Einige kurze Anmerkungen zur BGH #Planet49-Entscheidung, deren Volltext vergangenen Samstag veröffentlicht wurde.
1) Zu sog. "nudging":
Der BGH äußert sich recht ausführlich zur Verteilung von Einwilligungs-Informationen auf zwei "Schichten" einer Schaltfläche. Im konkreten Fall wurden dort nicht nur Informationen verteilt, sondern auch ein Opt-in vs Opt-out-Mechanismus.
Der BGH äußert sich recht ausführlich zur Verteilung von Einwilligungs-Informationen auf zwei "Schichten" einer Schaltfläche. Im konkreten Fall wurden dort nicht nur Informationen verteilt, sondern auch ein Opt-in vs Opt-out-Mechanismus.
Der BGH sagt nun :
Eine Einwilligung ist eine unwirksame Pauschaleinwilligung, wenn:
- Informationen, die die Einwilligung hinreichend konkret machen, nur in einem "aufwendigen Verfahren" erreichbar sind,
- bzw. die Verbraucher sie "regelmäßig" nicht zur Kenntnis nehmen.
Eine Einwilligung ist eine unwirksame Pauschaleinwilligung, wenn:
- Informationen, die die Einwilligung hinreichend konkret machen, nur in einem "aufwendigen Verfahren" erreichbar sind,
- bzw. die Verbraucher sie "regelmäßig" nicht zur Kenntnis nehmen.
Der BGH spricht sich nicht generell gegen die Verteilung von Informationen auf mehrere Schichten aus. Dies darf aber nicht zu einem Aufwand für die Nutzer führen, der zu deren angestrebtem Ziel "außer Verhältnis" steht - sonst wird die Einwilligung unwirksam.
2) Zur richtlinienkonformen Auslegung:
Für viele kam überraschend, dass der BGH angenommen hat, § 15 Abs. 3 TMG sei richtlinienkonform so auszulegen, dass er Art. 5 Abs. 3 der ePrivacy-RL umsetzt.
Viele meinten, der Wortlaut des § 15 TMG sei "nicht auslegungsfähig" gewesen.
Für viele kam überraschend, dass der BGH angenommen hat, § 15 Abs. 3 TMG sei richtlinienkonform so auszulegen, dass er Art. 5 Abs. 3 der ePrivacy-RL umsetzt.
Viele meinten, der Wortlaut des § 15 TMG sei "nicht auslegungsfähig" gewesen.
Dabei haben sie aber übersehen - und darauf weist der BGH nun hin - dass nicht der Wortlaut die Grenze der richtlinienkonformen Auslegung bildet, sondern die Zulässigkeit der richterlichen Rechtsfortbildung.
Mit anderen Worten: Wenn Gerichte sich vom Wortlaut des Gesetzes auch aus anderen Gründen lösen dürfen (z.B. um einen unabsichtlichen Fehler des Gesetzgebers zu korrigieren oder eine Regelungslücke zu schließen), dann dürfen sie dies auch bei der richtlinienkonformen Auslegung.
Neben der vom BGH genannten teleologischen Reduktion können Gerichte also z.B. auch Analogien und teleologische Erweiterungen vornehmen.
Im Zweifel heißt das: Wenn der deutsche Gesetzgeber meint, er habe EU-rechtskonform gehandelt, dann ist das dt. Recht so auch auszulegen.
Im Zweifel heißt das: Wenn der deutsche Gesetzgeber meint, er habe EU-rechtskonform gehandelt, dann ist das dt. Recht so auch auszulegen.
(Einzige Ausnahme: Straf- und Bußgeldvorschriften, denn hier gilt das "nulla poena"-Prinzip: Keine Strafe ohne hinreichend bestimmtes Gesetz.)
3) Zum Verhältnis zwischen DSGVO und ePrivacy-RL:
Die Erklärung des BGH dazu, ob § 15 TMG neben der DSGVO überhaupt noch Anwendung findet, finde ich etwas umständlich.
Die Erklärung des BGH dazu, ob § 15 TMG neben der DSGVO überhaupt noch Anwendung findet, finde ich etwas umständlich.
Richtig ist zunächst, dass der BGH sagt, dass § 15 TMG ein anderes Schutzgut betrifft als die DSGVO und deshalb von dieser nicht verdrängt wird.
Die vorangestellte Erklärung zu Art 95 DSGVO ist aber überflüssig. Diese Vorschrift kommt nur zur Anwendung, wenn Normenkonkurrenz besteht, d.h. wenn DSGVO und ePrivacy-RL unterschiedliche Rechtsfolgen für denselben Sachverhalt festlegen. Dies ist hier aber gerade nicht der Fall.
Außerdem würde auch eine Anwendung von Art. 95 DSGVO zum selben Ergebnis führen, nämlich zu einem Vorrang der Richtlinie und damit der Anwendbarkeit von § 15 Abs. 3 TMG. Dass er hier letztlich nur eine Hilfserwägung anstellt, hätte der BGH m.E. etwas deutlicher sagen können.
Spannend ist allerdings, dass der BGH die Regelungsgegenstände in seinem Urteil deutlicher abgrenzt als noch der Zusammenschluss der EU-Datenschutzbehörden (EDSA bzw. EDPB).
Der EDSA hatte in seiner Stellungnahme 5/2019 angenommen, zwischen Art. 5 Abs. 3 ePrivacy-RL und der DSGVO bestehe ein Konkurrenzverhältnis, wobei Art. 15 Abs. 3 sich durchsetze. (edpb.europa.eu/our-work-tools…)
Ob die Behörden diese Auffassung nun korrigieren werden?
Ob die Behörden diese Auffassung nun korrigieren werden?
4) Zur Einordnung von Einwilligungen als AGB:
Weiterhin ungeklärt ist m.E., ob Einwilligungen generell der AGB-Kontrolle unterliegen. Zwar sagt der BGH en passant, dass "Einverständniserklärungen" bei "Anbietern von Gewinnspielen" auch AGB sind.
Weiterhin ungeklärt ist m.E., ob Einwilligungen generell der AGB-Kontrolle unterliegen. Zwar sagt der BGH en passant, dass "Einverständniserklärungen" bei "Anbietern von Gewinnspielen" auch AGB sind.
M.E. ist damit aber noch nicht klar, ob dies auch für rein datenschutzrechtliche Einwilligungen gilt.
AGB sind nämlich gesetzlich definiert als Teile eines Vertrages (§ 305 BGB). gesetze-im-internet.de/bgb/__305.html
AGB sind nämlich gesetzlich definiert als Teile eines Vertrages (§ 305 BGB). gesetze-im-internet.de/bgb/__305.html
Eine datenschutzrechtliche Einwilligung ist aber nicht zwingend Teil eines Vertrags (vgl. Art. 6 Abs. 1 lit. a / lit. b DSGVO). Ob man die beiden Rechtsgrundlagen "vermischen" kann, ist sogar höchst strittig.
Häufig wird die Einwilligung gerade dann eingesetzt, wenn *kein* paralleler Vertrag abgeschlossen werden soll bzw. kann.
Vor diesem Hintergrund würde man diese BGH-Entscheidung hier m.E. überstrapazieren, wenn man sie als Stellungnahme zu dieser Problematik werten würde.
Vor diesem Hintergrund würde man diese BGH-Entscheidung hier m.E. überstrapazieren, wenn man sie als Stellungnahme zu dieser Problematik werten würde.
TL;DR:
1) Einwilligungen sind unwirksam, wenn den Nutzern wegen "nudging" relevante Informationen "in der Regel" vorenthalten bleiben.
2) Zur richtlinienkonformen Auslegung gehört auch Richterrecht, insb. teleologische Reduktion (wohl auch tel. Erweiterung und Analogiebildung)
1) Einwilligungen sind unwirksam, wenn den Nutzern wegen "nudging" relevante Informationen "in der Regel" vorenthalten bleiben.
2) Zur richtlinienkonformen Auslegung gehört auch Richterrecht, insb. teleologische Reduktion (wohl auch tel. Erweiterung und Analogiebildung)
3) Cookie-Schutz gehört zur Privatsphäre; die DSGVO demgegenüber zum Datenschutz. Zwei getrennte Schutzzwecke, die zueinander nicht in Konkurrenz stehen.
4) Wann datenschutzrechtliche Einwilligungen auch der AGB-Kontrolle unterliegen, ist (meiner Meinung nach) weiterhin offen.
4) Wann datenschutzrechtliche Einwilligungen auch der AGB-Kontrolle unterliegen, ist (meiner Meinung nach) weiterhin offen.
