Dr. Stefan Hanloser: Cookie Consent – Wer nicht einwilligt, widerspricht.

Wenn ich mich an eine Fußgängerampel stelle, ohne sie zu betätigen, brauche ich mich nicht zu wundern, wenn die Autos weiterfahren. In Karlsruhe scheinen die Ampeln anders zu funktionieren – folgt man dem Grundsatzurteil des BGH zum Cookie Consent (Rs. Planet49 – Urteil v. 28.5.2020 – I ZR 7/16), stehen dort die Ampeln für den Verkehr auf Rot, es sei denn die Fußgänger erlauben die Durchfahrt. Der BGH hatte in der Sache zu entscheiden, ob Cookies nur nach vorheriger Einwilligung der Nutzer auf ihren Endgeräten (Laptops, Smartphones, SmartTVs, etc.) gespeichert werden dürfen – oder aber ob Cookies standardmäßig gesetzt werden dürfen, solange der Nutzer nicht widerspricht. Der BGH spricht sich im Ergebnis für die Einwilligungs- und gegen die Widerspruchslösung aus. Befremdlich nur, dass der BGH das Einwilligungserfordernis gerade aus dem Widerspruchsrecht der Nutzer nach § 15 Abs. 3 Telemediengesetz (TMG) herleitet. Im Fehlen einer Einwilligung könne ein Widerspruch gesehen werden, so der BGH – auf Deutsch: „Wer nicht einwilligt, widerspricht“. Oder um im Bild zu bleiben, auch wer nicht auf die Ampel drückt, stellt sie für den Verkehr auf Rot. Wer bisher Einwilligung und Widerspruch, Ja und Nein, Erlauben und Verbieten antagonistisch als Gegensatzpaare verstanden hat, wird wohl umdenken müssen, wenn dieses befremdliche Gespinst es aus der gerichtlichen Pressemitteilung in die Urteilsbegründung schafft.

Die Verwerfungen im Planet49-Urteil offenbaren, dass dem ePrivacy-Recht auch fast zwanzig Jahre nach der ersten Regelung in der ePrivacy-Richtlinie 2002/58/EG eine solide dogmatische Grundlage und eine saubere Abgrenzung zum Datenschutzrecht fehlen. Die damit verbundene Rechtsunsicherheit erschwert die Rechtsberatung und belastet die Online-Wirtschaft im internationalen Wettbewerb erheblich. Die übrigen EU-Mitgliedstaaten verstehen das ePrivacy-Recht richtliniengetreu streng technisch als Schutz der Integrität der Nutzerendgeräte vor unerlaubten technischen Eingriffen, etwa durch das invasive Speichern oder Auslesen von Informationen durch Dritte – konsequent verlangt das EU-Ausland eine Nutzereinwilligung für das Speichern von Cookies. Der deutsche Gesetzgeber sieht das Risiko von Cookies hingegen auf datenschutzrechtlicher Ebene. Das bloße Setzen von Cookies ist weder einwilligungsbedürftig noch widerspruchsfähig – nach § 13 Abs. 1 S. 2 TMG reicht eine Nutzerinformation aus. Erst auf datenschutzrechtlicher Ebene, wenn etwa personenbezogene Nutzungsprofile gebildet werden, ist nach § 15 Abs. 1 TMG eine datenschutzrechtliche Einwilligung erforderlich – wobei gegen pseudonyme Profile nach § 15 Abs. 3 TMG nur ein Widerspruchsrecht besteht. Der deutsche Gesetzgeber packt das Problem nicht an der technischen Wurzel, sondern datenschutzrechtlich am Stamm. In das datenschutzrechtliche Horn stoßen auch die deutschen Datenschutzaufsichtsbehörden, allerdings mit gegensätzlichem Ergebnis: Die nationalen §§ 12 ff. TMG sollen seit Mai 2018 neben der europäischen Datenschutz-Grundverordnung unanwendbar sein, wie die Orientierungshilfe Telemedien der Datenschutzkonferenz vom März 2019 verlautbart. Ein Schelm, wer Böses dabei denkt, fiele der Datenschutzaufsicht dadurch zugleich die Zuständigkeit für das ePrivacy-Recht im Bereich personenbezogener Geräte-Identifier zu.

Alle Hoffnung ruht jetzt auf dem Bundeswirtschaftsministerium (BMWi) – in doppelter Hinsicht: Die dringliche Änderung des Telekommunikationsgesetzes (TKG) zur Umsetzung des Europäischen Kodex für die elektronische Kommunikation (EECC) bis 21.12.2020 könnte zugleich das TMG um den obsoleten 4. Abschnitt zum Online-Datenschutzrecht bereinigen. Mit diesem sprichwörtlichen Federstrich des Gesetzgebers würde zugleich das Planet49-Urteil des BGH mit seiner normativen Verankerung in § 15 Abs. 3 TMG zu Makulatur. Wichtiger aber ist im nächsten Halbjahr der deutschen Ratspräsidentschaft der federführende Einfluss des BMWi auf den Fortschritt der ePrivacy-Verordnung. Durch das Neutralitätsgebot befreit von interministeriellen Blockaden, könnte das BMWi mit etwas Verhandlungsgeschick jetzt den Ratskonsens zu den wenigen strittigen Punkten herbeiführen. Dazu gehört auch eine saubere Abgrenzung zur konkurrierenden DSGVO, damit die Rechtsgrundlagen und die Verantwortlichkeit für personenbezogene Cookies und sonstige Geräte-Identifier nicht datenschutzrechtlich und ePrivacy-rechtlich zu konträren Ergebnissen führen. So könnte die ePrivacy-VO doch noch erfolgreich über die Ziellinie gehen.

Dr. Stefan Hanloser ist Rechtsanwalt in München.