Cookies und kein Ende

Von der Gewinnspielfalle zur europaweiten Harmonisierung – Die Entscheidung „Cookie-Einwilligung II“ des Bundesgerichtshofs und ihre weitreichenden Folgen

Wenn der Cookie zur Rechtsfrage wird

Was zunächst wie eine alltägliche Szene im Internet erscheint – ein Nutzer nimmt an einem Online-Gewinnspiel teil und klickt achtlos auf mehrere Checkboxen – wurde zur juristischen Grundsatzfrage. Am 28. Mai 2020 hat der Bundesgerichtshof (BGH) mit seinem Urteil „Cookie-Einwilligung II“ eine Entscheidung getroffen, die das Online-Marketing nachhaltig verändert. Die Richter positionieren sich klar gegen voreingestellte Einwilligungen und verankern ein aktives, informiertes Zustimmungsmodell – das sogenannte Opt-in – als neue Leitlinie im deutschen Datenschutzrecht.

Doch das Urteil wirft auch rechtspolitische und methodische Fragen auf, nicht zuletzt, weil es die lange Untätigkeit des Gesetzgebers auf dem Feld der Cookie-Regulierung ersetzt – und sich damit zum stillen Gesetzgeber aufschwingt.

Ausgangspunkt: Das Gewinnspiel als rechtliches Schlachtfeld

Der Fall: Ein Online-Gewinnspiel des Unternehmens Planet49 forderte Nutzer dazu auf, zwei Checkboxen zu akzeptieren, um teilnehmen zu können:

Eine Werbeeinwilligung, bei der Nutzer aus einer verlinkten Liste mit 57 Partnerunternehmen selbst 30 Kooperationspartner auswählen oder – bei Untätigkeit – dem Anbieter die Auswahl überlassen konnten.
Eine Cookie-Einwilligung, die bereits voreingestellt angekreuzt war und das Setzen von Cookies zur Analyse des Surfverhaltens gestattete.

Der Bundesverband der Verbraucherzentralen klagte – mit Erfolg. Die beanstandeten Klauseln verstoßen nach Ansicht des BGH gegen zentrale Vorschriften des Datenschutz- und Wettbewerbsrechts: § 307 BGB in Verbindung mit § 7 Abs. 2 Nr. 2 UWG sowie § 15 Abs. 3 TMG.

Die Kernaussagen des BGH: Schluss mit Opt-out

1. Werbeeinwilligung ist keine Einwilligung

Die Gestaltung der Partnerauswahl zur Werbeeinwilligung wurde vom BGH als unzulässig eingestuft. Die lange Liste mit Abwahlmöglichkeit sei zu kompliziert und führe in der Praxis dazu, dass Verbraucher gar keine informierte Entscheidung träfen. Das Vertrauen auf ein solches Auswahlverfahren verstoße gegen das Transparenzgebot und sei daher als Allgemeine Geschäftsbedingung (AGB) unwirksam. Es fehle schlicht die Einwilligung „für den konkreten Fall“.

2. Cookies nur mit aktiver Zustimmung

Noch grundsätzlicher war die Positionierung des Gerichts zur Cookie-Problematik: Eine wirksame Einwilligung in das Setzen von Cookies erfordert – so der BGH in Übereinstimmung mit der EuGH-Entscheidung Planet49 – eine aktive Handlung des Nutzers. Ein voreingestelltes Häkchen genügt nicht.

Konkret bedeutet das: Webseitenbetreiber dürfen nicht mehr davon ausgehen, dass Nutzer mit dem Nicht-Entfernen eines Häkchens einverstanden sind. Der BGH liest – entgegen dem Wortlaut – in § 15 Abs. 3 TMG ein Einwilligungserfordernis hinein, um den Vorgaben der ePrivacy-Richtlinie gerecht zu werden.

3. Rechtsdogmatik am Rande der Wortlautgrenze

Die Entscheidung ist auch methodisch bemerkenswert. Der BGH betreibt richtlinienkonforme Rechtsfortbildung, obwohl der nationale Gesetzgeber es über Jahre hinweg versäumt hatte, die europäische Cookie-Richtlinie ordnungsgemäß umzusetzen. § 15 Abs. 3 TMG sah ursprünglich ein Opt-out-Verfahren vor – ein Widerspruch des Nutzers sollte ausreichen. Der BGH jedoch formt dies im Sinne des europäischen Rechts zu einem Opt-in um.

Kritiker werfen dem Gericht eine unzulässige Überschreitung des Wortlauts und damit eine richterliche Gesetzgebung vor. Andererseits erscheint die Entscheidung aus Sicht der unionsrechtlichen Harmonisierung folgerichtig und notwendig. Der EuGH selbst forderte in Planet49 eine aktive, informierte Zustimmung – unabhängig davon, ob personenbezogene Daten betroffen sind.

DSGVO und ePrivacy: Zwei Systeme, ein Ziel?

Spannend ist zudem die Abgrenzung zwischen DSGVO und ePrivacy-Richtlinie, die der BGH vornimmt. Während die Datenschutz-Grundverordnung personenbezogene Daten schützt, schützt die ePrivacy-Richtlinie auch die Integrität des Endgeräts – also den Zugriff auf das Gerät selbst, selbst wenn keine personenbezogenen Daten gespeichert werden.

Der BGH folgt dieser Differenzierung und betont, dass die ePrivacy-Richtlinie ergänzend zur DSGVO gilt – es bestehe kein Anwendungsvorrang, sondern eine Parallelität der Regelwerke. Dies bedeutet: Auch wenn Cookies keine personenbezogenen Daten speichern, benötigen sie eine Einwilligung, sobald sie nicht unbedingt technisch erforderlich sind.

Praxisfolgen: Das Ende klassischer Cookie-Banner

Für Webseitenbetreiber bedeutet das Urteil nichts Geringeres als einen Paradigmenwechsel. Voreingestellte Häkchen? Unzulässig. Cookie-Banner mit einem einzigen „OK“-Button ohne weitere Optionen? Ebenfalls unzulässig.

Erlaubt ist nur:

Echte Wahlfreiheit (Opt-in)
Transparente Informationen über Zweck, Dauer und Drittzugriffe
Trennung notwendiger und optionaler Cookies
Alternativen zum Consent – etwa kostenpflichtiger Zugang ohne Tracking

Kritik und Realität: Ein Fortschritt mit Schatten

So klar die dogmatischen Linien des Urteils auch gezogen sein mögen – die Praxis bleibt schwierig:

Cookie Fatigue: Viele Nutzer klicken Einwilligungen ungelesen weg. Die Rechtsprechung mag dem Datenschutz dienen, verfehlt aber unter Umständen ihr Ziel in der digitalen Realität.
Marktmacht großer Anbieter: Unternehmen mit monopolartigen Strukturen können Consent-Modelle einfacher durchsetzen als kleine Anbieter – was zu einer Marktverzerrung führen kann.
Rechtliche Unsicherheiten: Das Urteil öffnet neue Fragen, etwa zur zulässigen Verlinkung auf Informationen oder zur Verantwortung für Drittanbieter-Cookies.

Ausblick: ePrivacy-Verordnung und das Ende des Banners?

Die Entscheidung des BGH ist ein deutlicher Schritt in Richtung einer unionsweit einheitlichen Datenschutzpraxis.

Mit der geplanten ePrivacy-Verordnung hätte bald ein einheitlicher, kodifizierter Rechtsrahmen geschaffen werden können. Dann wären auch Fragen zur Verarbeitung nicht-personenbezogener Daten oder zum Verhältnis von DSGVO und ePrivacy einheitlich geregelt.

Doch nach jahrelangen Verzögerungen und festgefahrenen Verhandlungen ist das Vorhaben im Februar 2025 offiziell abgebrochen worden. Nichtsdestotrotz ist die Entscheidung des BGH weiterhin von großer Bedeutung.

Fazit

Das Urteil „Cookie-Einwilligung II“ ist mehr als eine technische Datenschutzentscheidung – es ist ein Meilenstein im digitalen Verbraucherrecht. Es zwingt zur Neuausrichtung von Einwilligungssystemen, fordert mehr Verantwortungsbewusstsein von Webseitenbetreibern und zeigt zugleich die Defizite gesetzgeberischer Umsetzung auf. Das Ende des Cookie-Banners mag noch nicht gekommen sein – aber sein Wesen hat sich grundlegend verändert.

FAQ zur „Cookie-Einwilligung II“ – Was Sie jetzt beachten müssen

1. Was sagt das Urteil zu Cookies?

Eine vorangekreuzte Zustimmung zum Setzen von Cookies ist ungültig.
Nur ein aktives Häkchen („Opt-in“) erfüllt die Anforderungen von Art. 5 Abs. 3 ePrivacy-Richtlinie i.V.m. Art. 4 Nr. 11 DSGVO.
Nutzer müssen vorher umfassend informiert werden (Speicherdauer, Drittempfänger etc.).

2. Welche Konsequenzen ergeben sich für Webseitenbetreiber?

Es dürfen keine voreingestellten Cookie-Zustimmungen verwendet werden.
Cookie-Banner müssen:
- Freiwilligkeit der Einwilligung sicherstellen,
- Technisch notwendige und optionale Cookies unterscheiden,
- und transparente Informationen bieten (auch zu Drittanbietern).
Cookie-Walls (Zugang nur bei Zustimmung) sind problematisch.

3. Gibt es Ausnahmen vom Opt-in-Erfordernis?

Ja. Technisch unbedingt erforderliche Cookies (z. B. für Warenkorb-Funktionen oder Spracheinstellungen) benötigen keine Einwilligung.

Aber: Diese Ausnahme ist eng auszulegen – alle anderen Cookies (z. B. für Tracking, Werbung oder Statistiken) sind einwilligungspflichtig.

4. Gilt das Urteil auch für Drittanbieter-Cookies (Google, Meta etc.)?

Ja. Auch bei Drittanbietercookies muss der Webseitenbetreiber:

Vorab klar informieren, wer beteiligt ist,
Den Zweck der Verarbeitung benennen,
und eine aktive Einwilligung einholen.

Anonyme oder verschachtelte Verweise auf andere Datenschutzhinweise genügen nicht.

5. Was ist mit der ePrivacy-Verordnung?

Die ursprünglich geplante ePrivacy-Verordnung (ePVO):

Sollte die ePrivacy-Richtlinie ablösen und die DSGVO ergänzen,
Ist 2025 gescheitert – das Projekt wurde offiziell eingestellt.

Stattdessen plant die EU nun ein umfassenderes „Digital Package“ mit neuen Regelungen für Datenschutz, Werbung, KI und Online-Kommunikation – voraussichtlich ab Ende 2025.

6. Ist der BGH über den Gesetzeswortlaut hinausgegangen?

Ja – nach Auffassung vieler Juristen hat der BGH durch richtlinienkonforme Rechtsfortbildung den § 15 Abs. 3 TMG über seinen Wortlaut hinaus interpretiert.
Begründung: Der Gesetzgeber hat die ePrivacy-Richtlinie nicht vollständig umgesetzt, sodass der BGH eingreifen musste, um Unionsrecht Geltung zu verschaffen.

7. Welche Kritik wird an der Entscheidung geübt?

Rechtsunsicherheit: Da der BGH Einzelfallkriterien (wie „zumutbarer Zeitaufwand“) anwendet, fehlt es an klaren Maßstäben.
Cookie Fatigue: Nutzer akzeptieren oft unreflektiert, was der Sinn aktiver Einwilligung unterläuft.
Ungleichgewicht am Markt: Große Anbieter profitieren, weil Alternativen fehlen.

*Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden.

Der Beitrag wurde am 11. September 2025 aktualisiert.

Änderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berücksichtigt. Bitte wenden Sie sich für eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Firma

Name(erforderlich)

Vorname * Nachname *

Telefon

E-Mail

Nachricht(erforderlich)

Nachricht *

CAPTCHA

Phone

Dieses Feld dient zur Validierung und sollte nicht verändert werden.