Das LG Berlin hat entschieden, dass das Setzen von Werbecookies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers zulässig ist. Insbesondere dürfen die Cookies nicht automatisch mit Aufruf der Website gesetzt werden. Die hier streitgegenständliche Verwendung von Cookies auf welt.de war - so das Gericht - wettbewerbswidrig.
Das Bundeskartellamt ist zu dem Ergebnis gekommen, dass die Deutsche Bahn AG ihre Marktmacht gegenüber Mobilitätsplattformen von Drittanbietern missbraucht:
Die Pressemitteilung des Gerichts: Offene Märkte für digitale Mobilitätsdienstleistungen – Deutsche Bahn muss Wettbewerbsbeschränkungen abstellen
Nach einer Entscheidung des Bundeskartellamtes vom 26. Juni 2023 verstößt die Deutsche Bahn AG gegen das Kartellrecht, da der Konzern seine Marktmacht gegenüber Mobilitätsplattformen missbraucht. Das Bundeskartellamt hat der Deutschen Bahn (DB) aufgegeben, bestimmte Verhaltensweisen und Vertragsklauseln zu ändern.
Andreas Mundt, Präsident des Bundeskartellamtes: „Der vom Netzbetrieb bis zum Fahrkartenvertrieb vertikal integrierte Staatskonzern Deutsche Bahn ist das in Deutschland mit weitem Abstand marktbeherrschende Verkehrsunternehmen im Schienenpersonenverkehr. Die Dienstleistungen von Mobilitätsplattformen, Reisenden eine integrierte Routenplanung zu ermöglichen, sind ohne die Einbindung der Angebote und der Verkehrsdaten der Deutschen Bahn nicht denkbar. Daher unterfällt die Deutsche Bahn der kartellrechtlichen Missbrauchsaufsicht und hat besondere Pflichten gegenüber anderen Unternehmen. Konkret geht es um die Weitergabe von Daten, Werbeverbote, vertikale Preisvorgaben, weitreichende Rabattverbote und das Vorenthalten verschiedener Provisionen für die Drittplattformen. Ohne eine wirksame kartellrechtliche Durchsetzung können die Geschäftsmodelle von Mobilitätsplattformen nicht im Wettbewerb zur Deutschen Bahn funktionieren.“
Mobilitätsplattformen bieten ihren Kunden vergleichende Informationen für Reiserouten mit verschiedenen Verkehrsmitteln und verkehrsträgerübergreifend sowie die Buchung entsprechender Tickets und Fahrkarten an. Hierfür spielen die Eisenbahn und die Verkehrsleistungen der DB eine wichtige Rolle. So vermitteln die Plattformen etwa die Kombination von Bahntickets mit Flügen, Carsharing, Fernbus oder Mietfahrrädern.
Die DB ist einerseits das marktbeherrschende Schienenverkehrsunternehmen und andererseits selbst eine marktstarke Mobilitätsplattform mit ihrem Portal „bahn.de“ und mit ihrer App „DB Navigator“. Nach den Feststellungen des Bundeskartellamtes nutzt die DB ihre Schlüsselstellung auf den Verkehrs- und Infrastrukturmärkten, um den von dritten Mobilitätsplattformen ausgehenden Wettbewerb einzuschränken. Wettbewerbswidrige Vertragsklauseln der DB sind aus Sicht des Amtes Werbeverbote, vertikale Preisvorgaben, weitreichende Rabattverbote sowie die Vorenthaltung einer Inkassoprovision. Nach der zwischenzeitlichen Ankündigung der DB, Mobilitätsplattformen auch keine Provision für die Vermittlung von DB-Fahrkarten mehr zahlen zu wollen, stand im Verfahren zudem die Pflicht zur Zahlung einer solchen Provision nach kartellrechtlichen Entgeltmaßstäben in Rede.
Zum anderen verweigert die DB den Mobilitätsplattformen den fortlaufenden und diskriminierungsfreien Zugang zu allen von der DB kontrollierten Verkehrsdaten in Echtzeit, die für die Organisation und Buchung von Reisen mit unterschiedlichen Verkehrsmitteln unerlässlich sind (sog. Prognosedaten). Dies betrifft Verspätungsdaten des Schienenpersonenverkehrs ebenso wie Zugausfälle oder ausgefallene bzw. zusätzliche Halte, die Gründe für Verspätungen oder Ausfälle, zusätzliche Fahrten oder Ersatzverkehre, aktuelle Gleisangaben oder Gleiswechsel und Daten zu Großstörungsereignissen.
Zwar ist die DB durch die seit dem 7. Juni 2023 geltende neue EU-Fahrgastrechteverordnung verpflichtet, Prognosedaten für die Information der Reisenden zu teilen. Nach der Auffassung des Bundeskartellamtes reicht das für die Abstellung des kartellrechtlichen Verstoßes aber nicht aus. Die EU-Fahrgastrechteverordnung erfasst nicht alle erforderlichen Prognosedaten und lässt wichtige Aspekte der kommerziellen und technischen Umsetzung regelungsbedürftig.
Andreas Mundt: „Eine einvernehmliche Verfahrensbeendigung ist nach langen Verhandlungen vor allem an einzelnen kommerziellen Bedingungen gescheitert. Deshalb bedarf es einer behördlichen Anordnung, um mögliche Praktiken der Bevorzugung der eigenen Angebote oder nachteilige Konditionen für den Zugang zu Prognosedaten durch die marktbeherrschende Deutsche Bahn für die Zukunft zu verhindern. Außerdem hat die Deutsche Bahn eine Reihe von Vertragsklauseln zu ändern, mit denen die Mobilitätsplattformen als Online-Partner behindert werden können. Wir wollen verhindern, dass die Deutsche Bahn mit ihren eigenen unternehmerischen Interessen ihre Dominanz im Schienenpersonenverkehr auch auf zukunftsweisende Mobilitätsmärkte ausweitet und innovative Mobilitätsanbieter ausgebremst werden.“
Das Bundeskartellamt hat der DB unter anderem folgende Maßnahmen auferlegt:
- Die Mobilitätsplattformen können zukünftig ohne vertragliche Beschränkungen seitens der DB auch unter Verwendung DB-spezifischer Begriffe von den Möglichkeiten der Online- und App-Store- Werbung Gebrauch machen.
- Online-Partner der DB können zukünftig beim Verkauf von Bahn-Tickets eigene Rabattaktionen, Bonuspunkt- oder Cashback-Programme einsetzen. Hierdurch wird eine Ungleichbehandlung mit der DB selbst, die ihrerseits ihre eigenen Angebote mit diesen Mitteln bewirbt, beendet. Einzelne gezielte Rabattaktionen, die der DB zusätzliche Risiken im Hinblick auf die Steuerung der Auslastung ihrer Züge auferlegen, sind davon ausgenommen.
- Die DB hat Mobilitätsdienstleistern, die für sie beim Fahrkartenvertrieb die Buchungs- und Zahlungsabwicklung übernehmen, zukünftig ein an kartellrechtlichen Mindeststandards orientiertes Leistungsentgelt zu zahlen. Das Gleiche gilt für die Vermittlungsprovision selbst. Die genaue Höhe der Provisionen bleibt den Verhandlungen zwischen der DB und ihren Vertragspartnern vorbehalten; sie war nicht Gegenstand des Verfahrens.
- Die Regelungen in der neuen EU-Fahrgastrechteverordnung zur Bereitstellung von Prognosedaten werden ergänzt, die Umsetzung insbesondere der kommerziellen und technischen Konditionen durch Vorgaben näher geregelt und ein Zugang auch für Drittdaten eröffnet. Der Datenzugang Dritter muss diskriminierungsfrei und mit dem Datenzugang der DB selbst vergleichbar sein.
Die Abstellungsverfügung hat insgesamt einen in die Zukunft gerichteten Regelungscharakter, um einen Wettbewerb um smarte Mobilitätsdienstleistungen noch stärker als bisher in Gang zu setzen. Die Vereinbarung der vertraglichen Einzelheiten und die konkrete Vertragsausgestaltung überlässt das Bundeskartellamt mit Blick auf die verfassungsrechtlich geschützten Freiheitsrechte von Unternehmen den Vertragspartnern selbst. Für die Verhandlungen sind Fristen vorgesehen.
Die Auswirkungen der jetzt abzustellenden Wettbewerbsbeschränkungen berühren auch die Interessen anderer Verkehrsunternehmen, die ebenfalls auf den Mobilitätsplattformen der Online-Partner der DB zu finden sind. Gerade für die in Deutschland deutlich kleineren und weniger bekannten Eisenbahnunternehmen können Mobilitätsplattformen ein wichtiger Kanal sein, um ihre Reichweite zu erhöhen und Nachfrager für ihre Verkehrsdienstleistungen zu gewinnen.
Die Entscheidung des Bundeskartellamtes ist noch nicht bestandskräftig. Die DB hat die Möglichkeit innerhalb eines Monats Beschwerde gegen die Entscheidung einzulegen, über die dann das Oberlandesgericht Düsseldorf entscheiden würde.
Zur Entscheidung im Bahn-Verfahren hat das Bundeskartellamt ausführliche FAQ veröffentlicht.
Das LG München hat entschieden, dass der Cookie-Banner nach TCF-Standard von FOCUS-Online datenschutzwidrig ist. Insbesondere rügt das Gericht, dass der Cookie-Banner angesichts der Vielzahl technisch nicht notwendiger Cookies unübersichtlich ist und der Aufwand zum Ablehnen aller Cookies zu aufwändig ist, da kein "Alle-Ablehnen"-Button vorgehalten wird.
Das LG Frankfurt hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne vorherige rechtskonforme Einholung der Einwilligung des Nutzers vorliegt. Insofern liegt ein Verstoß gegen § 3a UWG i.V.m § 15 Abs. 3 TMG vor. Ein Website-Betreiber haftet dabei für etwaige Fehler seines Cookie-Banner-Dienstleisters. Geklagt hatte die Wettbewerbszentrale.
Das LG Köln hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß vorliegt, wenn ein Website-Betreiber einen Cookie-Banner verwendet, wonach der Nutzer durch weitere Nutzung der Website dem Setzen technisch nicht notwendiger Cookies zustimmt.
Die Entscheidung:
Tenor:
Im Wege der einstweiligen Verfügung wird gemäß §§ 935 ff. ZPO, 1, 5 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1BGB, 15 Abs. 3 S. 1 TMG wegen der Dringlichkeit des Falles ohne vorherige mündliche Verhandlung angeordnet:
Der Antragsgegnerin wird bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,- EUR, ersatzweise Ordnungshaft, oder Ordnungshaft jeweils bis zu sechs Monaten, zu vollziehen an den Geschäftsführern der Antragsgegnerin, untersagt, im geschäftlichen Verkehr im Internet einen Datenschutzhinweis mit folgenden Informationen über Cookies zu veröffentlichen:
"Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung"
wie geschehen im Internet unter der URL: https://[...].de und nachstehend eingeblendet:
[...]
Die Antragsgegnerin hat die Kosten des Verfahrens zu tragen.
Gründe:
I. Der Sachverhalt ergibt sich aus der Antragsschrift, auf die zur Vermeidung von Wiederholungen Bezug genommen wird.
II. Der Verfügungsgrund ergibt sich aus § 5 UKlaG in Verbindung mit § 12 Abs. 1 UWG. Der Verfügungsanspruch folgt aus § 1 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1 BGB, 15 Abs. 3 TMG. Der Antragsteller ist nach § 3 Abs. 1 Nr. 2 UKlaG aktiv legitimiert (vgl. BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 17). Die von ihm angegriffene Klausel ist mit § 307 Abs. 2 S. 2 BGB nicht vereinbar. Denn sie widerspricht dem wesentlichen Gedanken von § 15 Abs. 3 TMG. Nach letztgenannter Vorschrift darf der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Nach der Rechtsprechung des Bundesgerichtshofes ist die Vorschrift dahingehend richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nicht einsetzen darf, wenn die Einwilligung des Nutzers mittels eines voreingestellten Ankreuzkästchens eingeholt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 52). Dem folgend widerspricht eine, wie hier verwendete, Klausel erst Recht § 15 Abs. 3 TMG, wenn mit der Weiternutzung der Internetseite konkludent in die Nutzung von Cookies eingewilligt werden soll (so auch Haberer, MMR 2020, 810 (813)).
III. Der Verfahrenswert wird auf 2.500,- EUR festgesetzt. Nach der Rechtsprechung des Bundesgerichtshofes richtet sich der Verfahrenswert in Verfahren nach dem Unterlassungsklagengesetz allein nach dem Interesse der Allgemeinheit an der Beseitigung einer gesetzwidrigen Allgemeinen Geschäftsbedingung, nicht hingegen nach der wirtschaftlichen Bedeutung des Verbotes einer Klausel (siehe nur BGH, Bes. v. 29.07.2015 - IV ZR 45/15).
Das LG Köln hat entschieden, dass das Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ein abmahnfähiger Wettbewerbsverstoß ist.
Aus den Entscheidungsgründen:
Die Kammer hat von § 938 Abs. 1 ZPO Gebrauch gemacht und den Tenor abweichend von dem gestellten Antrag formuliert. Die durch den Antragsteller in seinem Antrag gewählte Formulierung war nicht sachdienlich, weil die beanstandete Nutzung von Cookies ohne Einwilligung keine Werbung darstellt. Die gewählte Formulierung hält sich im Rahmen des gestellten Antrags, weil dieser ausweislich der Antragsbegründung und der in dem Antrag eingeblendeten Passage aus der Webseite des Antragstellers darauf gerichtet ist, dem Antragsteller das Setzen von Cookies zu untersagen, wenn keine aktive Einwilligung der Nutzer eingeholt wird, sondern deren Inaktivität als Einwilligung gewertet wird.
2. Der Verfügungsgrund wird vermutet, § 12 Abs. 2 UWG. Umstände, aufgrund derer die Vermutung erschüttert wäre, hat der Antragsgegner nicht vorgetragen.
3. Der Verfügungsanspruch des nach § 8 Abs. 3 Nr. 2 UWG prozessführungsbefugten Antragstellers folgt aus §§ 8 Abs. 1, 3, 3a UWG i.V.m. 12 Abs. 1, 15 Abs. 3 TMG in richtlinienkonformer Auslegung der zuletzt genannten Vorschriften unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG. Entgegen dem Vorbringen des Antragsgegners sind diese Vorschriften, nicht hingegen die Datenschutzgrundverordnung anwendbar. Die Datenschutzgrundverordnung beansprucht gemäß ihres Artikels 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12, 15 TMG, bei denen es sich um Marktverhaltensregelungen handelt (Köhler/Bornkamm/Feddersen/Köhler, 38. Aufl. 2020 Rn. 1.74d, UWG § 3a Rn. 1.74d, m.w.N.).
Durch Vorlage der im Tenor dieses Beschlusses eingeblendeten Screenshots hat der Antragsteller glaubhaft gemacht, dass der Antragsgegner Cookies setzt, ohne eine aktive Einwilligung der betroffenen Nutzer einzuholen. Dies stellt im konkreten Fall einen Verstoß gegen §§ 12 Abs. 1, 15 Abs. 3 TMG dar, die insoweit richtlinienkonform unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG auszulegen sind (vgl. (Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 59, m.w.N.; vgl. auch BGH NJW 2020, 2540, Rn. 49 ff. d.A.).
Zwar ist § 15 Abs. 1, 3 TMG unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG dahingehend auszulegen, dass eine Einwilligung unter den dort in Satz 2 genannten Voraussetzungen nicht erforderlich ist (rein technische Speicherung bzw. Zugang, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht in ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit die Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann). Dass diese Voraussetzungen nicht gegeben sind, ergibt sich jedoch aus dem im Tenor eingeblendeten Screenshot. Der Verweis auf die Nutzung von Cookies erfolgt dort nicht im Zusammenhang mit der Übertragung einer Nachricht; ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklich angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre (vgl. Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 61).
[...]
Streitwert: 10.000 Euro (§51 Abs. 4 GKG)
Das LG Rostock hat wenig überraschend entschieden, dass die Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl nicht den Vorgaben der DSGVO entspricht.
Auch wir weisen bei der Beratung von Website-Betreibern schon immer darauf hin, dass nahezu alle der in der Praxis üblichen Cookie-Banner nicht rechtskonform sind.
Aus den Entscheidungsgründen:
(2) Die Beklagte verwendet auf ihrer Internetseite Technologien, die Drittanbieter-Cookies auf Endgeräten der Nutzer ablegen. Die Verwendung der in den Anlagen K11 - K13 bezeichneten Cookies ist unstreitig.
Der Kläger hat unter namentlicher Nennung verschiedener Tracking-Cookies weiter vorgetragen, es erfolge eine websiteübergreifende Übertragung personengebundener Daten, wie z.B. der IP-Adresse. Die Beklagte hat zwar in Bezug auf das implementierte Tool .Google Analytics“ be stritten, dass dieses die IP-Adresse an den Drittanbieter weiterleitet. Im Übrigen hat sie jedoch le diglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.
Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt (vgl BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art 5, Rn. 39 m.w.N.). Nachdem die vom Kläger konkret benannten Tracking-Technologien (vgl. Schriftsatz vom 04.OG.2020, S. 7) nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.
Zudem hat die Beklagte in ihrer Datenschutzerklärung (Anlagen K11 - K13) in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.
(3) Die für eine Verwendung dieser Cookies notwendige Einwilligung konnte zum Zeitpunkt der Abmahnung mit dem durch die Beklagte verwendeten Cookie-Banner (Anlage K6) nicht wirksam erteilt werden.
aa) Die Verwendung der hier im Streit stehenden Cookies ist einwilligungsbedürftig. Die Notwendigkeit der Einwilligung ergibt sich aus § 15 Abs. 3 TMG, der angesichts der Regelung in Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG (E-Privacy-Richtlinie) dahin richtlinienkonform aus zulegen ist, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II).
bb) Eine wirksame Einwilligung in die hier konkret beanstandete Datenverarbeitung konnten die Nutzer mit dem durch die Beklagte zur Verfügung gestellten Cookie-Banner (Anlage K6) aufgrund der gewählten Vorbelegung - alle Cookies ausgewählt (sog. Opt-Out) - nicht erteilen. Mit der Entscheidung des BGH vom 28.05.2020 zur Notwendigkeit und zur Ausgestaltung der wirksamen Einwilligung bei der Verwendung von Cookies (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II) steht fest dass die durch die Beklagte gewählte Opt-Out-Variante dazu nicht geeignet ist.
b) Die aufgrund des festzustellenden Rechtsverstoßes bestehende Vermutung für das Vorliegen einer Wiederholungsgefahr ist nicht durch die vorgetragene Änderung des Banners widerlegt Die Kammer hat ihren insoweit zunächst mit der Ladungsverfügung vom 14.04.2020 erteilten Hinweis in der mündlichen Verhandlung entsprechend korrigiert. Denn die Beklagte hat nach Ansicht der Kammer den Vertsoß nicht beseitigt. Auch das nunmehr von der Beklagten verwendete Cookie-Banner erfüllt die Voraussetzungen für eine wirksamen Einwilligung der Nutzer nicht.
(1) "Einwilligung“ der betroffenen Person ist gemäß Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden per-
sonenbezogenen Daten einverstanden ist.
Der BGH hat in der vorgenannten Entscheidung dazu ausführt:
Nach Art. 4 Nr. 11 der Verordnung (EU) 2016/679 ist Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Erwägungsgrund 32 der Verordnung (EU) 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Für den bestimmten Fall ist eine Einwilligung abgegeben, wenn Inhalt, Zweck und Tragweite der Erklärung hinreichend konkretisiert sind (vgl. DeckOK.DatonschutzR/Schild, 31. Edition (Stand 1. Februar 2020], Art. 4 DS-GVO Rn. 125; Buchner/Kühling in Kühling/Buchner, DS-GVO BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8).
(2) Eine wirksame Einwilligung Ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten "Cookie Zulassen“-Buttons aktiviert. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden' seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden "Cookie zulassen"-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert" werden.
EuGH
Urteil vom 11.11.2020 C-61/19
Orange România SA / Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Der EuGH hat entschieden, dass keine wirksame datenschutzrechtliche Einwilligung durch ein bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf dem Vertragsformular vorliegt.
Die Pressemitteilung des EuGH:
Mit einem Vertrag über Telekommunikationsdienste, der die Klausel enthält, dass der Kunde in die Sammlung und Aufbewahrung einer Kopie seines Ausweisdokuments eingewilligt hat, kann nicht nachgewiesen werden, dass dieser seine Einwilligung gültig erteilt hat, wenn das betreffende Kästchen von dem für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt wurde
Gleiches gilt, wenn der Verbraucher über die Möglichkeit, den Vertrag auch bei Verweigerung dieser Datenverarbeitung abzuschließen, irregeführt wird oder wenn die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, beeinträchtigt wird, indem ein zusätzliches Formular verlangt wird, in dem diese Weigerung zum Ausdruck kommt Die Orange România SA bietet Mobiltelekommunikationsdienste auf dem rumänischen Markt an.
Am 28. März 2018 verhängte die Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Nationale Behörde zur Überwachung der Verarbeitung personenbezogener Daten) gegen Orange România eine Geldbuße, weil sie Kopien der Ausweisdokumente ihrer Kunden ohne deren ausdrückliche Einwilligung aufbewahrt hatte.
Nach den Angaben dieser Behörde hatte Orange România im Zeitraum vom 1. März 2018 bis zum 26. März 2018 Verträge über Mobiltelekommunikationsdienste geschlossen, die die Klausel enthielten, dass die Kunden informiert wurden und in die Sammlung und Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion einwilligten. Das diese Klausel betreffende Kästchen wurde vom für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt.
Vor diesem Hintergrund hat das Tribunalul București (Landgericht Bukarest, Rumänien) den Gerichtshof ersucht, klarzustellen, unter welchen Voraussetzungen die Einwilligung von Kunden in die Verarbeitung personenbezogener Daten als gültig angesehen werden kann.
Mit seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass das Unionsrecht eine abschließende Aufzählung der Fälle vorsieht, in denen die Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Konkret muss die Einwilligung der betreffenden Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen.
Die Einwilligung wird bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit nicht gültig erteilt.
Zudem muss, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, diese Erklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Zur Sicherstellung einer echten Wahlfreiheit für die betroffene Person dürfen die
Vertragsbestimmungen diese nicht über die Möglichkeit irreführen, den Vertrag abschließen zu können, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen.
Der Gerichtshof erläutert, da Orange România die für die Verarbeitung personenbezogener Daten Verantwortliche ist, muss sie in der Lage sein, die Rechtmäßigkeit der Verarbeitung dieser Daten nachzuweisen, im vorliegenden Fall also das Vorliegen einer gültigen Einwilligung ihrer Kunden. Da die betroffenen Kunden das Kästchen in Bezug auf die Sammlung und die Aufbewahrung von Kopien ihres Ausweisdokuments anscheinend nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden nachzuweisen. Es ist Sache des nationalen Gerichts, die dafür erforderlichen Feststellungen zu treffen.
Es ist ebenfalls Sache des nationalen Gerichts, zu prüfen, ob die in Rede stehenden Vertragsbestimmungen die betroffenen Kunden mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten. Zudem führt der Gerichtshof aus, dass Orange
România für den Fall, dass ein Kunde die Einwilligung in die Verarbeitung seiner Daten verweigert hat, verlangt hat, dass dieser schriftlich erklärt, weder in die Sammlung noch in die Aufbewahrung der Kopie seines Ausweisdokuments einzuwilligen. Nach Ansicht des Gerichtshofs ist eine solche zusätzliche Anforderung geeignet, die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, ungebührlich zu beeinträchtigen. Da es jedenfalls Orange România obliegt, nachzuweisen, dass ihre Kunden ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet haben, kann sie nicht von ihnen verlangen, dass sie ihre Weigerung aktiv bekunden.
Der Gerichtshof kommt daher zu dem Ergebnis, dass ein Vertrag über die Erbringung von Telekommunikationsdiensten, der die Klausel enthält, dass die betroffene Person über die Sammlung und die Aufbewahrung einer Kopie ihres Ausweisdokuments mit
Identifikationsfunktion informiert worden ist und darin eingewilligt hat, nicht als Nachweis dafür geeignet ist, dass diese Person ihre Einwilligung in die Sammlung und Aufbewahrung dieser Dokumente gültig erteilt hat, wenn a) das Kästchen, das sich auf diese Klausel bezieht, von dem für die Verarbeitung der Daten Verantwortlichen vor Unterzeichnung dieses Vertrags angekreuzt worden ist oder wenn b) die Vertragsbestimmungen dieses Vertrags die betroffene Person über die Möglichkeit, den Vertrag abzuschließen, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen, irreführen können oder wenn c) die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, von diesem Verantwortlichen ungebührlich beeinträchtigt wird, indem verlangt wird, dass die betroffene Person zur Verweigerung ihrer Einwilligung ein zusätzliches Formular unterzeichnet, in dem diese Weigerung zum Ausdruck kommt.
a) Eine wirksame Einwilligung in telefonische Werbung im Sinne von § 7 Abs. 2 Nr. 2 Fall 1 UWG liegt nicht vor, wenn der Verbraucher bei der Erklärung der Einwilligung mit einem aufwendigen Verfahren der Abwahl von in einer Liste aufgeführten Partnerunternehmen konfrontiert wird, das ihn dazu veranlassen kann, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen dem Unternehmer die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.
b) § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.
BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main
BGH
Urteil vom 28.05.2020 I ZR 7/16
Cookie-Einwilligung II
Der BGH hat entschieden, dass keine wirksame Einwilligung in telefonische Werbung und das Setzen technisch nicht notwendiger Cookies durch ein voreingestelltes Ankreuzkästchen erteilt wird, dass vom Nutzer abgewählt werden muss, wenn er die Zustimmung nicht erteilen will.
Mit dieser Entscheidung setzt der BGH nach seinem Vorlagebeschluss an den EuGH die Entscheidung des EuGH um (siehe dazu EuGH - Urteil vom 01.10.2019 - C-673/17 ).
Die Pressemitteilung des BGH:
Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung
Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.
Sachverhalt:
Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.
Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.
Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:
"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."
In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.
Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.
Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Der Kläger hat außerdem Ersatz der Abmahnkosten verlangt.
Bisheriger Prozessverlauf:
Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.
Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 1. Oktober 2019 beantwortet.
Entscheidung des Bundesgerichtshofs:
Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.
Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der "Einwilligung" richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der Verordnung (EU) 2016/679 vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.
Eine Einwilligung wird "in Kenntnis der Sachlage" im Sinne des Art. 2 Buchst. h der Richtlinie 95/46/EG erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift "für den konkreten Fall", wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung "für den bestimmten Fall" im Sinne des Art. 4 Nr. 11 der Verordnung (EU) 2016/679, die insoweit keine Rechtsänderung herbeigeführt hat.
Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.
Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage - also vor Geltung der Verordnung (EU) 2016/679 - im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.
Vorinstanzen:
LG Frankfurt am Main - Urteil vom 10. Dezember 2014 - 2/6 O 30/14
OLG Frankfurt am Main - Urteil vom 17. Dezember 2015 - 6 U 30/15
BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16, Cookie-Einwilligung I
EuGH, Urteil vom 1. Oktober 2019, C-673/17, PLANET49
Wer in Allgemeinen Geschäftsbedingungen Bestimmungen, die nach den §§ 307 bis 309 des Bürgerlichen Gesetzbuchs unwirksam sind, verwendet oder für den rechtsgeschäftlichen Verkehr empfiehlt, kann auf Unterlassung und im Fall des Empfehlens auch auf Widerruf in Anspruch genommen werden.
(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben benachteiligen. …
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist
(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. …
(2) Eine unzumutbare Belästigung ist stets anzunehmen
2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Art. 2 Satz 2 Buchst. f der Richtlinie 2002/58/EG:
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck "Einwilligung" eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;
Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Art. 2 Buchst. h der Richtlinie 95/46/EG:
Im Sinne dieser Richtlinie bezeichnet der Ausdruck "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.
Im Sinne dieser Verordnung bezeichnet der Ausdruck "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Art. 94 Abs. 1 und 2 Satz 1 der Verordnung (EU) 2016/679:
(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …
Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
Ab dem 01.02.2020 gelten die neuen Vorgaben der Bundesnetzagentur zum Bezahlen von Abonnements und Einzelkäufen über die Mobilfunkrechnung.
Die Pressemitteilung der Bundesnetzagentur vom 31.01.2020:
Ab morgen gelten neue Regelungen zum mobilen Bezahlen
Präsident Homann: "Unsere Festlegung macht das mobile Bezahlen sicherer und transparenter"
Ab morgen gelten die von der Bundesnetzagentur festgelegten Vorgaben zum Bezahlen von Abonnements und Einzelkäufen über die Mobilfunkrechnung.
Neue Regelungen zur Abrechnung von Drittanbieterdienstleistungen
Die neuen Regeln schreiben Mobilfunkunternehmen vor, dass Dienstleistungen von Drittanbietern nur abgerechnet werden dürfen, wenn:
eine technische Umleitung erfolgt, bei der ein Kunde für den Bezahlvorgang einer Drittanbieterleistung von der Internetseite des Drittanbieters auf eine Internetseite eines Mobilfunkanbieters umgeleitet wird (Redirect).
oder das Mobilfunkunternehmen verschiedene festgelegte verbraucherschützende Maßnahmen implementiert (Kombinationsmodell).
Für Abonnementdienste gilt ein zwingender Einsatz des Redirects. Im Kombinationsmodell wird bei Einzelkäufen sowie bei besonders vertrauenswürdigen Drittanbietern, bei denen sich Kunden durch Login identifizieren darauf verzichtet. Im Gegenzug kann sich ein Kunde in einer Vielzahl von Fällen auf eine Geld-Zurück-Garantie der Mobilfunkanbieter bei ungewollten Drittanbieter-Abrechnungen berufen.
Beschwerden zu Abrechnung von Drittanbieterdiensten
Verbraucher, die Probleme mit der Abrechnung von Drittanbieterdiensten über ihre Mobilfunkrechnung haben, können sich online unter: www.bundesnetzagentur.de/drittanbieter an die Bundesnetzagentur wenden. Darüber hinaus sollten sich Verbraucher in jedem Fall ebenfalls an ihren Mobilfunkanbieter wenden. Unberechtigte Abbuchungen sollten widerrufen werden. Bei der Abrechnung von Abonnements sollte zudem vorsorglich eine Kündigung des Dienstes erklärt werden.
Geld-Zurück-Garantie der Mobilfunkanbieter
Mobilfunkanbieter müssen sich mit den Beanstandungen der Verbraucher auseinandersetzen und prüfen, ob die Forderung berechtigt ist. Die vorschnelle Drohung, im Fall der Nichtzahlung einer umstrittenen Forderung den Anschluss zu sperren, kann eine unlautere aggressive geschäftliche Handlung darstellen. Im Zweifel sollten sich Verbraucher auf die Garantie berufen.
Welche Unternehmen sich für das Kombinationsmodell und damit auch für die Geld-Zurück-Garantie entschieden haben, finden Sie unter: www.bundesnetzagentur.de/mobilfunkgarantie.
Das LG München hat entschieden, dass das Anbieten von Fake-Bewertungen, denen keine tatsächliche Inanspruchnahme der bewerteten Angebote zugrunde liegt,wettbewerbswidrig ist. Geklagt hatte das Buchungsportal Holidaycheck gegen einen Online-Anbieter, der positive Fake-Bewertungen zum Verkauf anbietet.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Berliner Beauftragte für Datenschutz und Informationsfreiheit haben nochmals ihre Ansicht bekräftigt, dass personenbezogenes Webtracking nur mit ausdrücklicher Einwilligung zulässig ist und es nicht genügt, wenn in einem Cookie-Banner auf den Einsatz hingewiesen wird.
Die Pressemitteilung des BfDI:
Personenbezogenes Webtracking nur mit Einwilligung
Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.
Hierbei unterstützen kann die bereits im Frühjahr von den Datenschutz-Aufsichtsbehörden des Bundes und der Länder veröffentlichte „Orientierungshilfe für Anbieter von Telemedien“. In dieser wird im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Ältere Veröffentlichungen der Aufsichtsbehörden, beispielsweise zum Thema Google Analytics, gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse mitunter stark verändert haben.
Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit
Datenschutzbeauftragte: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar
Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont.
Bereits im Frühjahr haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Webseiten-Besucherinnen und -Besuchern zulässig ist. Trotzdem erhält die Berliner Datenschutzbeauftragte weiterhin eine Vielzahl von Beschwerden über Websites, die die Orientierungshilfe missachten.
Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden kann es demgegenüber, wenn eine Webseiten-Betreiberin eine Reichweitenerfassung durchführt und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden, wie es sich mittlerweile der Anbieter von Google Analytics vorbehält.
Maja Smoltczyk:
„Viele Webseiten-Betreiber berufen sich bei der Einbindung von Google Analytics auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die Google Analytics einsetzen. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.
Webseiten-Betreiber in Berlin sollten ihre Webseite umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der konkreten Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 20192 ausdrücklich bestätigt.“
Was eine wirksame Einwilligung ist, wird in Artikel 4 Nummer 11 der DatenschutzGrundverordnung (DSGVO) definiert. Danach ist eine „‘Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO sind Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher nicht als Einwilligung anzusehen.
Maja Smoltczyk:
„Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“
In Ausgabe 21/2019, S. 15 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fragen bleiben offen - Die Cookie-Entscheidung des EuGH beendet die Diskussion nicht".
EuGH
Urteil vom 01.10.2019 C-673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH
Der EuGH hat entschieden, dass das Setzen von Cookies ein aktive Einwilligung des Internetnutzers erfordert. Es reicht nicht, wenn eine voreingestellte Checkbox abgewählt werden kann.
Nicht von der Pflicht zur Einwilligung erfasst, sind nach Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG solche Cookies, bei denen"der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."
Die Pressemitteilung des EuGH:
Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers - Ein voreingestelltes Ankreuzkästchen genügt daher nicht
Der deutsche Bundesverband der Verbraucherverbände wendet sich vor den deutschen Gerichten dagegen, dass die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.
Der Bundesgerichtshof (Deutschland) ersucht den Gerichtshof um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation.
Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.
Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät
eindringen.
Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.
Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.
Tenor der Entscheidung:
1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
