Opt-In oder Opt-Out für Cookie-Einwilligung?

Bundesgerichtshof

Beschluss v. 05.10.2017 - Az.: I ZR 7/16

Leitsatz

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. Nr. L 201 vom 31. Juli 2002, S. 37) in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (ABl. Nr. L 337 vom 18. Dezember 2009, S. 11) geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23. November 1995, S. 31) sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. Nr. L 119/1 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Tenor

I. Das Verfahren wird ausgesetzt.

II. Dem Gerichtshof der Europäischen Union werden zur Auslegung der Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. Nr. L 201 vom 31. Juli 2002, S. 37) in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (ABl. Nr. L 337 vom 18. Dezember 2009, S. 11) geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23. November 1995, S. 31) sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. Nr. L 119/1 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Entscheidungsgründe

I. Der Kläger ist der in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Bundesverband der Verbraucherzentralen. Die Beklagte bietet die Teilnahme an Gewinnspielen im Internet an.

Am 24. September 2013 veranstaltete die Beklagte unter der Internetadresse "www.      .de" ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer hierbei auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, lautete:

Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.

Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, lautete:

Ich bin einverstanden, dass der Webanalysedienst R.    bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die P.    GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches P.    eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R.    ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.

Eine Teilnahme am Gewinnspiel war nur möglich, wenn mindestens das Häkchen vor dem ersten Hinweistext gesetzt wurde.

Der im ersten Hinweistext den Worten "Sponsoren und Kooperationspartner" und "hier" unterlegte elektronische Verweis führte zu einer Liste, die 57 Unternehmen, ihre Adresse, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E-Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort "Abmelden" enthielt. Der Liste vorangestellt war folgender Hinweis:

Durch Anklicken auf dem Link "Abmelden" entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt P.    für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).

Bei Betätigung des im zweiten Hinweistext dem Wort "hier" unterlegten elektronischen Verweises wurde folgende Information angezeigt:

Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für R.    registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von R.    erfasst, dass Sie (d.h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.

Anschließend kann die P.    GmbH aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E-Mail-Werbung mehr.

Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.

Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.

Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.

Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an die P.    GmbH [Adresse] richten. Es genügt jedoch auch eine E-Mail an unseren Kundenservice [E-Mail-Adresse].

Der Kläger hat geltend gemacht, die von der Beklagten verlangten Einverständniserklärungen genügten nicht den Anforderungen des § 307 BGB in Verbindung mit § 7 Abs. 2 Nr. 2 UWG und §§ 12 ff. TMG. Eine vorgerichtliche Abmahnung ist ohne Erfolg geblieben.

Der Kläger hat zuletzt beantragt,

I. die Beklagte unter Androhung näher bezeichneter Ordnungsmittel zu verurteilen, es zu unterlassen, nachfolgende oder mit diesen inhaltsgleiche Bestimmungen, deren Akzeptanz für die Teilnahme an einem Gewinnspiel obligatorisch ist, in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen, sowie sich auf die Bestimmungen bei der Abwicklung derartiger Verträge, geschlossen nach dem 1. April 1977, zu berufen:

1. ? Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier;

2. ? Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich [postalisch oder] telefonisch [oder per E-Mail/SMS] über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. [Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier];

Hilfsweise zum Antrag I. 2:

? Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich [postalisch oder] telefonisch [oder per E-Mail/SMS] über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. [Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier],

wenn diese Bestimmung verwendet wird in Verbindung mit einer Liste wie in Anlage K 1 zur Klageschrift wiedergegeben;

3. nachfolgende Bestimmung mit voreingestelltem Ankreuzfeld:

? Ich bin einverstanden, dass der Webanalysedienst R.    bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die P.    GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches P.    eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R.    ermöglicht (...);

II. die Beklagte zu verurteilen, an den Kläger 214 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 15. März 2014 zu zahlen.

Das Landgericht hat den Klageanträgen zu I 1, I 3 und II stattgegeben und die Klage im Übrigen abgewiesen. Auf die Berufung der Beklagten hat das Berufungsgericht den Klageantrag zu I 3 abgewiesen und die Berufung im Übrigen mit der Maßgabe zurückgewiesen, dass der verbleibende Unterlassungstenor um den Zusatz ergänzt wird "wenn diese Bestimmung verwendet wird in Verbindung mit einer Liste wie in Anlage K 1 zur Antragsschrift wiedergegeben". Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger seinen Klageantrag zu I 3 und die Beklagte ihren Antrag auf Klageabweisung weiter. Die Parteien beantragen jeweils, das Rechtsmittel der Gegenseite zurückzuweisen.

II. Der Erfolg der Revision des Klägers hängt von der Auslegung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 ab. Vor einer Entscheidung über das Rechtsmittel ist deshalb das Verfahren auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union einzuholen.

1. Das Berufungsgericht hat den Klageantrag I 3 für nicht begründet erachtet. Hierzu hat es ausgeführt, die Einwilligungserklärung zur Nutzung von Cookies sei weder angesichts der Voreinstellung eines Häkchens noch in inhaltlicher Hinsicht zu beanstanden. Der Nutzer erkenne, dass er das voreingestellte Häkchen entfernen könne. Die Einwilligungserklärung sei drucktechnisch hinreichend deutlich gestaltet. Sie informiere inhaltlich klar und deutlich über die Art und Weise der Nutzung von Cookies. Die Identität Dritter, die auf die mittels der Cookies erhobenen Informationen zugreifen könnten, müsse nicht offenbart werden.

2. Die Begründetheit des Klageantrags I 3 kann sich aus § 1 UKlaG in Verbindung mit § 307 Abs. 1 BGB ergeben. Nach § 307 Abs. 1 Satz 1 BGB sind Bestimmungen in Allgemeinen Geschäftsbedingungen unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. § 307 Abs. 2 Nr. 1 BGB bestimmt, dass eine unangemessene Benachteiligung im Zweifel anzunehmen ist, wenn eine Bestimmung mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist. Im Streitfall kommt in Betracht, dass die von der Beklagten vorgesehene elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, mit wesentlichen Grundgedanken von Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG und des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 nicht vereinbar ist. Hierzu verhalten sich die Vorlagefragen 1 a) bis c).

a) Nach § 15 Abs. 3 TMG darf der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Diese Vorschrift ist mit Blick auf Art. 5 Abs. 3 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung richtlinienkonform auszulegen. Zur Klärung dieser Auslegung ergeht Vorlagefrage 1 a).

aa) Nach der Ursprungsfassung des Art. 5 Abs. 3 der Richtlinie 2002/58/EG hatte der Diensteanbieter im Falle der Speicherung von Informationen auf dem Endgerät des Nutzers oder des Zugriffs auf dort gespeicherte Informationen den Nutzer nicht nur klar und umfassend insbesondere über den Zweck der Verarbeitung zu informieren, sondern ihn auch auf das Recht hinzuweisen, die Verarbeitung zu verweigern. Nach der Neufassung des Art. 5 Abs. 3 der Richtlinie 2002/58/EG durch die Richtlinie 2009/136/EG stellen die Mitgliedstaaten sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Das Einwilligungserfordernis steht der Speicherung oder dem Zugang nach Art. 5 Abs. 3 Satz 2 der Richtlinie 2002/58/EG nicht entgegen, wenn der alleinige Zweck die Durchführung der Nachrichtenübertragung über ein elektronisches Kommunikationsnetz ist oder wenn Speicherung oder Zugang erforderlich sind, um dem Nutzer den von ihm ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Die in Art. 5 Abs. 3 der Richtlinie 2002/58/EG behandelten Maßnahmen der Speicherung oder des Abrufs von auf dem Endgerät des Nutzers gespeicherten Informationen werden typischerweise mithilfe von Cookies vorgenommen. Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen (vgl. Boemke in Hoeren/Sieber/Holznagel, Multimedia-Recht, 44. EL Januar 2017, Teil 11 Rn. 100). Im Streitfall sind Speicherung oder Abruf der Informationen nicht im Sinne des Art. 5 Abs. 3 Satz 2 der Richtlinie 2002/58/EG technisch notwendig, sondern sie dienen der Werbung, so dass die Ausnahme vom Einwilligungserfordernis nicht vorliegt.

bb) Die Richtlinie 2009/136/EG war nach ihrem Art. 4 Abs. 1 bis zum 25. Mai 2011 durch die Mitgliedstaaten umzusetzen. Der deutsche Gesetzgeber hat keine Umsetzungsakte vorgenommen, insbesondere die in § 15 Abs. 3 TMG vorgesehene Widerspruchslösung nicht geändert (vgl. Moos, K&R 2012, 635 f.; Rauer/Ettig, ZD 2016, 423, 424; Schmidt/Babilon, K&R 2016, 86, 89). Die Revisionserwiderung macht geltend, zahlreiche Mitgliedstaaten hätten Art. 5 Abs. 3 der Richtlinie 2002/59/EG in der durch die Richtlinie 2009/136/EG geänderten Fassung dahingehend umgesetzt, dass die Nutzung mittels Cookies erhobener Daten einer "Opt-out"-Regelung unterliege, die den Widerspruch des Nutzers erfordere. Die Revision des Klägers verweist darauf, dass andere Mitgliedstaaten dazu "Opt-In"-Regime geschaffen hätten, die eine vorherige Einwilligung erforderten.

cc) Art. 2 Satz 2 Buchst. f der Richtlinie 2002/58/EG verweist für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG. Danach erfordert die Einwilligung eine "Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt".

Erwägungsgrund 17 der Richtlinie 2002/58/EG lautet:

Für die Zwecke dieser Richtlinie sollte die Einwilligung des Nutzers oder Teilnehmers unabhängig davon, ob es sich um eine natürliche oder eine juristische Person handelt, dieselbe Bedeutung haben wie der in der Richtlinie 95/46/EG definierte und dort weiter präzisierte Begriff "Einwilligung der betroffenen Person". Die Einwilligung kann in jeder geeigneten Weise gegeben werden, wodurch der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch das Markieren eines Feldes auf einer Internet-Website.

Erwägungsgrund 66 der Richtlinie 2009/136/EG lautet:

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z.B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. (…)

Nach der Rechtsprechung des Bundesgerichtshofs zur Anwendung des auf Art. 13 der Richtlinie 2002/58/EG zurückgehenden § 7 Abs. 2 Nr. 3 UWG, der ohne Einwilligung des Adressaten vorgenommene Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post als unzumutbare Belästigung verbietet, ist die erforderliche Einwilligung vorhergehend und ausdrücklich zu erteilen. Danach ist der in Erwägungsgrund 17 der Richtlinie 2002/58/EG verwendete Begriff "spezifische Angabe" mit Blick auf den in ihren Erwägungsgründen 5 und 6 zum Ausdruck kommenden Schutzzweck, die Privatsphäre des Betroffenen vor neuen Risiken durch öffentliche Kommunikationsnetze zu schützen, dahingehend auszulegen, dass eine gesonderte, nur auf die jeweilige Einwilligung bezogene Zustimmungserklärung des Betroffenen erforderlich ist. Einwilligungsklauseln, die so gestaltet sind, dass der Kunde tätig werden und ein Kästchen ankreuzen muss, wenn er seine Einwilligung nicht erteilen will ("Opt-out"-Erklärung), entsprechen danach nicht dem Begriff der Einwilligung im Sinne der Richtlinie 2002/58/EG (BGHZ 177, 253 Rn. 27; vgl. auch BGH, Beschluss vom 14. April 2011 - I ZR 38/10, MMR 2011, 458 Rn. 8; Urteil vom 25. Oktober 2012 - I ZR 169/10, GRUR 2013, 531 Rn. 21 = WRP 2013, 767 - Einwilligung in Werbeanrufe II).

b) Der Klärung bedarf weiter die Frage, ob es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied macht, wenn es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Hierzu ergeht Vorlagefrage 1 b).

aa) Nach § 12 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Diese Vorschrift setzt das in Art. 7 Buchst. a der Richtlinie 95/46/EG vorgesehene Verbot mit Erlaubnisvorbehalt für die Verarbeitung personenbezogener Daten um (vgl. Schmitz in Hoeren/Sieber/Holznagel, Multimedia-Recht, 44. EL Januar 2017, Teil 16.2 Rn. 29). § 4a Abs. 1 Satz 1 BDSG bestimmt, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung des Betroffenen beruht. Satz 4 der Vorschrift sieht vor, dass die Einwilligung, soll sie zusammen mit anderen Erklärungen schriftlich erteilt werden, besonders hervorzuheben ist. § 4a Abs. 1 BDSG setzt Art. 2 Buchst. h der Richtlinie 95/46/EG um (vgl. BGH, Urteil vom 16. Juli 2008 - VIII ZR 348/06, BGHZ 177, 253 Rn. 21).

bb) Personenbezogene Daten sind nach der Definition in § 3 Abs. 1 des Bundesdatenschutzgesetzes, das gemäß § 12 Abs. 3 TMG zur Bestimmung der im Telemediengesetz verwendeten, aber nicht definierten Begriffe anzuwenden ist (vgl. Dix in Simitis, BDSG, 8. Aufl., § 1 Rn. 170), Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Nach der Begriffsbestimmung in § 3 Abs. 3 BDSG ist Erheben das Beschaffen von Daten über den Betroffenen. Das Verwenden im Sinne des § 12 Abs. 1 TMG ist weit zu verstehen und umfasst sowohl das Nutzen als auch das Verarbeiten von personenbezogenen Daten (Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl., § 12 TMG Rn. 2). Der Abruf von Daten, bei denen ein Personenbezug vorhanden ist, mithilfe von Cookies, die auf dem Endgerät des Nutzers gesetzt worden sind, stellt eine Erhebung von Daten im Sinne des § 12 Abs. 1 TMG dar (vgl. Hoeren in Kilian/Heussen, Computerrechts-Handbuch, 33. EL Februar 2017, Teil 14 Rn. 20; Rauer/Ettig, ZD 2016, 423, 424).

cc) Der Abruf von Daten aus den von der Beklagten verwendeten Cookies unterliegt danach dem Einwilligungserfordernis des § 12 Abs. 1 TMG, weil es sich hierbei um personenbezogene Daten handelt. Die Cookies enthalten nach dem Inhalt der im Streitfall von der Beklagten erteilten Information eine Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet wird, der sich mit Namen und Adresse in das bereitgestellte Webformular einzutragen hat. Durch die Verknüpfung der Nummer (ID) mit den vom Nutzer eingegebenen Registrierungsdaten entsteht ein Personenbezug der durch die Cookies gespeicherten Daten über die Internetnutzung (vgl. Dammann in Simitis, BDSG, 8. Aufl., § 3 Rn. 65).

dd) In der Rechtsprechung des Bundesgerichtshofs ist es für die Wirksamkeit der Einwilligung nach § 4a Abs. 1 BDSG bisher nicht als erforderlich angesehen worden, dass der Betroffene sie gesondert (im Sinne eines "Opt-in") erklärt, indem er eine zusätzliche Unterschrift leistet oder ein dafür vorgesehenes Kästchen zur positiven Abgabe der Einwilligungserklärung ankreuzt (BGH, Urteil vom 16. Juli 2008 - VIII ZR 348/06, BGHZ 177, 253 Rn. 21; Urteil vom 11. November 2009 - VIII ZR 12/08, NJW 2010, 864 Rn. 20 ff.). Deshalb sind Gestaltungen als mit § 4a Abs. 1 BDSG vereinbar angesehen worden, in welchen das Verweigern der Einwilligung durch Ankreuzen eines Kästchens (vgl. BGHZ 177, 253 Rn. 5) oder Streichung des Einwilligungstexts (vgl. BGH, NJW 2010, 864 Rn. 2) zum Ausdruck gebracht werden muss.

c) Es stellt sich weiter die Frage, ob die Gestaltung der Einwilligung nach den Umständen des Streitfalls eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 darstellt. Hierzu ergeht Vorlagefrage 1 c).

aa) Nach ihrem Art. 99 Abs. 2 gilt die Verordnung (EU) 2016/679 ab dem 25. Mai 2018, so dass sie im Zeitpunkt der Entscheidung des Streitfalls voraussichtlich zu berücksichtigen sein wird.

bb) Nach Art. 6 Abs. 1 Buchst. a der ab dem 25. Mai 2018 geltenden Verordnung (EU) 2016/679 ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat. Art. 4 Nr. 11 der Verordnung (EU) 2016/679 definiert als "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Im Streitfall handelt es sich um die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und 2 der Verordnung (EU) 2016/679 (vgl. vorstehend Rn. 23 [II 2 b bb]).

cc) Erwägungsgrund 32 der Verordnung (EU) 2016/679 spricht dafür, dass der Gesetzgeber der Europäischen Union Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit nicht als hinreichende Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten ansieht. Erwägungsgrund 32 lautet:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen(…).

3. Der Klageantrag I 3 ist ferner dann gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 BGB begründet, wenn die von der Beklagten gegebene Information über die Erhebung und Verwendung personenbezogener Daten den Anforderungen des Art. 5 Abs. 3 der Richtlinie 2002/58/EG nicht entspricht. Hierzu ergeht Vorlagefrage 2.

a) Nach § 13 Abs. 1 Satz 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Nach Satz 2 der Vorschrift ist der Nutzer bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, zu Beginn dieses Verfahrens zu unterrichten. Ein solches automatisiertes Verfahren ist das Setzen von Cookies auf dem Endgerät des Nutzers (vgl. Schmitz in Hoeren/Sieber/Holznagel, Multimedia-Recht, 44. EL Januar 2017, Teil 16.2 Rn. 170; Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl., § 13 TMG Rn. 5). § 13 Abs. 1 Satz 1 und 2 TMG ist mit Blick auf Art. 5 Abs. 3 der Richtlinie 2002/58/EG richtlinienkonform auszulegen, der bestimmt, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

b) Der Umfang der Informationspflicht nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG ist klärungsbedürftig.

aa) Art. 5 Abs. 3 der Richtlinie 2002/58/EG verweist auf Informationen, die der Nutzer gemäß der Richtlinie 95/46/EG u.a. über den Zweck der Datenverarbeitung erhält. Art. 10 Buchst. b und c der Richtlinie 95/46/EG regelt eine Informationspflicht des für die Verarbeitung personenbezogener Daten Verantwortlichen über die Zweckbestimmung der Datenverarbeitung sowie über weitere Informationen, beispielsweise betreffend die Empfänger oder Kategorien der Empfänger der Daten. Art. 5 Abs. 3 der Richtlinie 2002/58/EG verwendet allerdings nicht den Begriff der personenbezogenen Daten, sondern spricht von Informationen. Es stellt sich daher die Frage, welche Informationen der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen hat.

bb) Die Beklagte hat über einen mit der Einwilligungserklärung verbundenen elektronischen Verweis darauf hingewiesen, worum es sich bei Cookies handelt, dass die ID-Nummer der Cookies den Registrierungsdaten des Nutzers zugeordnet wird, dass die nachfolgende Nutzung von Internetseiten der für R.    registrierten Werbepartner erfasst wird und die durch die Cookies übermittelten Informationen ausschließlich für Werbung der Werbepartner verwendet, keine Werbepartner-übergreifende Nutzerprofile erstellt werden, dass die Werbepartner keine personenbezogenen Daten erhalten, dass der Nutzer die Cookies jederzeit löschen kann und sein Einverständnis jederzeit widerrufen kann.

Die Beklagte hat hingegen nicht darüber informiert, ob auch Dritte auf die auf dem Endgerät des Nutzers gespeicherten Cookies Zugriff haben und für welche Dauer die Cookies aktiv sind, ob sie sich also nur während der aktuellen Sitzung (sog. Session-Cookies) oder darüber hinaus und ggf. für welche Zeitdauer in Funktion befinden. Hierbei handelt es sich ebenfalls um für die Aufklärung des Nutzers wichtige Umstände (vgl. Working Document 02/2013 der Article 29 Data Protection Working Party vom 2. Oktober 2013, 1676/13/EN, S. 3; Schmitz in Hoeren/Sieber/Holznagel, Multimedia-Recht, 44. EL Januar 2017, Teil 16.2 Rn. 183).