung angeordnet:
Der Antragsgegnerin wird bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,- EUR, ersatzweise Ordnungshaft, oder Ordnungshaft jeweils bis zu sechs Monaten, zu vollziehen an den Geschäftsführern der Antragsgegnerin, untersagt, im geschäftlichen Verkehr im Internet einen Datenschutzhinweis mit folgenden Informationen über Cookies zu veröffentlichen:
"Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung"
wie geschehen im Internet unter der URL: https://[...].de und nachstehend eingeblendet:
[...]
Die Antragsgegnerin hat die Kosten des Verfahrens zu tragen.
Gründe:
I. Der Sachverhalt ergibt sich aus der Antragsschrift, auf die zur Vermeidung von Wiederholungen Bezug genommen wird.
II. Der Verfügungsgrund ergibt sich aus § 5 UKlaG in Verbindung mit § 12 Abs. 1 UWG. Der Verfügungsanspruch folgt aus § 1 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1 BGB, 15 Abs. 3 TMG. Der Antragsteller ist nach § 3 Abs. 1 Nr. 2 UKlaG aktiv legitimiert (vgl. BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 17). Die von ihm angegriffene Klausel ist mit § 307 Abs. 2 S. 2 BGB nicht vereinbar. Denn sie widerspricht dem wesentlichen Gedanken von § 15 Abs. 3 TMG. Nach letztgenannter Vorschrift darf der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Nach der Rechtsprechung des Bundesgerichtshofes ist die Vorschrift dahingehend richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nicht einsetzen darf, wenn die Einwilligung des Nutzers mittels eines voreingestellten Ankreuzkästchens eingeholt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 52). Dem folgend widerspricht eine, wie hier verwendete, Klausel erst Recht § 15 Abs. 3 TMG, wenn mit der Weiternutzung der Internetseite konkludent in die Nutzung von Cookies eingewilligt werden soll (so auch Haberer, MMR 2020, 810 (813)).
III. Der Verfahrenswert wird auf 2.500,- EUR festgesetzt. Nach der Rechtsprechung des Bundesgerichtshofes richtet sich der Verfahrenswert in Verfahren nach dem Unterlassungsklagengesetz allein nach dem Interesse der Allgemeinheit an der Beseitigung einer gesetzwidrigen Allgemeinen Geschäftsbedingung, nicht hingegen nach der wirtschaftlichen Bedeutung des Verbotes einer Klausel (siehe nur BGH, Bes. v. 29.07.2015 - IV ZR 45/15).
Ziel des Gesetzentwurfes ist vor allem die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (DSGVO) und die rechtssichere Umsetzung der Regelung zum Schutz der Privatsphäre in Endeinrichtungen in der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in der durch die Richtlinie 2009/136/EG geänderten Fassung (ePrivacy-Richtlinie) in nationales Recht. Die DSGVO gilt seit dem 25. Mai 2018. Die Datenschutzbestimmungen des Telemediengesetzes (TMG, §§ 11 bis 15a.) werden durch die Bestimmungen der DSGVO verdrängt, soweit nicht Öffnungsklauseln der DSGVO den Mitgliedstaaten die Möglichkeit geben, eigene Regelungen zu treffen. Das gilt auch für die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG), soweit diese nicht die Bestimmungen der ePrivacy-Richtinie in deutsches Recht umsetzen. Denn die ePrivacy-Richtlinie gilt weiterhin und geht in ihrem Anwendungsbereich der DSGVO vor, sodass auch die Bestimmungen des TKG, die diese umsetzen, weiterhin gelten. Auch die Vorgaben der ePrivacy-Richtlinie knüpfen an die Bestimmungen der DSGVO an, insbesondere die Anforderungen der DSGVO an die Einwilligung in die Datenverarbeitung, was bei den nationalen Regelungen, die die ePrivacy-Richtlinie umsetzen, zu berücksichtigen ist.
Das Nebeneinander von DSGVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und Telekommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Der vorliegende Gesetzentwurf soll für Rechtsklarheit sorgen und einen wirksamen Datenschutz und Schutz der Privatsphäre der Endnutzer gewährleisten. Im Hinblick auf den Schutz der Privatsphäre beim Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies, sowie die Rechtsprechung des Europäischen Ge ichtshofes dazu erfolgt die Aufnahme einer Regelung zum Einwilligungserfordernis, die eng am Wortlaut der Vorgaben der ePrivacy-Richtlinie orientiert ist. Die Aufsicht über die Datenschutzbestimmungen des TKG bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten soll zukünftig umfassend, d. h. auch im Hinblick auf die Verhängung von Bußgeldern, durch den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängiger
Datenschutzaufsichtsbehörde erfolgen.
B. Lösung
Die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, sollen an die DSGVO und die Richtlinie 2002/58/EG angepasst und in einem neuen Gesetz (Telekommunikation-Telemedien- Datenschutzgesetz – TTDSG) zusammengeführt werden. Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen sowie Regelungen zu Endeinrichtungen und zur Datenschutzaufsicht getroffen werden.
Das LG Köln hat entschieden, dass das Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ein abmahnfähiger Wettbewerbsverstoß ist.
Aus den Entscheidungsgründen:
Die Kammer hat von § 938 Abs. 1 ZPO Gebrauch gemacht und den Tenor abweichend von dem gestellten Antrag formuliert. Die durch den Antragsteller in seinem Antrag gewählte Formulierung war nicht sachdienlich, weil die beanstandete Nutzung von Cookies ohne Einwilligung keine Werbung darstellt. Die gewählte Formulierung hält sich im Rahmen des gestellten Antrags, weil dieser ausweislich der Antragsbegründung und der in dem Antrag eingeblendeten Passage aus der Webseite des Antragstellers darauf gerichtet ist, dem Antragsteller das Setzen von Cookies zu untersagen, wenn keine aktive Einwilligung der Nutzer eingeholt wird, sondern deren Inaktivität als Einwilligung gewertet wird.
2. Der Verfügungsgrund wird vermutet, § 12 Abs. 2 UWG. Umstände, aufgrund derer die Vermutung erschüttert wäre, hat der Antragsgegner nicht vorgetragen.
3. Der Verfügungsanspruch des nach § 8 Abs. 3 Nr. 2 UWG prozessführungsbefugten Antragstellers folgt aus §§ 8 Abs. 1, 3, 3a UWG i.V.m. 12 Abs. 1, 15 Abs. 3 TMG in richtlinienkonformer Auslegung der zuletzt genannten Vorschriften unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG. Entgegen dem Vorbringen des Antragsgegners sind diese Vorschriften, nicht hingegen die Datenschutzgrundverordnung anwendbar. Die Datenschutzgrundverordnung beansprucht gemäß ihres Artikels 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12, 15 TMG, bei denen es sich um Marktverhaltensregelungen handelt (Köhler/Bornkamm/Feddersen/Köhler, 38. Aufl. 2020 Rn. 1.74d, UWG § 3a Rn. 1.74d, m.w.N.).
Durch Vorlage der im Tenor dieses Beschlusses eingeblendeten Screenshots hat der Antragsteller glaubhaft gemacht, dass der Antragsgegner Cookies setzt, ohne eine aktive Einwilligung der betroffenen Nutzer einzuholen. Dies stellt im konkreten Fall einen Verstoß gegen §§ 12 Abs. 1, 15 Abs. 3 TMG dar, die insoweit richtlinienkonform unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG auszulegen sind (vgl. (Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 59, m.w.N.; vgl. auch BGH NJW 2020, 2540, Rn. 49 ff. d.A.).
Zwar ist § 15 Abs. 1, 3 TMG unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG dahingehend auszulegen, dass eine Einwilligung unter den dort in Satz 2 genannten Voraussetzungen nicht erforderlich ist (rein technische Speicherung bzw. Zugang, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht in ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit die Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann). Dass diese Voraussetzungen nicht gegeben sind, ergibt sich jedoch aus dem im Tenor eingeblendeten Screenshot. Der Verweis auf die Nutzung von Cookies erfolgt dort nicht im Zusammenhang mit der Übertragung einer Nachricht; ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklich angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre (vgl. Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 61).
[...]
Streitwert: 10.000 Euro (§51 Abs. 4 GKG)
Das LG Rostock hat wenig überraschend entschieden, dass die Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl nicht den Vorgaben der DSGVO entspricht.
Auch wir weisen bei der Beratung von Website-Betreibern schon immer darauf hin, dass nahezu alle der in der Praxis üblichen Cookie-Banner nicht rechtskonform sind.
Aus den Entscheidungsgründen:
(2) Die Beklagte verwendet auf ihrer Internetseite Technologien, die Drittanbieter-Cookies auf Endgeräten der Nutzer ablegen. Die Verwendung der in den Anlagen K11 - K13 bezeichneten Cookies ist unstreitig.
Der Kläger hat unter namentlicher Nennung verschiedener Tracking-Cookies weiter vorgetragen, es erfolge eine websiteübergreifende Übertragung personengebundener Daten, wie z.B. der IP-Adresse. Die Beklagte hat zwar in Bezug auf das implementierte Tool .Google Analytics“ be stritten, dass dieses die IP-Adresse an den Drittanbieter weiterleitet. Im Übrigen hat sie jedoch le diglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.
Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt (vgl BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art 5, Rn. 39 m.w.N.). Nachdem die vom Kläger konkret benannten Tracking-Technologien (vgl. Schriftsatz vom 04.OG.2020, S. 7) nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.
Zudem hat die Beklagte in ihrer Datenschutzerklärung (Anlagen K11 - K13) in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.
(3) Die für eine Verwendung dieser Cookies notwendige Einwilligung konnte zum Zeitpunkt der Abmahnung mit dem durch die Beklagte verwendeten Cookie-Banner (Anlage K6) nicht wirksam erteilt werden.
aa) Die Verwendung der hier im Streit stehenden Cookies ist einwilligungsbedürftig. Die Notwendigkeit der Einwilligung ergibt sich aus § 15 Abs. 3 TMG, der angesichts der Regelung in Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG (E-Privacy-Richtlinie) dahin richtlinienkonform aus zulegen ist, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II).
bb) Eine wirksame Einwilligung in die hier konkret beanstandete Datenverarbeitung konnten die Nutzer mit dem durch die Beklagte zur Verfügung gestellten Cookie-Banner (Anlage K6) aufgrund der gewählten Vorbelegung - alle Cookies ausgewählt (sog. Opt-Out) - nicht erteilen. Mit der Entscheidung des BGH vom 28.05.2020 zur Notwendigkeit und zur Ausgestaltung der wirksamen Einwilligung bei der Verwendung von Cookies (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II) steht fest dass die durch die Beklagte gewählte Opt-Out-Variante dazu nicht geeignet ist.
b) Die aufgrund des festzustellenden Rechtsverstoßes bestehende Vermutung für das Vorliegen einer Wiederholungsgefahr ist nicht durch die vorgetragene Änderung des Banners widerlegt Die Kammer hat ihren insoweit zunächst mit der Ladungsverfügung vom 14.04.2020 erteilten Hinweis in der mündlichen Verhandlung entsprechend korrigiert. Denn die Beklagte hat nach Ansicht der Kammer den Vertsoß nicht beseitigt. Auch das nunmehr von der Beklagten verwendete Cookie-Banner erfüllt die Voraussetzungen für eine wirksamen Einwilligung der Nutzer nicht.
(1) "Einwilligung“ der betroffenen Person ist gemäß Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden per-
sonenbezogenen Daten einverstanden ist.
Der BGH hat in der vorgenannten Entscheidung dazu ausführt:
Nach Art. 4 Nr. 11 der Verordnung (EU) 2016/679 ist Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Erwägungsgrund 32 der Verordnung (EU) 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Für den bestimmten Fall ist eine Einwilligung abgegeben, wenn Inhalt, Zweck und Tragweite der Erklärung hinreichend konkretisiert sind (vgl. DeckOK.DatonschutzR/Schild, 31. Edition (Stand 1. Februar 2020], Art. 4 DS-GVO Rn. 125; Buchner/Kühling in Kühling/Buchner, DS-GVO BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8).
(2) Eine wirksame Einwilligung Ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten "Cookie Zulassen“-Buttons aktiviert. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden' seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden "Cookie zulassen"-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert" werden.
a) Eine wirksame Einwilligung in telefonische Werbung im Sinne von § 7 Abs. 2 Nr. 2 Fall 1 UWG liegt nicht vor, wenn der Verbraucher bei der Erklärung der Einwilligung mit einem aufwendigen Verfahren der Abwahl von in einer Liste aufgeführten Partnerunternehmen konfrontiert wird, das ihn dazu veranlassen kann, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen dem Unternehmer die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.
b) § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.
BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main
