Mit der Einwilligung in die Verwendung von Cookies setzte sich das OLG Frankfurt auseinander. Nach Ansicht des Gerichts trifft die Pflicht, eine Einwilligung einzuholen, nicht nur Website-Betreiber, sondern auch Diensteanbieter, die Cookies für andere setzen und verwalten. Die bloße Vereinbarung, dass der jeweilige Website-Betreiber verpflichtet ist, eine Einwilligung der Nutzer einzuholen, genüge nicht. Ob dies auch in Zukunft noch relevant ist, wird sich zeigen: Seit Anfang September liegt die Einwilligungsverordnung auf Basis des § 26 TDDDG vor, die die sog. „PIMS“ – also Masken zur einheitlichen Einwilligungsverwaltung – stützen und so die Cookie-Banner auf jeder einzelnen Website obsolet machen soll.
„Diese Website verwendet Cookies“ – diesen Satz liest man beinahe täglich, woraufhin in der Regel Einwilligungsmöglichkeiten in diese Cookies angeboten werden. Dass diese Einwilligung nicht nur für die Betreiber der Websites essenziell ist, die sog. Publisher, betonte das Oberlandesgericht (OLG) Frankfurt in einem Urteil vom 27.06.2024 (6 U 192/23).
Worum es beim OLG ging
Betreiber von Websites können Tools für eine bessere Vermarktung, bessere Werbemaßnahmen implementieren, beispielsweise Microsoft Advertising. Dadurch werden dann Cookies und andere Tags auf den Endgeräten ihrer Besucher gespeichert. Diese Tags ermöglichen u.a. eine Wiedererkennung der Besucher, um diesen auf Sozialen Medien oder anderweitig das Produkt erneut anzuzeigen o.ä. Dafür werden in den Tags verschiedenste Informationen über die Online-Aktivität von Usern wie Anmeldeinformationen, Informationen über angesehene Produkte oder Eingaben in Suchmaschinen erfasst. Durch die Analyse dieser Daten können die Website-Betreiber gezielt Anzeigen bei den Website-Besuchern schalten und den Erfolg von Werbekampagnen messen. Damit diese Technologie funktioniert, stellt etwa Microsoft Advertising als ein Angebot Website-Betreibern einen Programmcode zur Verfügung, der in den Websites eingebunden werden muss.
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers – also etwa der Einsatz von Cookies und vergleichbaren Tags – ist jedoch nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals: TTDSG) nur eingeschränkt zulässig: Wenn der Zugriff nicht nach § 25 Abs. 2 TDDDG erforderlich ist, insbesondere für die Bereitstellung des angefragten Dienstes, muss der Endnutzer zuvor „auf Grundlage von klaren und umfassenden Informationen eingewilligt“ haben. Werbemaßnahmen sind danach regelmäßig nur mit Einwilligung zulässig. Die Voraussetzungen an Information und Ausgestaltung der Einwilligung richten sich nach der DSGVO, auf die § 25 TDDDG dafür verweist.
Die Klägerin warf Microsoft Advertising im vorliegenden Verfahren vor, entgegen der rechtlichen Vorgabe Cookies bei ihr eingesetzt zu haben, ohne dass sie eingewilligt hat.
Microsoft wurde auf Antrag der Klägerin zunächst untersagt, „ohne informierte Einwilligung der Antragstellerin auf deren Endeinrichtungen wie PC, Tablet, Laptop oder Telefon Cookies und ähnliche Technologien einzusetzen, […] um das Verhalten der Antragstellerin im Internet zu werblichen Zwecken zu verfolgen bzw. verfolgen zu lassen“. Diese einstweilige Verfügung wurde anschließend durch das Landgericht wieder aufgehoben. Die Erfüllung der Verfügung hätte einen zu hohen zeitlichen und finanziellen Aufwand erfordert, der außer Verhältnis zu den Interessen der Antragstellerin gestanden hätte. Vielmehr hätte diese selbst das Speichern und Auslesen von Cookies im Browser blockieren können. Dagegen legte die Klägerin Berufung beim OLG Frankfurt ein. Das Gericht gab der Klägerin in zweiter Instanz Recht und bestätigte die einstweilige Verfügung.
Die Begründung des OLG oder warum der Nutzer nicht selber blocken muss
Die Klägerin hat nach Ansicht der OLG Frankfurt einen Anspruch auf Unterlassung des weiteren Einsatzes von Cookies auf ihren Endgeräten ohne erteilte Einwilligung (§§ 823 Abs. 2, 1004 BGB i.V.m. § 25 TDDDG). Denn § 25 TDDDG verpflichte nicht nur Website-Betreiber an sich. Vielmehr sei Microsoft ebenso verpflichtet, Einwilligungen in Cookies einzuholen: Laut dem OLG Frankfurt adressiert die Norm nicht nur Website-Betreiber, sondern „jedermann“, der im Sinne der Norm Cookies speichert oder darauf zugreift, um diese auszuwerten. Microsoft Advertising verpflichtet zwar die Website-Betreiber in ihren AGBs dazu, die erforderliche Einwilligung der Website-Nutzer einzuholen. Das reiche jedoch noch nicht aus, um der gesetzlichen Vorgabe nachzukommen. Vielmehr hätte die Beklagte sicherstellen müssen, dass ihr die Einwilligung des Endnutzers durch den Website-Betreiber übermittelt wird, bevor sie die Cookies auf dem Gerät der Endnutzerin gesetzt hat. Ein solches Vorgehen wäre auch technisch und rechtlich möglich gewesen. Etwa unter dem TCF des IAB Europe ist es üblich, diese Einwilligungen im Rahmen des sog. Consent String allen Akteuren zu übermitteln. Durch das Unterlassen dieser pflichtgemäßen Handlung habe Microsoft Advertising selbst gegen § 25 TDDDG verstoßen.
Einwilligung „is key“
Wer eine Website betreibt und auf Endgeräten der Website-Besucher Cookies platziert, muss deren Einwilligung für die Speicherung von und den Zugriff auf gespeicherte Informationen einholen. Wer Werbe- und Analysedienste durch den Einsatz von Cookies auf Websites von Dritten anbietet, hat sicherzustellen, dass die Website-Betreiber ordnungsgemäße Einwilligungen der Website-Besucher einholen und diese übermitteln.
Das Urteil verdeutlicht die Wichtigkeit der datenschutzrechtlichen Einwilligung bei der Speicherung von Cookies und entsprechenden Tags, die von allen beteiligten Akteuren sicherzustellen ist. Website-Besucher müssen vor einem Kontrollverlust über die Weitergabe ihrer Daten geschützt sein.
Und gibt es künftig dann zentrale Einwilligungsverwaltungssysteme?
Werden die Cookie-Banner auf den Websites also bald noch umfangreicher? Die neue BfDI will dem ausweislich eines aktuellen Interviews in der FAZ ebenso gegensteuern, wie die seit Anfang September veröffentlichte „Verordnung nach § 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes und zur Änderung der Besonderen Gebührenverordnung Telekommunikation“, die nur noch auf die Zustimmung des Bundestages wartet (BT-Drs. 20/12718). Der neuen BfDI sind die „vielen Einverständniserklärungen im Internet … ein Dorn im Auge“. Abhilfe schaffen könnten hier sog. „PIMS“, Einwilligungsverwaltungssysteme nach § 26 TDDDG, auf denen Nutzer an zentraler Stelle ihre Präferenzen hinterlegen können, wie von den Websites dann entsprechend zu berücksichtigen sind, beispielsweise eine generelle Einwilligung in den Einsatz von Analysetools aber die Verweigerung der Einwilligung in Werbetracking durch Meta und TikTok. Die Gestaltungsoptionen sind vielfältig.
Wer diese PIMS bereitstellen möchte, hat nun mit der neuen Verordnung den entsprechenden Rahmen. Ob dieser aber so gestaltet ist, dass der Markt tatsächlich nutzerfreundliche PIMS bereitstellen wird, ist fraglich: Artikel 1 der oben genannten Verordnung enthält die sog. Einwilligungsverwaltungsverordnung (EinwV) als zentrales Element. Diese EinwV enthält umfangreiche Anforderungen an „anerkannte Dienste“ bei begrenzter Refinanzierungsmöglichkeit. Wird ein anerkannter Dienst von Endnutzern eingesetzt, sichern §§ 17 ff., dass die jeweils getroffenen Einstellungen auch möglichst umfassend berücksichtigt werden.