nicht vorausgefüllt

28. Mai 2020

Der Bundesgerichtshof (BGH) hat manipulatives Design in den Blick genommen: Cookie-Einwilligungen dürfen nicht vorausgefüllt werden, stellte das Gericht heute unter anderem klar. Notwendig geworden war die Entscheidung, weil Bundesregierung und Große Koalition seit Jahren eine Gesetzesaktualisierung verschleppen.

Wer sich eine Einwilligung von Nutzer:innen holen möchte, um auf ihren Geräten Werbe-Cookies zu speichern, darf das Ankreuzkästchen nicht vorher für sie ausfüllen. Das hat am heutigen Donnerstag der Bundesgerichtshof nach einem jahrelangen Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Glücksspiel-Unternehmen Planet 49 entschieden.

Planet 49 wollte bei einem Online-Gewinnspiel die Einwilligung der Teilnehmenden dafür einholen, auf ihren Geräten Cookies zu speichern. Mit diesen können Werbepartner/innen ihre Nutzer/innen wiedererkennen und Informationen über ihr Online-Verhalten sammeln, um Werbung auf sie zuzuschneiden. Der vzbv hatte argumentiert, dass dieses Vorausfüllen nicht den Vorgaben von EU-Datenschutzgesetzen entspricht, nach denen Einwilligungen aktiv, informiert und freiwillig erteilt werden müssen.

Der BGH hat sich nun auf die Seite der Verbraucherschützer:innen gestellt. Er folgt damit der Rechtsauffassung des Europäischen Gerichtshofes, der 2019 mehrere Grundsatzfragen zu dem Fall entschieden hat. Das Gericht sieht in vorausgefüllten Cookie-Einwilligungen eine unangemessene Benachteiligung der Nutzer:innen. Dies gelte sowohl unter der EU-Datenschutzgrundverordnung als auch unter älteren Datenschutzregeln der EU. Nicht von der Entscheidung betroffen sind Cookies, die für den Betrieb von Websites notwendig sind.

BGH kritisiert manipulatives Design

Auch eine zweite Einwilligung von Planet 49 war laut dem BGH nicht rechtskonform. Mit dieser sollten Teilnehmer/innen des Gewinnspiels bestätigten, dass sie von diversen Firmen telefonisch und schriftlich für Werbezwecke kontaktiert werden dürfen. Dabei bestand die Möglichkeit, die Werbefirmen aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich Planet49 das Recht vor, selbst die Entscheidung zu treffen.

Diese Einwilligung habe nicht den rechtlichen Vorschriften an die Informiertheit der Nutzer:innen entsprochen, „weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen“, so der BGH.

Mit der Entscheidung rücken einmal mehr die Gestaltungsfragen von Nutzungsoberflächen in den Vordergrund. Datenschützer:/nnen kritisieren seit langem, dass durch manipulatives Interface-Design, auch „Dark Patterns“ genannt, die Entscheidungshoheit von Nutzer/innen eingeschränkt werde. Die Datenethikkommission der Bundesregierung hatte 2019 empfohlen, wirksamer gegen die Masche vorzugehen. 2018 hatten mehrere zivilgesellschaftliche Organisationen Datenschutzbeschwerden wegen der Verwendung von Dark Patterns durch Google eingelegt. Erst vor wenigen Tagen hatte ein Think Tank mehrere konkrete Vorschläge gemacht, wie Politik und Behörden das Thema aktiver angehen können.

Wie das Telemediengesetz zum Problem wurde

Das Gericht setzt mit seiner Entscheidung zur Gestaltung von Online-Einwilligungen auch einen Schlussstrich unter eine jahrelange Debatte zwischen Werbeindustrie und Daten- sowie Verbraucherschützer:innen. Denn auch wenn die Datenschutzgrundverordnung (DSGVO) klare Anforderungen an die Einwilligung formuliert, herrscht beim Thema Online-Tracking in Deutschland bisher Chaos, weil Parlament und Regierung die Aktualisierung des Telemediengesetzes jahrelang verschlafen haben.

In dem Gesetz heißt es nämlich heute noch, dass die Betreiber/innen von Websites und anderen Telemediendiensten für Werbezwecke individuelle Nutzungsprofile erstellen dürfen. Einzige Einschränkung: Die Daten dürfen nicht unter Klarnamen gespeichert werden, sondern unter einem Pseudonym. Nutzer/innen haben außerdem ein Widerspruchsrecht.

Für Seitenbetreiber/innen ist das eine ziemlich komfortable Regelung, doch mit der Datenschutzgrundverordnung ist sie nicht vereinbar.

Das jedenfalls sagen die deutschen Datenschutzbehörden. Einen Monat vor Inkrafttreten der DSGVO im Mai 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine Positionsbestimmung zum Online-Tracking [PDF]. Die entsprechenden Regelungen des Telemediengesetzes seien unter der DSGVO nicht mehr anwendbar. Stattdessen bräuchten Tracking-Dienste, die individuelle Profile erstellen wollen, eine explizite und vorherige Einwilligung – Opt-In statt Opt-Out.

Zwischen Einwilligungsmüdigkeit und Entmündigung

Wenig überraschend lehnt die Online-Werbewirtschaft diese Sichtweise der Datenschutzkonferenz ab. Viele Websites haben daher ihre Praxis nicht geändert. Selbst wenn Einwilligungs-Banner erscheinen, sind sie oft vorausgefüllt oder lassen Nutzer:innen gar keine Entscheidungsmöglichkeit. Die Folge: allgemeine Einwilligungsmüdigkeit. Fast automatisch klicken wohl die meisten auf „Zustimmen“, sobald sich der Cookie-Hinweis ins Bild schiebt.

Ein Jahr später hat die Datenschutzkonferenz deshalb nochmal nachgelegt. In einer ausführlichen Orientierungshilfe [PDF] stellten die Aufsichtsbehörden im April 2019 dar, unter welchen Bedingungen Tracking erlaubt ist. Wieder kommen die Datenschützer zu dem Ergebnis: In den allermeisten Fällen benötigen Anbieter eine explizite Einwilligung der Betroffenen. Eine Abwägung zwischen den Interessen der Betroffenen und denen der Werbetreibenden müsse in den meisten Fällen ergeben, dass das Schutzbedürfnis der Nutzer:innen überwiege.

Außerdem könne es nicht als Einwilligung angesehen werden, wenn Menschen nicht auf das Tracking-Banner reagieren, sondern einfach weiter auf der Seite surfen. Auch vorausgefüllte Kästchen seien nicht erlaubt.

Irreführende Rechtslage seit 2009

Es gibt zudem bereits eine EU-Richtlinie, die das Thema Online-Tracking seit 2009 explizit regelt: die 2002 verabschiedete und 2009 überarbeitete ePrivacy-Richtlinie. Als kleine Schwester der Datenschutzgrundverordnung ergänzte und spezifizierte sie die alte EU-Datenschutzrichtlinie von 1995.

Eigentlich sollte sie im Anschluss an die Verabschiedung der Datenschutzgrundverordnung generalüberholt und spätestens im Frühjahr 2018 verabschiedet werden. Gerade in Sachen Online-Tracking sollte die Richtlinie, die dann zur ePrivacy-Verordnung aufgewertet worden wäre, Nutzer/innen mehr Selbstbestimmung ermöglichen. Verabschiedet wurde die Verordnung jedoch bis heute nicht, zu groß ist der Druck der Werbeindustrie.

Das führt zu der bizarren Situation, dass die Datenschutzgrundverordnung dem Online-Tracking nach Auslegung der Datenschutzbehörden engere Grenzen setzt als es das deutsche Datenschutzrecht formell tut.

Aktive Zustimmung oder aktive Ablehnung?

Noch dazu kommt, dass bereits die deutsche Umsetzung der alten ePrivacy-Richtlinie mangelhaft gewesen ist. Denn schon in ihr heißt es seit 2009, dass Nutzer:innen Online-Tracking bewusst zustimmen müssen. Die deutsche Opt-Out-Regelung hat dieser Vorgabe nicht entsprochen. Das sagen die deutschen Datenschutzbehörden und das sagte auch der EuGH in seiner Erklärung zum Fall Planet 49.

Der BGH ermöglicht der Bundesregierung mit seiner kreativen Rechtsauslegung nun aber ihr Gesicht zu wahren. Er bestätigt zwar, dass Werbe-Cookies ein aktives Opt-In voraussetzen, sagt aber, dass dies auch aus der alten Formulierung im Telemediengesetz hervorgehe. Dort steht zwar, dass Nutzer/innen aktiv widersprechen müssen, wenn sie mit der Sammlung ihrer Daten nicht einverstanden sind, der Gesetzgeber habe damit aber in Wirklichkeit gemeint, dass sie aktiv zustimmen müssen.

Für die Praxis ist diese Frage am Ende egal. Denn so oder so stellt der BGH mit seinem Urteil klar: Wer Nutzer/innen heute noch Cookie-Einwilligungen unterjubelt, handelt illegal.

(Bundesgerichtshof, Urteil vom 2805.2020 – I ZR 7/16 – Cookie-Einwilligung II)

En Beitrag von Ingo Dachwitz auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.
(Foto: BGH in Karlsruhe, ComQuat CC BY-SA 3.0)

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.