Die Planet49-Linie bleibt für Websitebetreiber zentral: Für nicht notwendige Tracking-, Marketing-, Conversion- und Profiling-Cookies genügt keine Widerspruchslösung. Die heutige Einordnung erfolgt allerdings nicht mehr über das frühere TMG, sondern über Datenschutzrecht, § 25 TDDDG und die DSGVO.
Das Wichtigste in Kürze
Für Cookies und ähnliche Technologien, die nicht unbedingt erforderlich sind, ist eine vorherige aktive Einwilligung erforderlich.
Eine bloße Opt-out- oder Widerspruchslösung trägt für Tracking-, Marketing-, Conversion- und Profiling-Zwecke nicht.
Der Kerngedanke des BGH-Urteils ist weiterhin tragfähig, auch wenn die gesetzliche Einordnung heute über § 25 TDDDG und die DSGVO erfolgt.
Für Websitebetreiber stellt sich deshalb nicht nur die Bannerfrage, sondern auch die Frage nach Zweckklarheit, Drittanbietern, Laufzeiten und nachgelagerter Verarbeitung.
Aktuelle Einordnung
Stand April 2026
Der Aussagekern dieses Beitrags gilt fort: Für nicht notwendige Cookies und vergleichbare Tracking-Technologien ist vor dem Zugriff auf die Endeinrichtung grundsätzlich eine Einwilligung erforderlich. Seit dem 1. Dezember 2021 ist diese Linie in Deutschland ausdrücklich in § 25 TTDSG gesetzlich abgebildet worden; seit dem 14. Mai 2024 lautet die Gesetzesbezeichnung TDDDG, inhaltlich bleibt § 25 für diesen Punkt maßgeblich.
Für die Praxis wichtig ist die doppelte Prüfung: Der technische Zugriff auf die Endeinrichtung ist nach § 25 TDDDG zu beurteilen; die anschließende Verarbeitung personenbezogener Daten richtet sich zusätzlich nach der DSGVO. Die Datenschutzkonferenz führt diese Trennung in ihrer Orientierungshilfe für Anbieter:innen von digitalen Diensten fort und verlangt bei einwilligungsbedürftigen Technologien eine klare, informierte und aktive Entscheidung der Nutzer.
Widerspruchslösung ist nicht ausreichend
Der BGH hat mit Urteil vom 28.05.2020, Az. I ZR 7/16 (vgl. Pressemitteilung des BGH) in Sachen Planet49 entschieden:
Für das rechtskonforme Setzen von Tracking-, Conversion-, Marketing und Profiling-Cookies ist eine aktive Einwilligung der Nutzer erforderlich. Eine Möglichkeit zum Widerspruch reicht nicht aus.
Spätestens jetzt sollte die Entscheidung der Website-, Blog- und Shopbetreiber über die Umsetzung der Einholung eines Opt-ins für die Cookie-Setzung wohl besser nicht mehr aufgeschoben werden.
Nachdem der Europäische Gerichtshof (EuGH) bereits mit Urteil vom 01.10.2019, Az. C-673/17 über eine entsprechende Vorlagefrage des Bundesgerichtshofs (BGH) zum Erfordernis der aktiven Einwilligung für nicht notwendige Cookies entschieden hatte, ist die nun vorliegende Entscheidung des BGH zwar wenig überraschend, aber eben doch für alle Betreiber beachtenswert.
Die vielfach geführte Diskussion über das Verhältnis der Datenschutzgrundverordnung (DSGVO) zu der einfach gesetzlichen Regelung des § 15 Abs. 3 Telemediengesetz (TMG) ist damit entschieden.
Zur Erinnerung:
§ 15 Abs. 3 TMG regelt, dass der Diensteanbieter (jeder, der eine Website, einen Blog oder einen Shop betreibt) für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer hierzu auf sein Widerspruchsrecht hinzuweisen.
Im Ergebnis doch eine klare Regelung, so könnte man meinen. Ein Widerspruch ist etwas anderes als eine aktive Einwilligung und damit reicht es aus, wenn dem Nutzer ein Widerspruchsrecht eingeräumt wird.
Zum Hintergrund:
Bereits seit 2009 gibt es eine sogenannte EU-Cookie-Richtlinie, welche wiederum die seit 2002 geltende ePrivacy-Richtlinie novellierte. Die EU-Cookie-Richtlinie sieht in Art. 5 Abs. 3 eindeutig vor, dass die vorherige Einwilligung des Nutzers in die Verwendung von Cookies eingeholt werden muss.
Deutschland war der Auffassung, dass diese Regelung nicht, wie bei Richtlinien erforderlich, in nationales Recht umgesetzt werden müsse. Immerhin gebe es doch schon den § 15 Abs. 3 TMG, dieser regele doch den Umgang mit Cookies.
Ist ein Widerspruch aber das gleiche wie eine Einwilligung?
Etwas anders dann regelt die DSGVO, bei welcher es sich bekanntlich um eine EU-Verordnung, also keine Richtlinie handelt. EU-Verordnungen gelten, anders als EU-Richtlinien, unmittelbar und bedürfen keiner Umsetzung in nationales Recht.
Die DSGVO enthält zu Cookies nun direkt aber wiederum keine Regelung. Grund dafür ist, dass eigentlich zeitgleich zur DSGVO die sogenannte neue ePrivacy-Verordnung in Kraft treten sollte. Diese lässt aus verschiedenen Gründen hingegen noch immer auf sich warten. Die Anforderungen an eine zulässige Cookie-Setzung bestimmen sich daher nach den allgemeinen Erlaubnistatbeständen der DSGVO zur zulässigen Verarbeitung von Daten. In Betracht kommt für das Setzen von nicht notwendigen Cookies Art. 6 Abs. 1 S. 1 lit. f) DSGVO: Kurz: Das Setzen von Cookies könnte ein berechtigtes Interesse des Anbieters darstellen. Nach dem Erwägungsgrund 47 zur DSGVO kann Werbung auch durchaus ein solches berechtigtes Interesse darstellen.
Also ist die Sache doch klar: Tracking, Marketing und Co. können ein berechtigtes Interesse darstellen. Und außerdem reicht nach dem TMG ein Widerspruch. Eine Einwilligung ist also nicht erforderlich.
Wenn es doch so einfach wäre:
Juristen wären keine Juristen, wenn es nicht viel zu diskutieren gäbe und die Antwort natürlich nicht eindeutig wäre. Das Nicht-Vorhandensein der überfälligen neuen ePrivacy-Verordnung vereinfacht die Diskussion hier nicht.
Was hat der BGH also nun entschieden?
Der I. Zivilsenat ist nun den folgenden Weg gegangen: Er stellt in seinem Urteil zunächst fest, dass der Gesetzgeber die bestehende Rechtslage, also die Widerspruchslösung, in Deutschland offenbar für richtlinienkonform erachte. Dies sei auch in Ordnung, so der BGH. Denn mit dem Wortlaut des § 15 Abs. 3 S. 1 TMG sei eine entsprechende richtlinienkonforme Auslegung der Cookie-Richtlinie, also des entsprechend erforderlichen Opt-ins, noch vereinbar.
Der BGH führt dazu aus:
„Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.“
Diesen Satz muss man vielleicht zwei- oder dreimal lesen. Anders ausgedrückt: Ein Widerspruch liegt also auch vor, wenn keine wirksame Einwilligung erklärt wurde. Ja, so kann richtlinienkonforme Auslegung natürlich auch funktionieren.
Wenn Sie Fragen zu diesem Thema haben, zum Datenschutzrecht oder Hilfe bei der Umsetzung der Cookie-Erfordernisse benötigen, wenden Sie sich gerne an uns. Wir helfen.
Was das heute praktisch bedeutet
Worauf es bei Cookie-Setups ankommt
- Einwilligungsbedürftige Technologien dürfen grundsätzlich erst nach aktiver Zustimmung geladen werden.
- Die Prüfung endet nicht beim Banner: Zusätzlich ist zu klären, auf welcher Grundlage die anschließende Datenverarbeitung erfolgt.
- Drittdienste, Zwecke, Profilbildung, Laufzeiten und mögliche Drittlandbezüge müssen für Nutzer nachvollziehbar beschrieben sein.
Wer Websites, Shops oder digitale Dienste datenschutzkonform aufsetzt oder bestehende Banner, Tag-Manager-Setups und Dritttools überprüfen will, findet die größere Einordnung im Datenschutzrecht bei ITMR. Bei konkretem Umsetzungsbedarf auf Webseiten kann auch eine gezielte Prüfung der DSGVO-Anforderungen für Websites sinnvoll sein.
Offizielle Quellen und weiterführende Hinweise
- BGH, Pressemitteilung vom 28.05.2020, I ZR 7/16
- BGH, Urteil vom 28.05.2020, I ZR 7/16
- EuGH, Urteil vom 01.10.2019, C-673/17 – Planet49
- § 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen
- Datenschutzkonferenz, Orientierungshilfe für Anbieter:innen von digitalen Diensten
Dieser Beitrag bleibt als Einordnung einer wichtigen Entwicklung relevant. Für die heutige operative Bewertung von Cookie-Bannern, Consent-Flows und Tracking-Setups ist die aktuelle Gesetzes- und Aufsichtspraxis mitzulesen.