Achtung Abmahnung: Verwendung von Tracking-Cookies ohne Einwilligung

Wer dachte, Cookie-Banner seien nicht relevant, wird hier eines Besseren belehrt: Die Verwendung eines Tracking-Cookies wurde erst jüngst abgemahnt, weil der Seitenbetreiber hierfür keine Einwilligung eingeholt hat.

Was war der Anlass für die Abmahnung?

Die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e.V. mahnte einen Online-Händler ab, auf dessen Webseite beim Aufruf automatisch Cookies geladen wurden, bevor der Besucher eine Einwilligung hierzu erteilte.

Dabei handelte es sich um Cookies, mit denen das Nutzerverhalten auf der Webseite erfasst wird.

Rechtliche Bewertung des Wettbewerbsverstoßes

Der Händler verstieß gegen § 25 Abs. 1 TDDDG (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten) i.V.m. Art. 6 Abs. 1 lit. a, 4 Nr. 11, 7 DSGVO (Datenschutzgrundverordnung).

Denn die Cookies waren nicht zwingend erforderlich, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erfüllen. Vielmehr waren Cookies betroffen, die Nutzerprofile zum Zwecke der Werbung oder Marktforschung erstellten. In diesem Fall ist die Einholung der vorherigen Einwilligung vorgeschrieben (EuGH Urteil v. 01.10.2019, Az. C-673/17).

§ 25 Abs. 1 TDDDG (ehemals TTDSG) bestimmt insoweit:

"Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundalge von klaren und umfassenden Informationen eingewilligt hat. Die Informationen des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen."

Indem auf der abgemahnten Webseite die Cookies einfach gesetzt wurden, statt vor ihrem Speichern den Nutzer in einem Cookie-Banner seine Auswahl treffen zu lassen, setzte der Händler unter Verstoß gegen § 25 Abs. 1 TDDDG Cookies ein und verhielt sich wettbewerbswidrig.

Eine Ausnahme nach § 25 Abs. 2 TDDDG greift nicht ein:

"Die Einwilligung nach Absatz 1 ist nicht erforderlich,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann."

Best Practice: Rechtssichere Verwendung von Cookies

Ein kurzer Leitfaden zur rechtssicheren Einbindung von Cookies in Ihre Internetpräsenz:

1. Wann ist eine Cookie-Einwilligung erforderlich?

Eine Einwilligung ist stets notwendig, wenn der Unternehmer Informationen in der Endeinrichtung des Endnutzers dauerhaft oder vorübergehend speichern oder darauf zugreifen möchte.

Unter „Endeinrichtung“ fällt im Grunde jedes Gerät, das am Internet angeschlossen ist. Lediglich die Speicherung von Informationen in geschlossenen Netzwerken bedarf keiner Einwilligung.Außerdem sind sowohl personenbezogene wie anonyme Informationen von der Zustimmungspflicht erfasst.

Eine Ausnahme zur Einwilligungspflicht besteht bei:

• Cookies, die zur Erfüllung des gewünschten Dienstes des Nutzers unbedingt erforderlich sind
• Cookies, die allein der Übertragung von Nachrichten über ein öffentliches Telekommunikationsgesetz dienen.

Besonders relevant ist die erste Ausnahme: Der Telemediendienst, wie beispielsweise eine Webseite, App etc., den sich der Nutzer wünscht, muss zwingend erforderlich sein.

Wird eine Webseite und ihre Inhalte aufgerufen, ist davon auszugehen, dass diese selbst erwünscht sind. Dagegen sind das Speichern des Zugriffs mithilfe von Cookies oder sogar die Verwendung dieser Informationen regelmäßig nicht als ausdrücklich erwünscht anzusehen.

Bei Aufruf und Inhalt der Webseite müsste folglich das Cookie für die Bereitstellung der Webseite unbedingt notwendig sein.

Daher sind technisch notwendige Cookies, d.h. solche, ohne die eine Webseite selbst nicht funktionstüchtig wäre, nicht von der Einwilligungspflicht betroffen. Darunter fallen beispielsweise Cookies, die ausschließlich für Zahlungsprozesse erforderlich sind, Cookies, die für die Erteilung, die Speicherung oder den Widerruf einer Einwilligung verwendet werden (Cookie-Opt-In) oder Warenkorb-Cookies zur Speicherung der in einem Onlineshop ausgewählten Produkte.

Auch die Speicherung von Nutzereingaben in Onlineformularen, die Sprachauswahl auf einer internationalen Webseite oder der Login-Status sind erfasst. Sollten Cookies für die Wiedergabe von Multimedia-Inhalten zwingend notwendig sein, ist auch ihr Einsatz zulässig (LG Köln, Urteil v. 29.10.2020 – 31 O 194/20).

Grundsätzlich richtet sich die Frage, was vom Nutzer erwünscht ist, nach den äußeren Umständen des Einzelfalls. Zu diesen zählen erwartbare Gepflogenheiten und technische Erforderlichkeiten. Daneben stellt sich die Frage, ob auch vertragliche Vereinbarungen, insbesondere ein ausdrücklicher Wunsch durch Zustimmung zu den Allgemeinen Geschäftsbedingungen (AGB) erfasst ist.

Die EU-Datenschutzbehörden lehnen dies ab. Denn diese Form des Tausches von Daten gegen unentgeltliche Nutzung sei intransparent und damit unzulässig. Daher ist bei solchen Klauseln Vorsicht geboten und eine anwaltliche Überprüfung ratsam.

Die Vereinbarungen müssten üblich, erwartbar und für die Nutzer geistig verständlich sein. Dies erfordert zumindest einen Hinweis auf das „Kostenlose Nutzung gegen Daten“-Tauschgeschäft schon vor dem „Absenden“-Button für das Registrierungsformular, wenn nicht sogar ein separates Kontrollkästchen. Andernfalls ist die AGB-Klausel überraschend bzw. unvorhersehbar und daher nach § 305c Abs. 1 Bürgerliches Gesetzbuch (BGB) unwirksam.

Ein wirksamer „Einwilligungsersatz“ durch Zustimmung zu den AGB ist daher im Regelfall nicht anzunehmen. Letztendlich müssten die Vereinbarungen der klassischen Einholung einer Einwilligung vergleichbar dargestellt werden.

Die Erforderlichkeit ist bei Cookies, die ausschließlich Marketing- und Werbezwecken dienen, zu verneinen. Dies ist auch bei Konversionsmessungen (Prüfung der Effektivität von Werbeanzeigen), Remarketing (Schaltung von Werbeanzeigen anlässlich früher besuchter Webseiten) oder Zielgruppenbildung anhand von Nutzerprofilen anzunehmen. Die zwingende Erforderlichkeit von Cookies zu Designzwecken oder zur Sicherheit des Webseitenbetreibers ist noch nicht geklärt.

2. Gestaltung von Cookie-Bannern und rechtssicheren Einwilligungen

Die Einholung einer Zustimmung zu allen Cookies ist nach aktuellem Stand möglich. Voraussetzung ist, dass der Nutzer ohne jeden Zweifel erkennt, dass seine Einwilligungshandlung alle Cookies umfasst. Hierfür sollte bereits die Schaltfläche eindeutig die Akzeptanz „Aller Cookies“ bzw. „Aller angehakten Cookies“ zum Ausdruck bringen.

Solange der Nutzer seine Einwilligung nicht erteilt hat, müssen Cookies auch tatsächlich technisch deaktiviert sein. Die Einwilligung muss durch eine aktive Handlung des Besuchers erfolgen (§ 25 Abs. 1 Satz 2 TDDDG, Art. 7 DSGVO). Die Nutzung der Webseite ohne Widerspruch gegen die Verwendung von Cookies begründet keine wirksame Einwilligung.

Daher ist der Banner „Wenn Sie die Webseite weiter nutzen, erklären Sie sich mit Cookies einverstanden“ unwirksam. Auch eine bereits ausgefüllte Checkbox ist unzulässig.

Vielmehr ist ein „Cookie-Consent-/Einwilligungs-Banner“ (bzw. allgemein „Consent Management Plattform“) erforderlich: Der Banner muss die gleichwertigen Auswahlmöglichkeiten „Annehmen“ und „Ablehnen“ zur Verfügung stellen. Ein „Ablehnen“-Button ist nicht erforderlich, wenn der Banner die Nutzung der Webseite nicht beeinträchtigt und er deshalb nicht zwangsweise angeklickt werden muss.

Der Banner kann in der Mitte des Bildschirms oder in der Fußzeile der Webseite bereitgestellt werden. Auch eine vorgeschaltene Seite mit einer Cookie-Consent-Möglichkeit ist denkbar. Die Verlinkungen des Impressums und der Datenschutzerklärung sollten jedoch nicht durch den Cookie-Consent-Banner überlagert werden. Alternativ können die Links auch im Banner selbst eingefügt werden.

Bei Platzierung des Einwilligungsbanners im Fußbereich der Webseite ist es laut den Datenschutzbehörden sogar möglich, statt eines „Ablehnen“-Buttons einen „Einstellungen“-Button zu verwenden und die Ablehnung der unerwünschten Cookies erst auf der Einstellungsebene anzubieten. Bei dieser Lösung muss allerdings stets zur sinnvollen Nutzung der Webseite ausreichend von dieser einzusehen sein.

Grundsätzlich ist die Ablehnungsmöglichkeit von Cookies auf einer separaten Seite auf einer tieferen Ebene durch Aufrufen einer Unterseite oder die Verwendung komplexer Links nach der Rechtsprechung unzulässig (BGH, Urteil v. 28.05.2020, Az. I ZR 7/16; LG München, Urteil v. 29.11.2020, Az. 33 O 14776/19).

Denn die Ablehnung von Cookies ist ebenso einfach zu gestalten wie ihre Zustimmung. Die Darstellung darf nicht derart irreführend sein, dass in die Cookies aus Versehen eingewilligt wird oder die Zustimmung deutlich leichter vorzunehmen ist (sog. „Dark Patterns“).

Nicht zulässig ist beispielsweise das Anbieten der Schaltfläche „Nur notwendige Cookies akzeptieren“ gegenüber einer dominanten grünen Schaltfläche „Cookies zulassen“ (LG Rostock, Urteil v. 15.09.2020, Az. 3 O 762/19). Denn der erstere Button setzte sich nicht genügend ab und war als Link nicht erkennbar.

Auch bei der Farbgestaltung der Schaltflächen sollte keine unzulässige Beeinflussung durch ein farblich ins Auge springendes „Annehmen“ und ein graues „Ablehnen“ riskiert werden. Die Schaltflächen müssen gut lesbar mit ausreichenden Kontrasten gestaltet sein (kein „Nudging“).
Dennoch hat sich in der Realität der Einsatz von „Dark Patterns“ weitläufig aufgrund der ausbleibenden Verfolgung durchgesetzt.

3. Informationspflichten und Ausgestaltung im Detail

Eine wirksame Einwilligung kann erst nach umfassender Aufklärung erteilt werden. Es muss u.a. über die Anzahl, Art, Funktionsweise und Lebensdauer der Cookies, die Identität der verarbeitenden Dienstleister und die Widerspruchsmöglichkeit informiert werden.

Der Nutzer muss darüber Bescheid wissen, welche Arten von Daten zu welchen Zwecken (z.B. Marketing, Statistik, Profiling usw.) verarbeitet werden.

Sollten Dienstleister, welche die Cookies verarbeiten, eingesetzt werden, sind diese idealerweise bereits im Cookie-Banner bezeichnet und ein Link zu deren Datenschutzerklärung hinzugefügt.
Die Widerspruchsmöglichkeit muss ebenso transparent und leicht gestaltet sein wie die Erteilung der Einwilligung selbst.

Im Optimalfall werden die Beschreibungen der einzelnen Cookie-Funktionen bereits im Banner überblicksartig vor der Erteilung der Zustimmung genannt.

Rechtssichere und zuverlässige Einbindung von Cookies mit dem Cookie-Tool der IT-Recht Kanzlei

Die genannten Vorgaben können Sie schnell und einfach mithilfe unseres Cookie-Tools mit EasyScan-Integration umzusetzen:

Für Mandanten steht unser eigenes innovatives Cookie-Tool für mtl. nur 3,90 € zzgl. USt. zur Buchung bereit.

Betrieben auf der Basis neuester Technologien von Usercentrics, einem der weltweiten Marktführer im Consent-Management, ermöglicht das Tool in nur wenigen Schritten die Einrichtung einer vollständigen Cookie-Consent-Oberfläche – inklusive passgenauer Abstimmung genau auf Ihre Internetpräsenz.

Möglich macht dies eine von uns entwickelte Integration des bewährten rechtlichen Scanners „EasyScan“ direkt in den Konfigurationsprozess.

EasyScan richtet das Cookie-Tool automatisiert auf die Dienste und Funktionalitäten Ihrer Internetpräsenz aus und kalibriert es so, dass alle einwilligungspflichtigen Cookies Ihrer Präsenz ohne händisches Zutun vom Tool erfasst werden.

Dabei erkennt EasyScan mehr als 3.000 gängige Technologien präzise automatisch. Die erfassten Dienste können von Ihnen aber jederzeit auch selbst durch manuelles Hinzufügen oder Entfernen bearbeitet werden.

Zusätzlich ermittelt EasyScan weitere Pflichtinhalte des Tools automatisch. Der Scan-Service fügt die notwendigen Links auf Ihr Impressum und Ihre Datenschutzerklärung nämlich eigenständig hinzu und überprüft auch Ihre Datenschutzerklärung darauf, ob die notwendige Klausel zum Cookie-Tool erhalten ist.

Das Beste: dank integriertem EasyScan wird die korrekte Konfiguration des Cookie-Tools dauerhaft überwacht. Kommen auf Ihrer Präsenz neue einwilligungspflichtige Dienste hinzu oder fallen bisherige weg, wird das Cookie-Tool automatisch angepasst.

So ist Ihr rechtssicheres Cookie-Einwilligungsmanagement dauerhaft gewährleistet.

Fazit

Speichern oder greifen Sie auf Informationen in der Endeinrichtung eines Nutzers Ihrer Webseite zu, müssen Sie zuvor dessen informierte, aktive Einwilligung einholen. Dies gilt insbesondere bei Cookies, die Nutzerprofile zum Zwecke der Werbung oder Marktforschung erstellen.

Eine Ausnahme besteht lediglich bei technisch notwendigen und der Übertragung von Nachrichten über ein öffentliches Telekommunikationsgesetz dienenden Cookies.

Sie haben eine Abmahnung erhalten - so reagieren Sie richtig!

Lassen Sie die Abmahnung trotz der regelmäßig kurzen Fristen anwaltlich von einem Spezialisten überprüfen - in diesen Abmahnungen geht es oft um hohe Zahlungsforderungen, hier sollte der Betroffene nicht vorschnell handeln. Auch die vorformulierte Unterlassungserklärung ist in den uns vorliegenden Fällen fast immer einseitig und zudem gefährlich vorformuliert und sollte in dieser Form nicht abgegeben werden!

Profitieren Sie von der Expertise der Anwälte der IT-Recht Kanzlei, die über eine langjährige Erfahrung aus der Vertretung in Abmahnverfahren verfügen!

Hilfreich: Der 10-Punkte-Plan: Ihre Checkliste zum Thema Abmahnung

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .