Targeting-Tools ermöglichen es Unternehmen, ihre Zielgruppen nach bestimmten Kriterien zu definieren und so potenzielle Kunden bestmöglich anzusprechen. Zu diesem Zweck werden Cookies – Datensätze, die moderne Browser wie Google Chrome oder Firefox in einer Datenbank abspeichern – verwendet. In seiner Entscheidung vom 27.6.2024, Az. 6 U 192/23, hat das Oberlandesgericht Frankfurt am Main entschieden, dass Microsoft die Verwendung von Cookies durch Microsoft Advertising bei fehlender Einwilligung der Betroffenen zu unterlassen hat. Im Folgenden werfen wir einen Blick auf die Einzelheiten dieser Entscheidung.
Der Inhalt im Überblick
Microsoft Advertising: die Konkurrenz zu Google Ads
Microsoft Advertising ist der Nachfolger von „Bing Ads“ und bietet ähnliche Funktionalitäten wie Google Ads. Um ihre Reichweite zu erhöhen können Unternehmen mithilfe von Microsoft Advertising Werbung auf der Suchmaschine Bing und auf anderen Plattformen des Microsoft-Netzwerkes schalten. Die Suchmaschine von Microsoft ist in den letzten Jahren trotz der Monopolstellung von Google stark gewachsen. Im Juni 2024 betrug der Marktanteil Googles laut Angaben von Statista in Deutschland 76,35%, während Marktanteil Bings sich auf 15,49 % belief. In den USA ist der Marktanteil des Microsoft-Suche-Netzwerkes laut Angaben von Microsoft noch größer. Aus diesem Grund wird Microsoft Advertising immer mehr zu einer ernst zu nehmenden Konkurrenz zu Google Ads. Microsoft Advertising basiert auf einem sogenannten „Pay-Per-Click-System“: Unternehmen bezahlen erst dann, wenn ein Nutzer ihre Anzeige klickt.
Die Funktionsweise von Microsoft Advertising lässt sich im Wesentlichen wie folgt beschreiben: potenzielle Kunden geben eine Suchanfrage (Keyword) in einer Suchmaschine wie Bing oder Yahoo ein, wenn die Anzeige des Unternehmens mit den benutzerdefinierten Merkmalen einer Suchanfrage übereinstimmt (z.B. Keywords, Ort, Sprache, Geschlecht, Alter), dann wird die Werbung des Unternehmens oben bei den Ergebnissen gezeigt. Hierzu bietet Microsoft ein zusätzliches Desktop-Tool, mit dem Unternehmen die konkreten Kriterien definieren können. Darüber hinaus können Webseiten-Betreiber mithilfe von Microsoft Advertising den Erfolg ihrer Werbekampagnen messen. Für die Erfassung der Aktivitäten der Nutzer werden Cookies durch Microsoft Advertising eingesetzt.
Der Schutz der Privatsphäre bei Endeinrichtungen
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) regelt gemäß § 1 Abs. 7 TDDDG
„den Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer gespeichert sind.“
§ 2 Abs. 6 TDDDG definiert den Begriff der Endeinrichtung wie folgt:
„„Endeinrichtung“ jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“
Unter dem Begriff der Endeinrichtung fallen folglich z. B. Desktop-Computer, Smartphones, iPads und andere Geräte, mit denen Nutzer auf das Internet zugreifen können.
Der Anwendungsbereich des TDDDG ist auch dann eröffnet, wenn kein Personenbezug gegeben ist und geht damit über den Anwendungsbereich der DSGVO hinaus. Da beim Einsatz von Cookies zur Nachverfolgung des Verhaltens von Benutzern personenbezogene Daten verarbeitet werden, kommen sowohl die DSGVO als auch das TDDDG zur Anwendung. Werden beim Speichern und Auslesen von Informationen in Endeinrichtungen der Nutzer personenbezogene Daten verarbeitet, dann ist aber § 25 TDDDG auch zu beachten.
Pflicht zur Einholung einer Einwilligung nach dem TDDDG
Gemäß § 25 Abs. 1 TDDDG ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Eine Einwilligung ist nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich, wenn die Speicherung von oder der Zugriff auf Informationen für die Bereitstellung des Dienstes erforderlich sind (sogenannte technisch erforderliche Cookies).
Nach § 25 Abs. 1 S. 2 TDDDG ergeben sich die Anforderungen an die Einwilligung und an die Informationspflichten gegenüber den Endnutzern aus Art. 7 und 8 DSGVO. Insofern ist die Wirksamkeit einer Einwilligung nach dem TDDDG auf der Grundlage der DSGVO zu messen. Ausführliche Informationen über die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO finden Sie in unserem Beitrag Einwilligung im Datenschutz – Das ist zu beachten.
Die Entscheidung des Oberlandesgericht Frankfurt am Main
Dem Urteil des Oberlandesgerichts Frankfurt am Main liegt folgender Sachverhalt zugrunde: eine Frau erhob Klage auf Unterlassung gegen die Microsoft-Tochtergesellschaft Microsoft Advertising, weil auf ihren Geräten beim Besuch von Drittwebseiten Cookies abgespeichert bzw. ausgewertet wurden, ohne dass sie eine Einwilligung erteilt hatte. Microsoft stellte in diesem Zusammenhang seinen Kunden einen Code zur Verfügung, den diese in ihre eigenen Websites oder Anwendungen einbinden konnten. Daher wird das Setzen von Cookies ausschließlich von den Webseite-Betreibern veranlasst. Die Webseite-Betreiber wurden durch die AGB von Microsoft darüber hinaus dazu verpflichtet, die Einwilligungen der Betroffenen einzuholen.
Das Oberlandesgericht Frankfurt am Main hat allerdings entschieden, dass Microsoft dafür verantwortlich ist, sicherzustellen, dass eine wirksame Einwilligung des Betroffenen erteilt wurde. Denn § 25 Abs. 1 TDDDG gelte für jeden Akteur, der Cookies speichere oder auf gespeicherte Informationen zugreife. Auf den Endeinrichtungen der Nutzer finden Speicherungen und Auswertungen von Informationen des Nutzers durch das Tool von Microsoft Advertising statt, wenn dies durch den von Microsoft bereitgestellten Code auf der Website des Dritten ausgelöst wird. Daher ist die Microsoft-Tochtergesellschaft in diesem Zusammenhang auch durch das TDDDG verpflichtet. Daran ändert auch die Verpflichtung der Website-Betreiber in den Microsoft-AGB nichts, so das Oberlandesgericht Frankfurt am Main. Vielmehr muss Microsoft den Umstand darlegen und beweisen, dass die Benutzer ihre Einwilligung für die Speicherung von Cookies auf ihren Endgeräten erteilt haben. Aus dem genannten Gründen hat das OLG Frankfurt am Main dem Klageantrag stattgegeben.
Bei Einsatz von Cookies ist das TDDDG stets zu beachten
Diese Entscheidung des Oberlandesgerichts Frankfurt am Main erinnert daran, dass Unternehmen bei dem Einsatz von Cookies, die für die Bereitstellung der betreffenden Dienstleistung nicht technisch erforderlich sind, die Einwilligung des Nutzers nach Art. 7 und 8 DSGVO einholen und die damit einhergehenden Informationspflichten erfüllen müssen. Darüber hinaus müssen Unternehmen jederzeit in der Lage sein, die Einhaltung dieser Pflichten nachzuweisen. Insofern empfiehlt es sich hier, den Datenschutz immer im Auge zu behalten.
„kleine Textdateien“ – im Ernst? Nutzt ihr noch den Mosaic-Browser von 1995? Warum schreibt das eigentlich jeder beim anderen ab ohne mal selbst zu prüfen oder zu überlegen, ob das noch aktuell ist?
Vielen Dank für Ihren Hinweis. Das ist richtig, die meisten Browser speichern Cookies heute nicht mehr als Textdateien, sondern als Datensätze in einer Datenbank. Wir haben dies entsprechend aktualisiert.