das Logo der Anwaltskanzlei tww.law

Schlussanträge des Generalanwalts in der Rechtssache C‑673/17

Geht es nach dem Generalanwalt des EuGH, müssen Nutzer eine aktive, informierte Einwilligung abgeben, um Cookies zu erlauben (Opt-in).

Abonnieren Sie unseren Newsletter.

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Inhalt des Beitrags

SCHLUSSANTRÄGE DES GENERALANWALTS
MACIEJ SZPUNAR
vom 21. März 2019 (1)
Rechtssache C‑673/17
Planet49 GmbH
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

(Vorabentscheidungsersuchen des Bundesgerichtshofs [Deutschland])

„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Richtlinie 2002/58/EG – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Cookies – Einwilligung der betroffenen Person – Einwilligungserklärung mittels eines mit einem voreingestellten Häkchen versehenen Ankreuzfelds“

I.      Einleitung

1.        Um an einem von Planet49 veranstalteten Gewinnspiel teilzunehmen, musste ein Internetnutzer bei zwei Ankreuzfeldern ein Häkchen setzen oder entfernen, bevor er die Schaltfläche für die Teilnahme betätigen konnte. Dabei musste er zum einen seine Zustimmung erteilen, von einer Reihe von Firmen mit Werbeangeboten kontaktiert zu werden, und zum anderen seine Einwilligung in die Setzung von Cookies auf seinem Computer geben. Dies ist, kurz zusammengefasst, der dem Vorlagebeschluss des Bundesgerichtshofs (Deutschland) zugrunde liegende Sachverhalt.

2.        Hinter diesem scheinbar harmlosen Sachverhalt verbergen sich grundlegende Fragen des Datenschutzrechts der Union: Welche genauen Anforderungen bestehen an eine freiwillige, in Kenntnis der Sachlage erteilte Einwilligung? Gibt es einen Unterschied hinsichtlich der (reinen) Verarbeitung personenbezogener Daten sowie dem Setzen von und dem Zugriff auf Cookies? Welche Rechtsvorschriften sind anwendbar?

3.        In diesen Schlussanträgen werde ich argumentieren, dass im Rahmen des vorliegenden Falls die Richtlinie 95/46/EG(2) die gleichen Anforderungen an die Einwilligung aufstellt wie die Verordnung (EU) 2016/679(3) und dass es im vorliegenden Fall keine Rolle spielt, ob es um die allgemeine Frage der Verarbeitung personenbezogener Daten geht oder um die speziellere Frage der Speicherung von Informationen mittels Cookies und des Zugriffs auf sie.

II.    Rechtlicher Rahmen

A.      Unionsrecht

1.      Richtlinie 95/46

4.        Art. 2 („Begriffsbestimmungen“) der Richtlinie 95/46 sieht vor:

„Im Sinne dieser Richtlinie bezeichnet der Ausdruck

h)      ‚Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“

5.        In Abschnitt II („Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten“) der Richtlinie 95/46 bestimmt Art. 7 Buchst. a:

„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:

a)      Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

…“

6.        Art 10 („Information bei der Erhebung personenbezogener Daten bei der betroffenen Person“) der Richtlinie 95/46 lautet:

„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a)      Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,

b)      Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,

c)      weitere Informationen, beispielsweise betreffend

–        die Empfänger oder Kategorien der Empfänger der Daten,

–        die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

–        das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“

2.      Richtlinie 2002/58/EG(4)

7.        Die Erwägungsgründe 24 und 25 der Richtlinie 2002/58/EG(5) lauten:

„(24)      Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte ‚Spyware‘, ‚Web-Bugs‘, ‚Hidden Identifiers‘ und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen oder die Nutzeraktivität zurückzuverfolgen, und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.

(25)      Solche Instrumente, z. B. so genannte ‚Cookies‘, können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. ‚Cookies‘, einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie [95/46] klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen. Dies ist besonders bedeutsam, wenn auch andere Nutzer Zugang zu dem betreffenden Endgerät haben und damit auch zu dort gespeicherten Daten, die sensible Informationen privater Natur beinhalten. Die Auskunft und das Ablehnungsrecht können einmalig für die Nutzung verschiedener in dem Endgerät des Nutzers während derselben Verbindung zu installierender Instrumente angeboten werden und auch die künftige Verwendung derartiger Instrumente umfassen, die während nachfolgender Verbindungen vorgenommen werden [kann]. Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website‑Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.“

8.        Art. 2 („Begriffsbestimmungen“) der Richtlinie 2002/58 sieht in Buchst. f vor:

„Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie [95/46] und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (‚Rahmenrichtlinie‘)[(6)] auch für diese Richtlinie.

Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck

f)      ‚Einwilligung‘ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne [der] Richtlinie [95/46];

…“

9.        Art. 5 („Vertraulichkeit der Kommunikation“) der Richtlinie 2002/58 bestimmt in Abs. 3:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

3.      Richtlinie 2009/136/EG(7)

10.      Der 66. Erwägungsgrund der Richtlinie 2009/136/EG(8) lautet:

„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie [95/46] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“

4.      Verordnung 2016/679

11.      Der 32. Erwägungsgrund der Verordnung 2016/679 lautet:

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“

12.      Art. 4 („Begriffsbestimmungen“) der Verordnung 2016/679 sieht in Nr. 11 vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck

11.      ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

…“

13.      In Art. 6 („Rechtmäßigkeit der Verarbeitung“) der Verordnung 2016/679 heißt es:

„(1)      Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Voraussetzungen erfüllt ist:

a)      Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

…“

14.      Art. 7 („Bedingungen für die Einwilligung“) der Verordnung 2016/679 bestimmt in Abs. 4: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

B.      Deutsches Recht

1.      Bürgerliches Gesetzbuch

15.      § 307(9) des Bürgerlichen Gesetzbuchs (BGB) lautet:

„(1)      Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2)      Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1.      mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder

2.      wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

(3)      Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.“

2.      Gesetz gegen den unlauteren Wettbewerb

16.      Das Gesetz gegen den unlauteren Wettbewerb (UWG) verbietet geschäftliche Handlungen, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.

3.      Telemediengesetz

17.      Mit § 12 Abs. 1 des Telemediengesetzes (TMG) wird Art. 7 Buchst. a der Richtlinie 95/46 umgesetzt und festgelegt, unter welchen Voraussetzungen ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien erheben und verwenden darf. Nach dieser Bestimmung darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

18.      Nach § 12 Abs. 3 TMG sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.

19.      Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb des Anwendungsbereichs der Richtlinie 95/46 zu unterrichten.

20.      § 15 Abs. 1 TMG sieht vor, dass Diensteanbieter personenbezogene Daten nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere Merkmale zur Identifikation der Nutzer.

21.      Mit § 15 Abs. 3 TMG wird Art. 5 Abs. 3 der Richtlinie 2002/58 umgesetzt. Er gestattet einem Diensteanbieter, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, sofern der Nutzer dem nicht widerspricht und der Diensteanbieter den Nutzer auf sein Widerspruchsrecht im Einklang mit der Unterrichtungspflicht nach § 13 Abs. 1 TMG hingewiesen hat.

4.      Bundesdatenschutzgesetz

22.      Mit § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG)(10) wird Art. 2 Buchst. a der Richtlinie 95/46 umgesetzt; der Begriff „personenbezogene Daten“ wird dort definiert als Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

23.      Mit § 4a BDSG wird Art. 2 Buchst. h der Richtlinie 95/46 in nationales Recht umgesetzt; er sieht vor, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung der Betroffenen beruht.

III. Sachverhalt, Verfahren und Vorlagefragen

24.      Am 24. September 2013 veranstaltete die Planet49 GmbH unter der Internetadresse www.dein-macbook.de(11) ein Gewinnspiel zu Werbezwecken. Um an dem Gewinnspiel teilnehmen zu können, musste ein Internetnutzer seine Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern für den Namen und die Adresse des Nutzers angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Ich werde sie im Folgenden als „erstes Ankreuzfeld“ und „zweites Ankreuzfeld“ bezeichnen. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“

25.      Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, lautete:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

26.      Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde.

27.      Der elektronische Link, der im ersten Hinweistext den Worten „Sponsoren und Kooperationspartner“ und „hier“ unterlegt war, führte zu einer Liste, die 57 Unternehmen, ihre Adressen, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E‑Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:

„Durch Anklicken auf dem Link ‚Abmelden‘ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt Planet49 für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“

28.      Bei Betätigung des im zweiten Hinweistext dem Wort „hier“ unterlegten elektronischen Links wurde folgende Information angezeigt:

„Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.

Anschließend kann die Planet49 GmbH aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E‑Mail-Werbung mehr.

Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.

Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.

Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.

Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an die PLANET49 GmbH [Adresse] richten. Es genügt jedoch auch eine E‑Mail an unseren Kundenservice [E‑Mail-Adresse].“

29.      Der Kläger des Ausgangsverfahrens, der Bundesverband der Verbraucherzentralen (im Folgenden: Bundesverband), ist in die Liste qualifizierter Einrichtungen nach dem Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG) eingetragen. Seines Erachtens genügten die oben wiedergegebenen, von Planet49 verwendeten Einverständniserklärungen nicht den in § 307 BGB, § 7 Abs. 2 Nr. 2 UWG und den §§ 12 ff. TMG aufgestellten Anforderungen. Eine vorgerichtliche Abmahnung blieb ohne Erfolg.

30.      Der Bundesverband erhob beim Landgericht Frankfurt am Main (Deutschland) Klage mit dem Antrag, Planet49 zu verurteilen, die oben genannten Klauseln(12) nicht mehr zu verwenden und an den Bundesverband 214 Euro nebst Zinsen ab dem 15. März 2014 zu zahlen.

31.      Das Landgericht Frankfurt am Main gab einigen Klageanträgen statt und wies die Klage im Übrigen ab. Im Anschluss an eine beim Oberlandesgericht Frankfurt am Main (Deutschland) eingelegte Berufung(13) ist der Bundesgerichtshof als Revisionsgericht(14) mit der Klage befasst.

32.      Der Bundesgerichtshof ist der Ansicht, dass der Erfolg der Revision von der Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 sowie des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 abhänge. Er hat dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.      a)      Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b)      Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c)      Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?

2.      Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

33.      Der Vorlagebeschluss ist am 30. November 2017 beim Gerichtshof eingegangen. Planet49, der Bundesverband, die portugiesische und die italienische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Am 13. November 2018 hat eine mündliche Verhandlung stattgefunden, an der Planet49, der Bundesverband, die deutsche Regierung und die Kommission teilgenommen haben.

IV.    Würdigung

34.      Die beiden vom Bundesgerichtshof zur Vorabentscheidung vorgelegten Fragen beziehen sich auf die Einwilligung in die Speicherung von Informationen und den Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, d. h. auf Cookies, im speziellen Kontext der Bestimmungen der Richtlinie 2002/58 in Verbindung mit den Bestimmungen der Richtlinie 95/46 oder der Verordnung 2016/679.

35.      Es erscheint mir hilfreich, durch Vorbemerkungen in tatsächlicher Hinsicht klarzustellen, was unter Cookies und verwandter Terminologie zu verstehen ist, und in rechtlicher Hinsicht, welche Rechtsvorschriften auf den vorliegenden Fall anwendbar sind.

A.      Vorbemerkungen

1.      Zu Cookies

36.      Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden(15). Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert wird(16).

37.      Ein Cookie erlaubt es der Website, sich dauerhaft an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen. Viele Nutzer konfigurieren die Cookie-Einstellungen in ihren Browsern so, dass die Cookies standardmäßig automatisch gelöscht werden, wenn das Browserfenster geschlossen wird. Es gibt allerdings eine Fülle empirischer Belege dafür, dass die Standardeinstellungen selten geändert werden, ein Phänomen, das als „Default-Trägheit“ bezeichnet worden ist(17).

38.      Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.

39.      Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln(18). Unternehmen verwenden z. B. Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist(19).

40.      Es gibt verschiedene Arten von Cookies. Eine Eingruppierung kann anhand ihrer Lebensdauer vorgenommen werden (z. B. Sitzungscookies und persistente Cookies) oder anhand der Domain, zu der sie gehören (z. B. Erstanbieter- und Drittanbieter-Cookies)(20). Wenn der Webserver, der die Internetseite speist, Cookies auf dem Computer oder dem mobilen Endgerät des Nutzers speichert, spricht man von „HTTP-Header-Cookies“(21). Ferner können Cookies mittels JavaScript-Code gespeichert werden, der sich auf der Seite befindet oder dort referenziert wird(22). Die Gültigkeit der Einwilligung zum Setzen von Cookies und die Anwendbarkeit einschlägiger Ausnahmen sollten jedoch anhand des Zwecks der Cookies beurteilt werden und nicht anhand ihrer technischen Merkmale(23).

2.      Zu den anwendbaren Rechtsvorschriften

41.      Der für das Ausgangsverfahren geltende rechtliche Rahmen hat sich im Lauf der Jahre fortentwickelt, zuletzt durch das Inkrafttreten der Verordnung 2016/679.

42.      Im vorliegenden Fall sind zwei Gruppen von Unionsvorschriften anwendbar. Erstens die Richtlinie 95/46 und die Verordnung 2016/679. Zweitens die Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung(24).

43.      Ich möchte zwei Bemerkungen in Bezug auf diese beiden Gruppen von Rechtsvorschriften machen.

44.      Die erste Bemerkung betrifft die Anwendbarkeit der Richtlinie 95/46 und der Verordnung 2016/679.

45.      Durch die Verordnung 2016/679, die seit dem 25. Mai 2018 gilt(25), wurde die Richtlinie 95/46 mit Wirkung vom gleichen Tag aufgehoben(26).

46.      Der 25. Mai 2018 liegt nach der letzten mündlichen Verhandlung vor dem vorlegenden Gericht, die am 14. Juli 2017 stattfand, und auch nach dem 5. Oktober 2017, an dem die vorliegende Rechtssache dem Gerichtshof zur Vorabentscheidung vorgelegt wurde.

47.      Für Sachverhalte vor dem 25. Mai 2018 gilt daher die Richtlinie 2002/58 in Verbindung mit der Richtlinie 95/46, für Sachverhalte ab dem 25. Mai 2018 dagegen die Richtlinie 2002/58 in Verbindung mit der Verordnung 2016/679.

48.      Soweit der Bundesverband beantragt, Planet49 zu verurteilen, ihr bisheriges Verhalten künftig zu unterlassen(27), ist im vorliegenden Fall die Verordnung 2016/679 anwendbar. Bei seiner Entscheidung über das in die Zukunft gerichtete Unterlassungsbegehren wird der Bundesgerichtshof daher die Erfordernisse der Verordnung 2016/679 zu berücksichtigen haben. In diesem Zusammenhang weist die deutsche Regierung auf eine ständige innerstaatliche Rechtsprechung zur einschlägigen Rechtslage bei Unterlassungsklagen hin(28).

49.      Infolgedessen ist die vorgelegte Frage sowohl anhand der Richtlinie 95/46 als auch anhand der Verordnung 2016/679 zu beantworten(29).

50.      Überdies ist darauf hinzuweisen, dass Verweise auf die Richtlinie 95/46 in der Richtlinie 2002/58 als Verweise auf die Verordnung 2016/679 gelten(30).

51.      Die zweite Bemerkung betrifft die Entwicklung von Art. 5 Abs. 3 der Richtlinie 2002/58.

52.      Mit der Richtlinie 2002/58 soll gewährleistet werden, dass die in der Charta der Grundrechte der Europäischen Union und insbesondere in deren Art. 7 und 8 niedergelegten Rechte uneingeschränkt geachtet werden(31). Art. 5 dieser Richtlinie soll die „Vertraulichkeit der Kommunikation“ gewährleisten. Insbesondere regelt Art. 5 Abs. 3 die Verwendung von Cookies und legt fest, welche Anforderungen erfüllt sein müssen, bevor auf dem Computer eines Nutzers durch die Setzung eines Cookies Daten gespeichert werden dürfen oder auf sie zugegriffen werden darf.

53.      Durch die Richtlinie 2009/136 wurden die in Art. 5 Abs. 3 der Richtlinie 2002/58 aufgestellten Anforderungen an die Einwilligung erheblich geändert, um den Schutz der Nutzer zu verbessern. Vor den Änderungen durch die Richtlinie 2009/136 verlangte Art. 5 Abs. 3 lediglich, dass die Nutzer auf das Recht hingewiesen werden, die Datenverarbeitung mittels Cookies zu verweigern („informed opt-out“). Mit anderen Worten musste der Diensteanbieter nach der ursprünglichen Fassung von Art. 5 Abs. 3 im Fall der Speicherung von Informationen auf dem Endgerät des Nutzers oder des Zugriffs auf dort gespeicherte Informationen den Nutzer klar und umfassend insbesondere über den Zweck der Verarbeitung informieren und ihn auf das Recht hinweisen, diese Verarbeitung zu verweigern.

54.      Mit der Richtlinie 2009/136 wurde dieses Erfordernis des Hinweises auf das Weigerungsrecht durch das Erfordernis ersetzt, dass „der betreffende Teilnehmer oder Nutzer … seine Einwilligung gegeben hat“. Das System des „informed opt-out“, dem leichter Genüge getan werden konnte, wurde also durch ein System des „informed opt-in“ ersetzt. Abgesehen von einer eng begrenzten, im vorliegenden Fall nicht anwendbaren Ausnahme(32) ist die Verwendung von Cookies nach der geänderten Fassung von Art. 5 Abs. 3 der Richtlinie 2002/58 nur zulässig, wenn der Nutzer eingewilligt hat, nachdem er gemäß der Richtlinie 95/46 klare und umfassende Informationen darüber erhalten hat, weshalb seine Daten nachverfolgt werden, d. h. über die Zwecke der Verarbeitung(33).

55.      Wie nachfolgend näher dargelegt wird, steht die Tragweite des Erfordernisses, Informationen bereitzustellen, in Art. 5 Abs. 3 der Richtlinie 2002/58 im Mittelpunkt der Streitfrage, insbesondere im Kontext von Standardeinstellungen für Onlineaktivitäten.

B.      Erste Frage

56.      Mit Buchst. a seiner ersten Frage möchte das vorlegende Gericht wissen, ob es sich um eine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. In diesem Zusammenhang möchte das vorlegende Gericht ferner wissen, ob es einen Unterschied macht, ob die gespeicherten oder abgerufenen Informationen personenbezogene Daten sind (Buchst. b der ersten Frage). Schließlich möchte es wissen, ob unter den oben geschilderten Umständen eine wirksame Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vorliegt (Buchst. c der ersten Frage).

1.      Zur freiwillig und in Kenntnis der Sachlage erteilten Einwilligung

57.      Eines der dem Datenschutzrecht der Union zugrunde liegenden Merkmale ist die Einwilligung.

58.      Bevor ich mich speziell den Cookies zuwende, möchte ich allgemeine, den einschlägigen Rechtsvorschriften zu entnehmende Grundsätze für die Erteilung einer Einwilligung aufstellen.

a)      Im Rahmen der Richtlinie 95/46

1)      Aktive Einwilligung

59.      Ich schließe aus den Bestimmungen der Richtlinie 95/46, dass die Einwilligung aktiv(34) zum Ausdruck gebracht werden muss.

60.      In Art. 2 Buchst. h der Richtlinie 95/46 ist von einer Willensbekundung der betroffenen Person die Rede, was klar auf aktives und nicht passives Verhalten hindeutet. Außerdem heißt es in Art. 7 Buchst. a der Richtlinie 95/46, der sich mit den Grundsätzen in Bezug auf die Zulässigkeit der Verarbeitung von (personenbezogenen) Daten befasst, dass die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben haben muss. Zweifel können aber nur durch aktives und nicht durch passives Verhalten beseitigt werden.

61.      Ich schließe daraus, dass es insoweit nicht ausreicht, wenn die Einwilligungserklärung des Nutzers vorformuliert ist und der Nutzer aktiv widersprechen muss, falls er mit der Verarbeitung der Daten nicht einverstanden ist.

62.      Im letztgenannten Fall weiß man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation ist nicht frei von Zweifeln. Ein Nutzer kann den Text gelesen haben oder auch nicht. Er kann dies aus reiner Nachlässigkeit unterlassen haben. In einer solchen Situation lässt sich nicht ermitteln, ob die Einwilligung freiwillig erteilt wurde.

2)      Gesonderte Einwilligung

63.      Mit dem Erfordernis der aktiven Einwilligung eng verbunden ist das Erfordernis der gesonderten Einwilligung(35).

64.      Man könnte, wie Planet49 es tut, geltend machen, dass die betroffene Person eine gültige Einwilligung nicht dadurch erteile, dass sie das Häkchen vor einer vorformulierten Einwilligungserklärung nicht entferne, sondern dadurch, dass sie aktiv die Schaltfläche für die Teilnahme an dem Online-Gewinnspiel anklicke.

65.      Ich schließe mich dieser Auslegung nicht an.

66.      Eine Einwilligung wird nur dann freiwillig und in Kenntnis der Sachlage erteilt, wenn dies nicht nur aktiv, sondern auch gesondert geschieht. Die Aktivitäten eines Nutzers im Internet (Lektüre einer Internetseite, Teilnahme an einem Gewinnspiel, Anschauen eines Videos usw.) und die Erteilung einer Einwilligung können nicht Teil derselben Handlung sein. Insbesondere kann, aus der Perspektive des Nutzers, die Erteilung der Einwilligung nicht als Nebenwirkung der Teilnahme am Gewinnspiel erscheinen. Beide Handlungen müssen insbesondere optisch in gleicher Weise präsentiert werden. Infolgedessen halte ich es für zweifelhaft, dass ein Bündel von Willenserklärungen, zu denen die Erteilung einer Einwilligung gehören würde, mit dem Begriff der Einwilligung im Sinne der Richtlinie 95/46 im Einklang stünde.

3)      Pflicht zur umfassenden Information

67.      In diesem Kontext muss einem Nutzer unmissverständlich klar gemacht werden, ob das, was er im Internet tut, von der Erteilung einer Einwilligung abhängig ist. Ein Nutzer muss ermessen können, in welchem Umfang er bereit ist, seine Daten preiszugeben, um seine Aktivität im Internet zu entfalten. Es darf keinen Raum für die geringste Unklarheit geben(36). Ein Nutzer muss wissen, ob und, wenn ja, in welchem Umfang sich die Erteilung seiner Einwilligung auf die Entfaltung seiner Aktivität im Internet auswirkt.

b)      Im Rahmen der Verordnung 2016/679

68.      Die oben aufgestellten Grundsätze gelten auch für die Verordnung 2016/679.

69.      In Art. 4 Nr. 11 der Verordnung 2016/679 wird die Einwilligung der betroffenen Person als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung definiert, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

70.      Diese Definition ist insofern enger als die Definition in Art. 2 Buchst. h der Richtlinie 95/46, als sie eine unmissverständlich abgegebene Willensbekundung der betroffenen Person und eine eindeutige bestätigende Handlung verlangt, die das Einverständnis mit der Verarbeitung personenbezogener Daten zum Ausdruck bringt.

71.      Darüber hinaus sind die Erwägungsgründe der Verordnung 2016/679 besonders erhellend. Da ich ausführlich auf die Erwägungsgründe Bezug nehmen werde(37), sehe ich mich zu dem Hinweis veranlasst, dass sie natürlich keine eigene rechtliche Bedeutung haben(38), dass der Gerichtshof aber bei der Auslegung von Bestimmungen eines Unionsrechtsakts häufig auf sie zurückgreift. In der Unionsrechtsordnung sind sie deskriptiver, nicht normativer Natur. Tatsächlich stellt sich die Frage der rechtlichen Bedeutung der Erwägungsgründe normalerweise aus dem einfachen Grund nicht, weil sie sich gewöhnlich in den Rechtsvorschriften einer Richtlinie widerspiegeln. Gute Rechtsetzungstechnik der politischen Organe der Union zielt auf eine Situation ab, in der die Erwägungsgründe einen nutzbringenden Hintergrund für die Vorschriften eines Rechtsakts liefern(39).

72.      Nach dem 32. Erwägungsgrund der Verordnung 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte u. a. durch das Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.

73.      Die Verordnung 2016/679 sieht mithin nunmehr ausdrücklich eine aktive Einwilligung vor.

74.      Überdies heißt es im 43. Erwägungsgrund der Verordnung, dass die Einwilligung, um sicherzustellen, dass sie freiwillig erfolgt ist, in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern sollte. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl sie für die Erfüllung nicht erforderlich ist.

75.      Das Erfordernis einer gesonderten Einwilligung wird mithin in diesem Erwägungsgrund nunmehr ausdrücklich hervorgehoben.

c)      Im Rahmen der Richtlinie 2002/58 – der Fall von Cookies

76.      Nach Art. 5 Abs. 3 der Richtlinie 2002/58 müssen die Mitgliedstaaten sicherstellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

77.      In dieser Bestimmung werden keine weiteren Kriterien hinsichtlich des Begriffs der Einwilligung aufgestellt.

78.      Die Erwägungsgründe der Richtlinie 2002/58 und der Richtlinie 2009/136 bieten jedoch Anhaltspunkte für die Einwilligung in Bezug auf Cookies.

79.      So wird im 17. Erwägungsgrund der Richtlinie 2002/58 ausgeführt, dass die Einwilligung in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt, und dass hierzu auch das Markieren eines Feldes auf einer Internet-Website zählt(40).

80.      Darüber hinaus wird im 66. Erwägungsgrund der Richtlinie 2009/136 erläutert, dass es von größter Wichtigkeit ist, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zur Speicherung von Informationen im Endgerät eines Nutzers oder zum Zugriff auf bereits gespeicherte Informationen führen könnte, und dass die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, so benutzerfreundlich wie möglich gestaltet werden sollten.

81.      In diesem Zusammenhang möchte ich auch auf die unverbindliche, aber gleichwohl aufschlussreiche Arbeit der Artikel-29-Datenschutzgruppe hinweisen(41). Danach impliziert die Einwilligung eine vorherige positiv bejahende Handlung der Nutzer in Bezug auf eine Einwilligung in die Speicherung des Cookies und in dessen Verwendung(42). Die Datenschutzgruppe hat ferner ausgeführt, dass der Begriff „Willensbekundung“ eine Handlung fordere(43). Andere Elemente der Definition der Einwilligung und die zusätzliche Anforderung in Art. 7 Buchst. a der Richtlinie 95/46, dass die Einwilligung ohne jeden Zweifel erfolgen muss, stützen diese Auslegung(44). Das Erfordernis, dass die betroffene Person ihre Einwilligung „zum Ausdruck bringen“ muss, deutet darauf hin, dass bloße Untätigkeit nicht ausreicht und dass irgendeine Art von Handlung für die Einwilligung erforderlich ist. Es sind jedoch verschiedene Handlungen möglich, die „im jeweiligen Zusammenhang“ bewertet werden müssen(45).

2.      Anwendung auf den vorliegenden Fall

82.      Ich möchte mich nun der Anwendung dieser Kriterien auf den vorliegenden Fall zuwenden. Dabei werde ich mich zunächst mit den Buchst. a und c der ersten Frage befassen, d. h. damit, ob eine wirksame Einwilligung in die Setzung der Cookies und den Zugriff auf sie vorlag. Dies betrifft das zweite Ankreuzfeld.

83.      In Anbetracht dessen, dass sich – wie soeben dargelegt – die Anforderungen an die Einwilligung bei Cookies und, allgemeiner, bei der Verarbeitung personenbezogener Daten nur wenig voneinander unterscheiden, halte ich es sowohl der Vollständigkeit als auch der Klarheit halber zur korrekten und einheitlichen Auslegung des Unionsrechts zudem für erforderlich, kurz zu prüfen, ob in Bezug auf die Verarbeitung personenbezogener Daten im Kontext des ersten Ankreuzfelds eine wirksame Einwilligung vorlag, obwohl das vorlegende Gericht nicht ausdrücklich danach fragt. Nach meinem Verständnis wird der Bundesgerichtshof im Kontext des bei ihm anhängigen Verfahrens auch über das erste Ankreuzfeld zu entscheiden haben(46).

a)      Zweites Ankreuzfeld – Buchst. a und c der ersten Frage

84.      Das vorlegende Gericht möchte wissen, ob es sich um eine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

85.      Die entscheidenden Begriffe für die Beantwortung dieser Frage sind „ohne Zwang“ und „in Kenntnis der Sachlage“ in Art. 2 Buchst. h der Richtlinie 95/46 bzw. „freiwillig“ und „in informierter Weise“ in Art. 4 Nr. 11 der Verordnung 2016/679. Fraglich ist, ob eine Einwilligung in einer Situation, wie sie das vorlegende Gericht beschreibt, in dieser Weise erteilt werden kann.

86.      Planet49 bejaht dies. Alle übrigen Parteien(47) sind anderer Meinung. In diesem Kontext konzentrieren sich die Rechtsausführungen der Parteien in erster Linie darauf, ob das Setzen oder Entfernen eines Häkchens in einem bereits ausgefüllten Ankreuzfeld diese Anforderungen erfüllt. Gegenstand der Erörterung ist die Frage von Aktivität und Passivität. Dieser Aspekt, so wichtig er auch ist, stellt jedoch nur einen Teil der Anforderungen dar. Er betrifft nämlich nur das Erfordernis der aktiven Einwilligung, nicht aber das der gesonderten Einwilligung.

87.      Meines Erachtens lautet die Antwort auf der Grundlage der oben dargelegten Kriterien, dass im vorliegenden Fall keine wirksame Einwilligung vorliegt.

88.      Erstens ist das Kriterium der aktiven Einwilligung nicht erfüllt, wenn ein Nutzer ein vorhandenes Häkchen entfernen und somit aktiv werden muss, sofern er nicht in das Setzen von Cookies einwilligt. In einer solchen Situation ist es praktisch unmöglich, objektiv zu bestimmen, ob ein Nutzer seine Einwilligung auf der Grundlage einer freiwillig und in Kenntnis der Sachlage getroffenen Entscheidung erteilt hat. Muss ein Nutzer ein Feld ankreuzen, kann davon hingegen mit sehr viel größerer Wahrscheinlichkeit ausgegangen werden.

89.      Zweitens und vor allem können die Teilnahme an dem Online-Gewinnspiel und die Erteilung der Einwilligung in die Setzung von Cookies nicht Teil derselben Handlung sein. Genau dies ist hier aber der Fall. Letztlich nimmt ein Nutzer nur einen Klick vor, und zwar auf die für die Teilnahme am Online-Gewinnspiel vorgesehene Schaltfläche. Gleichzeitig willigt er in die Setzung von Cookies ein. Zwei Willenserklärungen (Teilnahme am Gewinnspiel und Einwilligung in die Setzung von Cookies) werden gleichzeitig abgegeben. Sie können nicht beide derselben Schaltfläche für die Teilnahme zugeordnet werden. Im vorliegenden Fall erscheint die Einwilligung in die Cookies insofern nachrangig, als keineswegs klar ist, dass sie Teil einer gesonderten Handlung ist. Anders ausgedrückt, das Setzen oder Entfernen des Häkchens in dem die Cookies betreffenden Ankreuzfeld erscheint als vorbereitende Handlung für die abschließende und rechtlich bindende Handlung, die Betätigung der Schaltfläche für die Teilnahme.

90.      In einer solchen Situation ist ein Nutzer nicht in der Lage, aus freien Stücken seine gesonderte Einwilligung in die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits in seinem Endgerät gespeichert sind, zu erteilen.

91.      Überdies war die Teilnahme am Gewinnspiel, wie oben dargelegt, nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde. Infolgedessen war die Teilnahme am Gewinnspiel nicht davon abhängig(48), dass die Einwilligung zum Setzen von und zum Zugriff auf Cookies gegeben wurde. Denn ein Nutzer hätte auch (nur) das erste Ankreuzfeld anklicken können.

92.      Meines Wissens wurde der Nutzer darüber aber nie informiert. Dies steht nicht im Einklang mit dem oben dargelegten Kriterium, die Nutzer umfassend zu informieren.

93.      Im Ergebnis schlage ich vor, auf die Buchst. a und c der ersten Frage zu antworten, dass in einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 vorliegt. Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung 2016/679.

b)      Erstes Ankreuzfeld

94.      Obwohl sich die Fragen des vorlegenden Gerichts nur auf das zweite Ankreuzfeld beziehen, möchte ich zwei spezielle Bemerkungen zum ersten Ankreuzfeld machen, die dem vorlegenden Gericht bei seiner abschließenden Entscheidung hilfreich sein könnten.

95.      Das erste Ankreuzfeld betrifft, wie bereits ausgeführt, keine Cookies, sondern nur die Verarbeitung personenbezogener Daten. Insoweit erklärt sich ein Nutzer nicht mit der Speicherung von Informationen auf seinem Gerät einverstanden, sondern (lediglich) damit, dass ihn eine Reihe von Firmen postalisch, telefonisch oder per E‑Mail kontaktiert.

96.      Erstens gelten die Kriterien für die aktive und gesonderte Einwilligung und die umfassende Information natürlich auch in Bezug auf das erste Ankreuzfeld. Die aktive Einwilligung dürfte unproblematisch sein, da das Ankreuzfeld nicht vorausgefüllt ist. Zweifel habe ich hingegen bei der gesonderten Einwilligung. Auf der Basis der obigen Analyse(49) wäre es angesichts des Sachverhalts des vorliegenden Falls besser, wenn, bildlich gesprochen, zur Einwilligung in die Verarbeitung personenbezogener Daten eine gesonderte Schaltfläche anzuklicken wäre(50) und nicht lediglich ein Feld anzukreuzen.

97.      Zweitens sollte hinsichtlich des ersten, die Kontaktaufnahme durch Sponsoren und Kooperationspartner betreffenden Ankreuzfelds Art. 7 Abs. 4 der Verordnung 2016/679 berücksichtigt werden. Nach dieser Bestimmung muss bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, in größtmöglichem Umfang dem Umstand Rechnung getragen werden, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. In Art. 7 Abs. 4 der Verordnung 2016/679 wird daher nunmehr ein „Koppelungsverbot“ aufgestellt(51).

98.      Wie sich aus den Worten „muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden“ ergibt, ist das Koppelungsverbot kein absolutes Verbot(52).

99.      Insoweit wird das zuständige Gericht zu beurteilen haben, ob die Einwilligung in die Verarbeitung personenbezogener Daten für die Teilnahme am Gewinnspiel erforderlich ist. Dabei sollte bedacht werden, dass der hinter der Teilnahme am Gewinnspiel stehende Zweck der „Verkauf“ personenbezogener Daten ist (d. h. die Einwilligung, von sogenannten „Sponsoren“ mit Werbeangeboten kontaktiert zu werden). Mit anderen Worten besteht die Hauptpflicht, die der Nutzer erfüllen muss, um an dem Gewinnspiel teilnehmen zu können, darin, personenbezogene Daten zur Verfügung zu stellen. In einer solchen Situation scheint mir, dass die Verarbeitung dieser personenbezogenen Daten für die Teilnahme am Gewinnspiel erforderlich ist(53).

3.      Zu den personenbezogenen Daten (Buchst. b der ersten Frage)

100. Ich möchte nunmehr prüfen, ob es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.

101. Am besten lässt sich diese Frage vor dem Hintergrund des deutschen Rechts verstehen, mit dem Art. 5 Abs. 3 der Richtlinie 2002/58(54) umgesetzt wurde. Im deutschen Recht wird nämlich zwischen der Erhebung und Verwendung personenbezogener Daten und anderer Daten unterschieden.

102. Nach § 12 Abs. 1 TMG hängt die Zulässigkeit der Erhebung und Verwendung personenbezogener Daten durch einen Diensteanbieter u. a. davon ab, ob der Nutzer eingewilligt hat.

103. Nach § 15 Abs. 3 TMG darf ein Diensteanbieter hingegen u. a. für Zwecke der Werbung und der Marktforschung Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Soweit keine personenbezogenen Daten betroffen sind, sind die Anforderungen nach deutschem Recht somit weniger strikt: keine Einwilligung, sondern nur fehlender Widerspruch.

104. Nach der Legaldefinition in Art. 4 Nr. 1 der Verordnung 2016/679 sind personenbezogene Daten „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (… ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

105. Meines Erachtens steht außer Zweifel, dass es sich im vorliegenden Fall bei den „Informationen“, von denen in Art. 5 Abs. 3 der Richtlinie 2002/58 die Rede ist, um „personenbezogene Daten“ handelt. Auch das vorlegende Gericht scheint das so zu sehen, denn es stellt in seinem Vorlagebeschluss ausdrücklich fest, dass der Abruf von Daten aus den von der Beklagten verwendeten Cookies dem Einwilligungserfordernis des § 12 Abs. 1 TMG unterliege, weil es sich dabei um personenbezogene Daten handele(55). Überdies scheint zwischen den Parteien des Ausgangsverfahrens unstreitig zu sein, dass wir es hier mit personenbezogenen Daten zu tun haben.

106. Man könnte sich daher fragen, ob diese Frage im vorliegenden Fall von Relevanz ist und ob es sich nicht um eine hypothetische Frage handelt(56).

107. Ungeachtet dessen scheint mir die Antwort auf diese Frage recht eindeutig zu sein: Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“(57). Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.

108. Ein solches Verständnis von Art. 5 Abs. 3 der Richtlinie 2002/58 wird überdies durch die Erwägungsgründe 24(58) und 25(59) dieser Richtlinie sowie durch Stellungnahmen der Artikel-29-Datenschutzgruppe bestätigt. Sie führt aus: „Artikel 5 Absatz 3 gilt für ‚Informationen‘ (gespeicherte Informationen und/oder Informationen, auf die Zugriff genommen wird). Er macht hier keinen Unterschied. Für die Anwendung dieser Bestimmung ist es nicht erforderlich, dass es sich bei den Informationen um personenbezogene Daten im Sinne der Richtlinie [95/46] handelt.“(60)

109. Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt(61).

110. Ich schlage daher vor, auf Buchst. b der ersten Frage zu antworten, dass es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 keinen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.

C.      Zweite Frage

111. Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.

1.      Zu den klaren und umfassenden Informationen

112. Die Art. 10 und 11 der Richtlinie 95/46 (und die Art. 13 und 14 der Verordnung 2016/679) enthalten eine Verpflichtung, den betroffenen Personen Informationen mitzuteilen. Die Informationspflicht ist insofern mit der Einwilligung verknüpft, als es stets Informationen geben muss, bevor eine Einwilligung erteilt werden kann.

113. Angesichts der begrifflichen Nähe zwischen einem Internetnutzer (sowie einem ‑anbieter) und einem Verbraucher (sowie einem Gewerbetreibenden)(62) kann an dieser Stelle auf das Konzept des normal informierten, angemessen aufmerksamen und verständigen europäischen Durchschnittsverbrauchers(63) zurückgegriffen werden, der in der Lage ist, über die Eingehung einer Verpflichtung in voller Kenntnis der Sachlage zu entscheiden(64).

114. Wegen der technischen Komplexität von Cookies, der asymmetrischen Informationsverteilung zwischen Anbieter und Nutzer und, allgemeiner, des relativen Mangels an Kenntnissen jedes durchschnittlichen Internetnutzers kann von einem solchen Nutzer jedoch kein hoher Kenntnisstand in Bezug darauf erwartet werden, wie Cookies funktionieren.

115. Klare und umfassende Informationen bedeuten somit, dass ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln. Dabei muss er in der Lage sein, die Auswirkungen seiner Handlungen zu beurteilen. Die gegebenen Informationen müssen klar verständlich sein und dürfen nicht mehrdeutig oder auslegungsbedürftig sein. Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen.

116. Dazu zählen, wie das vorlegende Gericht zu Recht zur Debatte stellt, sowohl die Funktionsdauer der Cookies als auch die Frage, ob Dritte auf die Cookies Zugriff erhalten.

2.      Informationen über die Funktionsdauer der Cookies

117. Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“. Selbst wenn das Cookie von wesentlicher Bedeutung ist, muss die Frage, wie intrusiv es ist, für die Zwecke der Einwilligung anhand der Begleitumstände geprüft werden. Neben der Frage, welche Daten jedes Cookie enthält und ob es mit anderen Informationen über den Nutzer verknüpft ist, müssen die Diensteanbieter berücksichtigen, welche Lebensdauer das Cookie hat und ob diese im Licht seines Zwecks angemessen ist.

118. Die Funktionsdauer der Cookies hängt mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen. Diese Information ist von größter Bedeutung, um es den betroffenen Personen zu ermöglichen, Entscheidungen in voller Kenntnis der Sachlage vor der Verarbeitung zu treffen(65). Wie die portugiesische und die italienische Regierung vorgebracht haben, muss dem Nutzer, da die mit den Cookies gesammelten Daten gelöscht werden müssen, sobald sie zur Erfüllung des ursprünglichen Zwecks nicht mehr benötigt werden, der Zeitraum, für den die gesammelten Daten gespeichert werden, klar mitgeteilt werden.

3.      Informationen darüber, ob Dritte Zugriff erhalten

119. Insoweit macht Planet49 geltend, sofern Dritte Zugriff auf ein Cookie erhielten, müssten die Nutzer auch darüber informiert werden. Habe aber, wie im vorliegenden Fall, nur ein Anbieter, der das Cookie setzen wolle, Zugriff darauf, reiche es aus, wenn auf diesen Umstand hingewiesen werde. Auf die Tatsache, dass andere Anbieter keinen Zugriff hätten, müsse nicht gesondert hingewiesen werden. Eine solche Pflicht wäre mit der Intention des Gesetzgebers, dass die datenschutzrechtlichen Texte nutzerfreundlich und damit möglichst kurz bleiben sollten, nicht vereinbar.

120. Ich kann mich dieser Auslegung nicht anschließen. Vielmehr sollte ein Nutzer, damit die Informationen klar und umfassend sind, ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht. Sofern Dritte Zugriff haben, muss ihre Identität offengelegt werden. Wie der Bundesverband zutreffend hervorhebt, ist dies unerlässlich, damit die Einwilligung in voller Kenntnis der Sachlage erteilt werden kann.

4.      Schlussfolgerung

121. Ich schlage daher vor, auf die zweite Frage zu antworten, dass zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten oder nicht.

V.      Ergebnis

122. Im Licht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesgerichtshofs (Deutschland) wie folgt zu beantworten:

1.      In einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vor.

2.      Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung).

3.      Bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 macht es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.

4.      Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, zählen die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.


Fussnoten zu finden unter: https://curia.europa.eu/juris/document/document_print.jsf;jsessionid=6358CBB23D70451B8C16923E1EA32C3F?docid=212023&text=&dir=&doclang=DE&part=1&occ=first&mode=DOC&pageIndex=0&cid=7016148#Footnote1


Weitere Beiträge